[linux-l] Erste Erfahrungen mit OpenVPN

Christoph Biedl cbiedl at gmx.de
Di Jul 13 13:02:57 CEST 2004 

Oliver Beck wrote...

> Ok, also, fangen wir mal beim Server (192.168.0.1) an. Dieser hat nach
> gestarteten VPN-Server folgende Routing-Tabelle:
> 
> Destination     Gateway      Genmask     Flags Metric Ref    Use  Iface
> localnet        *      255.255.255.0         U     0    0      0   tap0
> 10.0.0.0        *          255.0.0.0         U     0    0      0   eth0

Bescheidene Bitte: 'route -n', dann sehe ich die IP-Numern.

> Mit diesen Routen kann ich beide Clients (192.168.0.11 und
> 192.168.0.12) erreichen.

Du schaffst also Server <-> Client{1,2}, aber nicht Client1 <-> Client2.

Falle Nummer eins: Ist Forwarding im Server eingeschaltet?
# cat /proc/sys/net/ipv4/ip_forward

> Danach habe ich auf den Clients den Default GW auf den Server geleitet
> (`route add default gw 192.168.0.1` auf beiden Clients), was aber nichts
> brachte. Auch eine Host-Route auf beiden (`route add -host 192.168.0.11
> tap0` auf Client 192.168.0.12 und `route add -host 192.168.0.12 tap0`
> auf Client 192.168.0.11) brachte nichts. Vorher habe ich den DefaultGW
> wieder entfernt. Mein letzter Versuch war es, auf dem Server einzelne
> Host-Routen zu setzen (`route add -host 192.168.0.11 tap0` und `route
> add -host 192.168.0.12 tap0`), was ebenso wenig brachte. Auch das
> gleichzeitige setzen der Host- und Default-GW-Routen hatte keinen
> Erfolg.

Vorsicht bei Defaultrouten, der Traffic zum Tunnelserver darf nicht
durch den Tunnel selbst geschickt werden, also sollte man ein
route add $remote via $route_net_gateway
nicht vergessen.

Ein Suchtip noch: tcpdump auf dem Netzwerk- und dem Tunnelinterface.
Dann kannst Du sehen, ob die Pakete überhaupt rausgehen/reinkommen.

> Ich bin mit meinem Latein am Ende. Vielleicht habe ich auch einfach nur
> einen Denkfehler. Vielleicht aber liegt es doch an dem Beta-Status von
> OpenVPN-2.0. Dummerweise kann man die ML-Archive von sourceforge nicht
> durchsuchen bzw. als eine mbox-Datei lokal importieren...

Du kannst mit einem Newsreader die Gruppe gmane.network.openvpn.user vom
Server news.gmane.org ziehen und dann lokal in den Artikeln stöbern.
Aber das Rauschen ist leider ziemlich hoch.

Noch etwas, was nicht ganz genau hierher paßt: In den up-Skripten stehen
einem etliche Variablen zur Verfügung, die speziell für das Routing sehr
interessant sind, manpage ab "Environmental Variables".

	Christoph

Mehr Informationen über die Mailingliste linux-l