Toon posts:

VPN server, combi tussen routed en bridged vpn.

Pagina: 1
Acties:

donderdag 4 januari 2007 00:58

Acties:
  • deus4
  • Registratie: Januari 2007
  • Laatst online: 27-12-2023

deus4

Topicstarter
Ik heb een netwerk waar ik graag een vpn server voor zou willen installeren. Opzich geen probleem maar er zijn een paar punten die dit lastig maken.

1. De clients moeten UDP broadcasts van elkaar kunnen ontvangen.
2. De clients moeten het netwerk achter de Server kunnen benaderen.

In punt 2 zit hem de moeilijkheid. De clients mogen van de server GEEN ip uit de range waarin de server staat toegewezen krijgen.

Nu heb ik zitten zoeken naar mogelijke vpn servers onder linux. De beste optie leek mij openvpn. Deze server is zowel instaat om routed als bridged vpns te maken en schaalt daarbij ook nog eens lekker.

Routed vpn:
-Broadcasts gaan niet over de VPN
-Niet nodig om clients een ip uit de serverrange toe te kennen.

Bridged vpn:
-Broadcasts gaan over de VPN
-Werkt met ieder ethernet protocol
-Bij een bridge dien je de clients een ip uit de serverrange toe te kennen gezien je eigenlijk 2 netwerken aan elkaar koppelt.

Nu heb ik een bridged vpn opgezet. De clients krijgen netjes een ip uit de range 10.8.0.50-10.8.0.100. Communicatie tussen deze clients werkt uitstekend. Wat echter niet werkt is het opzetten van een connectie tussen een client en een systeem op het netwerk achter de server omdat de toegekende ip's niet in het servernetwerk vallen.

Nu is mijn vraag of iemand enig idee heeft of het met deze opstelling toch mogelijk is om een verbinding tussen een client en een achterliggend systeem te realiseren. Eigenlijk zou de server requests van de clients aan een systeem op het servernetwerk moeten verzenden alsof ze van de server zelf afkomstig zijn. Bij een reply moet de server dan bepalen voor welke client dit bedoeld was. Een soort NAT oplossing dus. Mocht een ander soort vpn oplossing toch nuttiger zijn, dan hoor ik dat graag. Ik kreeg echter niet de indruk dat een vpn server als poptop of openswan mijn probleem eenvoudiger kon oplossen.

donderdag 4 januari 2007 13:49

Acties:
  • Edho
  • Registratie: Mei 2003
  • Laatst online: 19-03 11:40

Edho

Heeft Canon A570IS

Misschien simpel een tweede nic in de server plaatsen en routeren tussen de twee nic's?

Edho

vrijdag 5 januari 2007 13:29

Acties:
  • juiced
  • Registratie: Juli 2003
  • Laatst online: 31-12-2025

juiced

het beste onder de zon

Misschien helpt het toevoegen van routes? Bv: Verkeer naar 10.1.0.123 (vb. systeem achter server) verloopt via 10.8.0.1 (gateway voor het bridged netwerk, oftewel openvpn server). In windows zou je dan bv. het volgende invoeren op de client in het 10.8.0.0 netwerk:
route add 10.1.0.0 mask 255.0.0.0 10.8.0.1

Offtopik: Overigens is dit m'n eerst post na bijna 4 jaar geleden te hebben aangemeld op tweakers. :') Joepie! Feest! *O* :P

[ Voor 23% gewijzigd door juiced op 05-01-2007 13:33 ]

i post, therefore i am

zaterdag 6 januari 2007 21:16

Acties:
  • deus4
  • Registratie: Januari 2007
  • Laatst online: 27-12-2023

deus4

Topicstarter
Ik ben na veel gepruts weer een stapje verder. Ik heb een routed VPN ingesteld welke de clients een ip geeft: 10.8.0.0/24. Met deze firewall instellingen lukt het om de clients toegang te geven tot het server subnet, waarbij de pakketheaders worden herschreven met als brondadres het adres van de server:
code:
1
2
3
4
5
6

iptables -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT 
iptables -t nat -A POSTROUTING -s  10.8.0.0/24 -o eth0 -j MASQUERADE

Tot slot heb ik nog dit commando gegeven: echo 1 > /proc/sys/net/ipv4/ip_forward

Resultaat is dat clients prima met elkaar kunnen communiceren, en ze ook nog eens netjes het servernetwerk kunnen betreden. Wat echter NIET werkt is UDP broadcasting van de clients. Kan het zijn dat de firewall deze blokkeert? Enig idee hoe ik die broadcasts werkende krijg?

Voor mensen die ooit tegen hetzelfde probleem aanlopen dit is mijn openvpn 2.0 server.conf:
code:
1
2
3
4
5
6
7

dev tun
server 10.8.0.0 255.255.255.0
push "redirect-gateway"
push "dhcp-option DNS 130.90.5.2"
push "dhcp-option DNS 130.90.5.3"
push "dhcp-option WINS 130.90.6.20"
push "dhcp-option WINS 130.90.6.21"

zaterdag 6 januari 2007 21:23

Acties:
  • xtr3me
  • Registratie: Oktober 2001
  • Niet online

xtr3me

Broadcasts worden standaard niet gerouteerd, wat wil je bereiken met broadcasts?

zaterdag 6 januari 2007 21:34

Acties:
  • deus4
  • Registratie: Januari 2007
  • Laatst online: 27-12-2023

deus4

Topicstarter
De server moet broadcasts ondersteunen voor de clients die LAN games willen spelen. Veel van die spellen gebruiken UDP broadcasts om een server te adverteren.
Ik zit er nu naar te kijken of ik de huidige config niet kan behouden en ipv een dev tun een dev tap device te gebruikeren. De config zou er dan zo uitzien:
code:
1
2
3
4
5
6
7

dev tap
server 10.8.0.0 255.255.255.0
push "redirect-gateway"
push "dhcp-option DNS 130.90.5.2"
push "dhcp-option DNS 130.90.5.3"
push "dhcp-option WINS 130.90.6.20"
push "dhcp-option WINS 130.90.6.21"

Een tap device werkt namelijk wel met ethernet frames in tegenstelling tot een tun device dat met ipframes werkt. Probleem is dat met deze instellingen het interne netwerk niet meer bereikbaar is. Daarnaast vraag ik me ook af of ik ook geen bepaalde firewall instellingen voor dat broadcasten nodig heb.

[ Voor 8% gewijzigd door deus4 op 06-01-2007 21:36 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026