OpenVPN-Client chain - wie realisieren



  • Hallo zusammen,

    ich versuche seit geraumer Zeit ein oder mehrere OpenVPN-Clients übereinander zu tunneln. So habe ich bisher versucht nach dem Schema WAN -> VPN1 -> VPN2 -> Target, das Interface für den OpenVPN Client 2 auf das Interface zu dem OpenVPN-Client 1 zu setzen. Jedoch zeigt der Traffic der OpenVPN Instanzen an, dass Daten, die über das VPN2 gesendet werden, nicht über das VPN1 gehen - somit also auch VPN2 direkt über die WAN Verbindung aufgebaut wird.

    Hat hierzu einer eine Idee, wie ich mein vorhaben verwirklichen kann?



  • Hallo,

    könntest du näher erklären, was du hier für ein Ziel verfolgst? Vielleicht anhand einer kleinen Grafik.

    "Chain" und "mehrere OpenVPN-Clients übereinander zu tunneln" sind nach meinem Verständnis ganz unterschiedliche Konstrukte. Sollen nun mehrere Tunnel in Serie liegen oder ein VPN Tunnel durch einen anderen gehen?



  • Hallo viragomann,

    eine Grafik möchte ich gerne nachreichen.
    Bis dahin versuche ich es noch einmal ohne:
    Die Verbindung zum ersten VPN-Server soll normal über das WAN Interface erfolgen. Die Verbindung zum zweiten VPN-Server soll über das Interface der ersten VPN-Verbindung erfolgen. Aus sicht des des zweiten VPN-Servers soll die Verbindung aus dem Netz des ersten VPNs erfolgen. Die Verbindung zum zweiten VPN-Server soll ausschließlich über die erste VPN-Verbindung erfolgen und nicht über das WAN-Interface.


  • Rebel Alliance Moderator

    Die Verbindung zum zweiten VPN-Server soll ausschließlich über die erste VPN-Verbindung erfolgen und nicht über das WAN-Interface.

    Gibts dafür nen spezifischen Grund? Ein Aufbau der Verbindung durch einen weiteren Tunnel wäre durchaus ein problematisches Unterfangen in Bezug auf double bis triple encapsulation. Sprich Daten an Endgeräte in VPN2 wären bis zu 3x verpackt (normales Paket + VPN1 + VPN2) was ziemlich auf die MTU und den Durchsatz drücken dürfte. Da verstehe ich den Grund nicht wirklich.



  • Hallo JeGr,

    der Grund ist, dass der VPN-Server 2 ausschließlich Verbindungen erlaubt, die aus dem Netz zu VPN-Server 1 stammen.

    Ein kurzes Bildchen:

    [Clients] -> [pFSense] -> [WAN] -> [VPN1] -> [VPN2] -> [Destination]

    Mein konkretes Problem ist, dass ich bisher kein glück mit den Regeln für das VPN2 habe. So habe ich das Interface bei dem VPN-Client2 auf dem des ersten VPNs gesetzt. Auch habe ich in der firewall eine regel erstellt, die Außgehende Pakete an die IP vom VPN2 über das Gateway von dem VPN1-Interface geroutet werden sollen. Jedoch scheint die Verbindung jedes mal über das WAN interface zu erfolgen.


Log in to reply