Am Dienstag, 10. August 2010, 17:03:54 schrieb Konrad Rosenbaum:
On Tue, August 10, 2010 15:56, Bernhard Schiffner wrote:
könnte mir jemand (z.B. morgen abend?) mal erklären, wie man mit einem OpenVPN-Clienten umgeht.
Bis jetzt 1.) Einwahl per Modem / ppp0 2.) Danach iptables für forwarding/NAT 3.) andere Rechner im lokalen Netz nutzen das.
Ich gehe mal davon aus dass die OpenVPN clients von ausserhalb kommen.
Nein. Ich möchte mich zuhause vom Netbook über das ppp-gateway so zu der anderen Seite (OpneVPNServer dort) verbinden, als wäre ich dort am Netz.
Neu 1.) OpenVPNclient am Gateway sollte funktionieren. 2.) Wie geht's weiter, da das Gateway selbst ja "kein Interesse" an dem OpenVPN-Netz hat?
...
Der OpenVPN Server baut ein oder mehrere zusaetzliche virtuelle Netzwerkinterfaces auf. Die kannst Du lokal ganz normal konfigurieren und wie eigene Netzwerksegmente behandeln. Logischerweise muessen die in der Firewall beachtet werden.
Der Client wohl auch.
Es gibt zwei Typen: direkte IP-Tunnel (vor einem Jahr war das noch IPv4-only) koennen sich so automagisch konfigurieren wie PPP; virtuelle Ethernets senden ganze Frames ueber das VPN und koennen dann aber auch beliebige Payloads transportieren (z.B. auch IPX wenn Du hart genug drauf bist), sie muessen halt aber auch wie Ethernets konfiguriert werden.
IMHO: TUN/TAP?
Ein Beispiel fuer virtuelles Ethernet (hier fuer IPv6) findest Du hier: http://silmor.de/64 - das ist alles noch sehr statisch gehalten, man kann das auch per SLAAC/DHCP machen - ich hatte nur noch keine Zeit mal ein Update zu schreiben.
Etwa so: Für die angewälte Domain besorgt man sich DNS im eigenen Gateway, und macht das lokal allen zugänglich. Dann per iptables: wenn DestIP=dort, SNAT=OpenVPN-IP vom Gateway (ggf. unerwünschte lokale Nutzer blocken.)
Weitere Anleitungen gibt es bei OpenVPN selbst - die Doku ist recht gut.
Full ACK.
Konrad
Bernhard