Autor: Thomas Heidemann (thomas.heidemann_at_gmx.net)
Datum: 11. Aug 2004
Hallo Timo.
On Tuesday 10 August 2004 21:55, Timo Zimmermann wrote:
> Hi,
[...]
> Die Konfigurationsdatei auf meinem Server sieht so aus:
> dev tun
> ifconfig 10.0.0.1 10.0.0.2
> secret servertext.txt
> port 5000
>
> Und auf meinem Client:
> remote 192.168.0.5
> dev tun
> ifconfig 10.0.0.2 10.0.0.1
> secret servertext.txt
> port 5000
>
> Die Verbindung funktioniert einwandfrei.
>
> Die Netzwerkkarte im Server ist eth0.
>
> So, auf diese Frage langt mir eine "ja" oder "nein" Antwort.
> Wenn ich mich von außen auf meinem Server verbinde, und Zugriff auf
> mein komplettes Netzwerk möchte, reicht es, alles, was von tun
> kommt auf eth0 und umgekehrt weiterzuleiten?
> Zumindest habe ich das so aus den Dokumentationen die ich gelesen
> habe rausgelesen.
Nein. :-)
Im der Konfigurationsdatei gibt es die Möglichkeit, die Option
up </Pfad/zu/einem/Skript>
zu definieren. Dieses Skript wird dann beim Verbindungsaufbau
ausgeführt. Hier kannst du dann nach Belieben neue Routing-Einträge
setzen oder was dir sonst noch so einfällt. Wenn du dann noch eine neue
Route auf den Clients definierst (entferntes Netzwerk erreichbar über
VPN-Server), funktioniert der Zugriff auch ohne Weiterleitung.
> Die andere Frage, bei der ich mir noch nicht sicher bin ist:
> Annahme:
> 2 Netzwerke sind per VPN verbunden.
> Im einen Netzwerk bekommen alle Client ihre IP's per DHCP im
> Bereich 192.168.0.10 - 192.168.0.25 und die Server haben statische
> IP's von 192.168.0.1 (Router) - 192.168.0.9 (nicht alle vergeben)
>
> Im zweiten Netzwerk dürfen ja dann nicht die selben IP's vorkommen
> wie im ersten Netzwerk, da ja durch die Weiterleitung, wie ich sie
> oben beschrieben habe die Netzwerke direkt verbindet, und so die
> IP's doppelt vorkommen würden.
Stimmt auch nicht ganz. OpenVPN kannst du auch als Bridge betreiben, bei
der du dann die gleichen Adressbereiche benutzen kannst. Die OpenVPN
Dokumentation auf der Homepage (http://openvpn.sf.net) ist da sehr
ausführlich.
Aber konzeptionell würde ich mich auf jeden Fall für unterschiedliche
Bereiche entscheiden.
> Aber wie verhällt es sich dann mit den IP's der VPN-Interfaces?
> Aber wie ist das dann mit den IP's 10.0.0.1 und 10.0.0.2?
> Nur um die Server direkt anzusprechen?
Was soll mit denen sein? Ob du die Server mit der 10'er IP ansprichst,
liegt wohl eher daran, ob du auch die Services für diese IP's
anbietest, sprich ob die Dienste auch auf diesen Netzwerkinterfaces
lauschen. Normalerweise werden diese jedoch nur für das
Transfernetzwerk benutzt.
> Aber in dem Moment in dem ich die ganzen Daten auf eth0
> weiterleite, müsste ich doch die VPN-Server auf ihrer eth0-IP
> ansprechen können und nichtmehr auf tun oder?
Auf welchem Interface du die Server ansprichst, macht keinen Unterschied
(s.o.). Schlag' dir mal die Idee mit der Weiterleitung aus dem Kopf.
> Falls ich jetzt total daneben liege und die paar Infos die ich
> bisher gefunden habe falsch sind, wäre ein Link zu einer
> Dokumentation, die diesen Anwendungsfall (oder einen ähnlichen)
> beschreibt wirklich nett :)
Wie schon gesagt, die Homepage bietet sehr viele Beispiele an und im
Archiv der Mailingliste ist auch einiges zu finden.
Grüße
Thomas
> Liebe Grüße
> Timo
-- Thomas Heidemann thomas.heidemann_at_gmx.net
Dieses Archiv wurde generiert von hypermail 2.1.7 : 11. Aug 2004 CEST