GeminiOpenVPN

Wir haben aktuell ein Problem mit dem Board und arbeiten an der Lösung...

    Servus,
    da ich öfters in Netzen bin, wo nur Port 80, 433 offen ist und unsere Mailserver etwas exotische ports nutzen, möchte ich über eine VPN Verbindung nachhause über meinen Internetanschluss "surfen" und die Mails ziehen.


    Nun ist es so, dass ich einen Tunnel mit meiner dm8k aufbaue, allerdings bekomme ich es nicht hin, dass ich über meinen Internetanschluss surfen kann.
    IP in meinem LAN sind alle erreichbar, ich komme nur nicht da raus...


    Zu Hause:
    Router:192.168.99.254
    dm8k: 192.168.99.84 -> GeminiOpenVPN Server


    Remote:
    WIN7 Laptop


    Server Conf:
    port 443
    proto udp
    mode server
    tls-server
    dev tap0


    up "/etc/openvpn/up.sh br0"
    down "/etc/openvpn/down.sh br0"


    server-bridge 192.168.99.110 255.255.255.0 192.168.99.111 192.168.99.121


    crl-verify /etc/ssl/openvpn/vpn-crl.pem


    ca /etc/ssl/openvpn/vpn-ca.pem
    cert /etc/ssl/openvpn/Server-cert.pem
    key /etc/ssl/openvpn/Server-key.pem
    dh /etc/ssl/openvpn/dh1024.pem


    push "redirect-gateway def1"
    push "dhcp-option DNS 192.168.99.254"


    auth SHA1
    cipher AES-256-CBC
    comp-lzo


    user nobody
    group nogroup


    persist-key
    persist-tun


    verb 1
    keepalive 10 120
    status /var/run/openvpn-status.log
    script-security 3 system


    Client:
    #Configfile for windows/linux


    client
    dev tap
    proto udp


    # example remote foobar.org 1194
    # example remote 97.123.100.236 1194
    remote dxndns.adresse.cx 443


    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    redirect-gateway
    ca vpn-ca.pem
    cert client1-cert.pem
    key client1-key.pem


    cipher AES-256-CBC
    comp-lzo
    auth SHA1
    verb 1


    Wie gesagt, der Tunnel wird korrekt aufgebaut und funktioniert. Ich möchte den gesamten Traffic durch den Tunnel haben.


    Für Hilfe wäre ich dankbar. Habe inzwischen wirklich alles mögliche probiert und bekomme es nicht hin.
    P.S. auf dem WIN7 PC wird OpenVPN als admin ausgeführt.


    Danke im voraus

    Prinzipiell wichtig ist der folgende Eintrag beim Server:
    push "redirect-gateway def1"


    Damit geht ALLES durch den Tunnel (aber auch wirklich alles!).


    Wenn es nur wenige IP-Adressen oder ausgewählte Subnetze sind, geht ansonsten auch sowas wie
    push "route 192.168.180.0 255.255.255.0"


    Wichtig ist halt nur, dass dein Router @ home von deinen VPN-IPs weiß, sprich auf dem Router eine statische Route für das lokale Netzwerk eingerichtet wird.
    Ziel: Netzwerkadresse vom VPN (bspw. 10.0.0.0)
    Subnetz: Subnetzmaske vom VPN
    Gateway: IP des VPN-Servers


    Wichtig: Beides geht NUR, wenn du per TUN-Interface arbeitest (also wirklich eine dedizierte IP-Verbindung aufbaust). Per TAP-Interface klappt das NICHT! Und im Bridge-Modus wird's noch weniger klappen...



    Dieses Minimalbeispiel der Serverkonfiguration setzt den Server (bspw. Dream) so auf, dass ein virtuelles Interface (i.d.R. tun0) mit der IP-Adresse 192.168.179.1 erstellt wird (IP des Servers). Sobald sich der Client darauf verbindet, erhält dieser die IP 192.168.179.2 ...
    Durch "redirect-gateway def1" wird der Client angewiesen, die VPN-Verbindung als Default-Route zu setzen, sprich alles an Traffic über das VPN zu leiten.
    Mit dem letzten push-route wird nochmal eine separate Route zum Heimnetz (192.168.178.0/255.255.255.0) eingetragen (muss durch das redirect-gateway eigentlich nicht gemacht werden).


    Wichtig ist, dass IP-Routing auf der Box aktiviert ist - dafür muss ip_forwarding im Kernel aktiviert werden (damit die Box auch routet)...
    --> http://www.ducea.com/2006/08/0…e-ip-forwarding-in-linux/


    Der Client verbindet sich dann ganz normal auf die Box (wie er es sonst auch mit dem Tun-Interface machen würde) und bezieht die Routen vom Server...


    Wichtig: Dein Router muss von diesen zusätzlichen Adressen wissen, dort muss also eine statische Route für 192.168.179.0/255.255.255.252 eingetragen werden, die als Ziel dann die IP der Dreambox hat.