Notinstallation einer OpenVPN Verbindung - Routing?!?



  • Nachdem eine meiner pfsense ALIX wärend des letzten Updates verstorben ist bin ich gezwungen eine Notinstallation eines OpenVPN aufzusetzen.

    Ich hatte bisher als OpenVPN Server und Client pfsense und das ganze als Bridged Network am laufen, also tap. Mein wichtigster Server steht auf der remotesite auf der die pfsense abgeraucht ist. Meine User sitzen hier hinter der noch laufenden pfsense.

    Da tap fürchterlich kompliziert aufzusetzen war, und die Notwendigkeit alle Rechner im gleichen Subnetz zu haben entfallen ist, habe ich jetzt erst mal eine "normale" VPN Verbindung ausgemacht, also tun.
    Bis meine eine pfsense aus der Reparatur zurück ist, habe ich nur shared-key auf einem Windoof 2008 Server aufgesetzt.
    Server config:
    proto udp
    port 1194
    dev tun
    ifconfig 10.8.0.1 10.8.0.2
    keepalive 10 120
    cipher AES-128-CBC
    comp-lzo
    persist-key
    persist-tun
    secret static.key

    Ich konnte auch erfolgreich einen VPN Tunnel mit meiner pfsense dahin aufbauen. Meine pfsense pingt beide IPs des Tunnels sauber.

    Nur wie erkläre ich jetzt meinen Windoof Clients, die an meiner Pfsense hängen, dass sie zum Server auf die Remotesite über den Tunnel routen müssen?

    Also wie bekomme ich diese Route hin? Am besten über den DHCP in der pfsense, oder? Ist da in OpenVPN noch was zu konfigurieren?
    LAN mit Clients (172.17.172.0/24)  <-> pfsense (10.8.0.2) <-> Windoof OpenVPN Server (10.8.0.1) <-> LAN mit Server (192.168.2.0/24)

    Schön wäre noch zusätzlich, wenn (Ohne Domäne!) die Namensauflösung funktionieren würde (egal ob Windoof Auflösung oder echtes DNS). Dann müsste ich nicht jedem Client hier ein hosts file füttern um die Namen der Remotemaschinen aufzulösen.



  • @Bonsai:

    Bis meine eine pfsense aus der Reparatur zurück ist, habe ich nur shared-key auf einem Windoof 2008 Server aufgesetzt.

    Dann ist das ja gar keine pfSense Frage.  ;D

    Aber versuch es mal mit

    
    push " <route lokales_lan=""><maske>"
    push "dhcp-option DNS <dns-ip>"</dns-ip></maske></route> 
    

    Ohne Domäne wird die Namensauflösung damit aber auch nicht gehen.


Log in to reply