Hallo,

ich habe hier ein kleines Problem mit einer etwas ungewöhnlichen Subnetz Struktur.

Ich habe hintereinander 3 Subnetze. Das erste ist eine Fritzbox mit 192.168.0.0/24 (Netz1), dort befindet sich ein Proxyserver hinter dem sich ein Netz mit 192.168.210.0/24 (Netz2) befindet. Parallel dazu gibt es ein getrenntes Netz mit 192.168.100.0/24 (Netz3) ohne direkte Verbindung zur Fritzbox und daher zum Internet. Soweit so gut aber jetzt benötige ich Zugang zum 192.168.100.0/24 von außen. Ich habe einen CentOS 7 Server im Netz2 der zum einen ins Netz3 kommt, dort ist ein Router vorhanden. Mit dem zweiten Ethernetport wollte ich mich direkt ins Netz1 hängen (Internet) und mittels eines OpenVPN Server mir zugriff auf Netz 3 verschaffen. OpenVPN Server läuft und ich kann mich darauf verbinden, jedoch habe ich derbe Probleme beim Routing. IP Forwarding ist aktiviert, jedoch kann ich nicht einmal den OpenVPN Server pingen oder irgendetwas anderes erreichen wenn die VPN Verbindung steht.

Ich habe vorher OpenVPN Server immer nur mit Bridge ins lokalte Netz eingebunden und das ging Problemlos. Mit 2 Ethernetschnittstellen und 3 Subnetzen fehlt mir ein Ansatz wo genau was gerade schief läuft.

Hat schon mal jemand eine ähnliche Konstellation gehabt oder irgendwelche Tipps zu OpenVPN mit 2 Netzwerkschnittstellen?

mfg nic

Kannst du das mal aufmalen?
Irgendwie kapiere ich noch nicht ganz den Sinn von OpenVPN in deiner Konstruktion, wo alles scheinbar lokal abläuft?

Grundsätzlich könnte dein Problem bei OpenVPN aber fehlende routen sein. Wie soll er wissen, wie er das Netz 3 übers VPN erreicht ohne entsprechende Route.
(push, bzw. pull in der OpenVPN Konfig)

OpenVPN Server läuft und ich kann mich darauf verbinden, jedoch habe ich derbe Probleme beim Routing. IP Forwarding ist aktiviert, jedoch kann ich nicht einmal den OpenVPN Server pingen oder irgendetwas anderes erreichen wenn die VPN Verbindung steht.

Ich habe vorher OpenVPN Server immer nur mit Bridge ins lokalte Netz eingebunden und das ging Problemlos. Mit 2 Ethernetschnittstellen und 3 Subnetzen fehlt mir ein Ansatz wo genau was gerade schief läuft.Ich bin gerade am überlegen, was per Bridge ist. Wenn ich mich richtig erinnere, war es dann so, dass du als Roadwarrior eine IP vom lokalen DHCP bekommst. Bei OpenVPN kann man es auch per Routing machen. Dazu definierst du ein eigenes Subnetz, was als Transfernetz dient.
Dieses muss extra in deinem Lan geroutet werden, ansonsten gehen die Pakete über das normale Gateway (deine Fritzbox?) raus und die Kommunikaton klappt nicht.
Wenn du das Routing richtig eingerichtet hast, kannst du die ganzen Subnetze eintragen und sie werden auf dem Client gepusht. Bei deinem lokalen Client kannst du dir auch die Routingtable anschauen und gucken, ob er die Netze kennt. Ansonsten jagt er sie nicht durch den Tunnel.

Hat sei laut schon drauf hingewiesen. ;)

Ok hier mal mit Bild. Mein Problem ist ich muss einen Rechner von außen (Internet) in Netz3 erreichen. Weder Netz2 noch Netz3 hängen direkt am Internet. Der Proxy hat eine Adresse in Netz1 und eine in Netz2 aber funktioniert nicht als Gateway sondern als Software Proxy (JanaServer, falls das jemand kennt). Netz2 und Netz3 sind über einen Switch verbunden. Also nur logisch getrennt. Leider habe ich auf Netz 3 selbst keinen Zugriff sondern soll dorthin nur einen Zugang herstellen. Ich bin jetzt schon soweit das die entsprechende Machine aus Netz3 eine zweite IP in Netz2 hat, also schon sehr viel einfacher.

Die Sache mit der Bridge hätte ich auch gemacht, hat bisher bei so etwas immer gut funktioniert nur habe ich ein Problem mit der Anzahl der Netzwerkschnittstellen.

ich müsste ja die Brücke mit dem LAN Interface erstellen (Netz2) aber OpenVPN hängt sich an das Internet Interface (Netz1) und hier habe ich mein Problem. Wie erstelle ich die Brücke zu LAN Seite?

und hier habe ich mein Problem. Wie erstelle ich die Brücke zu LAN Seite?In welchem Modus bist du? Bridging oder routing?

Aktuell routing. ip_v4 forwarding ist an in der sysctl und Postforwarding ist bei iptables auf eno1 (Lan Seite) aktiviert. Teilweise funktioniert das auch aber irgendwie nur sporadisch. Ich kann den Server pingen (VPN & LAN IP) und andere Rechner aus Netz2. Kurz danach geht dann wieder gar nichts obwohl es im OpenVPN log keine Änderung hat.

Ich würde aber schon lieber Bridging nutzen, nur halt auf welchem Interface?