OpenVPN routing (Windows)

vrijdag 10 maart 2017 11:45

Acties:

Tweakers abonnee

Topicstarter

Ik heb een volgende situatie (versimpeld):

Server met 2 NIC's naar de volgende subnets 192.168.8.0/24 en 192.168.9.0/24
Een client die op beide subnetten wil kunnen komen over de VPN.

Als ik de connectie op heb gebracht tussen client/server dan hebben de virtuele TAP/TUN NIC's bij zowel server als client een ip gekregen in hetzelfde subnet (10.0.8.0/24)
Alles goed dus. De 2 kunnen elkaar ook pingen, maar de client kan niet via die weg naar de 192.168.8.0/24 of 192.168.9.0/24

Middels de OpenVPN config een route voor de client gepushed zodat die in ieder geval weet dat ie het verkeer via de TAP/TUN moet sturen en dat gaat goed. Pings komen aan op de OpenVPN server, maar geen reply van de pings want het loopt dan spaak bij de TAP/TUN NIC op de server die niet weet hoe ie verder moet.

De enige oplossing die (half) werkt die ik heb kunnen vinden is op de server in het register IpEnableRouter aan te zetten en dan bijvoorbeeld rechtermuisklik op de 192.168.8.0/24 NIC te doen en dan via het tabblad Sharing de adapter te delen met de TAP/TUN.
Als ik dat heb gedaan dan kan ik vanaf de client ook 192.168.8.0/24 pingen.

Ik wil alleen ook nog 192.168.9.0/24 kunnen bereiken en ik kan dat trucje maar op 1 NIC toepassen want je kan maar 1 NIC sharen.
Ik ben dus benieuwd of ik dit ook via normale routes kan bewerkstelligen. Iemand hints?

Oh ja, een bridge maken kan ik niet doen in deze situatie. Ik ben dus op zoek naar een routing oplossing.

Lekker op de bank

vrijdag 10 maart 2017 14:45

XiMMiX

ZaZ schreef op vrijdag 10 maart 2017 @ 14:05:
[...]

Klopt en daar heb je binnen de server ook configuratie voor.
Aan de hand van het certificaat weet de server wie 'ik' ben en wat mijn netwerk is.
Dus dat staat allemaal geconfigureerd in de server files d.m.v de route en iroute commando's binnen OpenVPN.
En dat lijkt dus ook allemaal goed te werken, maar alleen voor de een of voor de ander, maar krijg het dus niet voor beide tegelijk aan de praat.

Wat jij wil, via het tabblad Sharing een NIC delen, kan, voor zover mij bekend en zoals jij al hebt ondervonden, binnen Windows maar voor 1 NIC. Ik ben geen Windows specialist. Het kan dus zijn dat je via een ander commando wel NAT op meerdere NICs aan de praat krijgt, maar daar kan ik je niet mee helpen.

Je originele vraag waar ik op probeerde te antwoorden was of het ook via "normale routes kan". Dat kan, maar dan moet je zoals ik aangaf een static route toevoegen aan elk apparaat in 192.168.8.0/24 en 192.168.9.0/24 dat je wil bereiken.

vrijdag 10 maart 2017 13:36

Acties:

XiMMiX

Als je het zonder NAT wil oplossen, zullen alle apparaten (die je via je VPN wil bereiken) in 192.168.8.0/24 en 192.168.9.0/24 ook moeten weten dat ze 10.0.8.0/24 via je openvpn server kunnen bereiken.
Je moet op die apparaten dus een static route toevoegen voor 10.0.8.0/24 met als gateway je OpenVPN server.
Tenzij je OpenVPN natuurlijk al de default gateway is, maar dat zal wel niet anders had alles al moeten werken.

vrijdag 10 maart 2017 13:57

Acties:

ZaZ

Tweakers abonnee

Topicstarter

XiMMiX schreef op vrijdag 10 maart 2017 @ 13:36:
Als je het zonder NAT wil oplossen, zullen alle apparaten (die je via je VPN wil bereiken) in 192.168.8.0/24 en 192.168.9.0/24 ook moeten weten dat ze 10.0.8.0/24 via je openvpn server kunnen bereiken.
Je moet op die apparaten dus een static route toevoegen voor 10.0.8.0/24 met als gateway je OpenVPN server.
Tenzij je OpenVPN natuurlijk al de default gateway is, maar dat zal wel niet anders had alles al moeten werken.

Nee dat is het probleem niet.
De OpenVPN client krijgt al routes van de server
Daar staat al prima in dat 192.168.8.0/24 via de juiste verbinding moet lopen.
Het probleem is dus de server die vanuit die NIC niet meer verder kan tenzij ik die andere NIC share met de TAP/TUN, maar dat kan ik maar met 1 NIC doen.

Lekker op de bank

vrijdag 10 maart 2017 14:01

Acties:

XiMMiX

De OpenVPN client krijgt inderdaad de juiste routes, maar het apparaat dat je probeert te pingen vanaf die OpenVPN client weet niet dat zijn reply via je OpenVPN server moet lopen ipv zijn default gateway.

vrijdag 10 maart 2017 14:05

Acties:

ZaZ

Tweakers abonnee

Topicstarter

XiMMiX schreef op vrijdag 10 maart 2017 @ 14:01:
De OpenVPN client krijgt inderdaad de juiste routes, maar het apparaat dat je probeert te pingen vanaf die OpenVPN client weet niet dat zijn reply via je OpenVPN server moet lopen ipv zijn default gateway.

Klopt en daar heb je binnen de server ook configuratie voor.
Aan de hand van het certificaat weet de server wie 'ik' ben en wat mijn netwerk is.
Dus dat staat allemaal geconfigureerd in de server files d.m.v de route en iroute commando's binnen OpenVPN.
En dat lijkt dus ook allemaal goed te werken, maar alleen voor de een of voor de ander, maar krijg het dus niet voor beide tegelijk aan de praat.

Lekker op de bank

vrijdag 10 maart 2017 14:45

Acties:

Beste antwoord ✓

XiMMiX

ZaZ schreef op vrijdag 10 maart 2017 @ 14:05:
[...]

Klopt en daar heb je binnen de server ook configuratie voor.
Aan de hand van het certificaat weet de server wie 'ik' ben en wat mijn netwerk is.
Dus dat staat allemaal geconfigureerd in de server files d.m.v de route en iroute commando's binnen OpenVPN.
En dat lijkt dus ook allemaal goed te werken, maar alleen voor de een of voor de ander, maar krijg het dus niet voor beide tegelijk aan de praat.

Wat jij wil, via het tabblad Sharing een NIC delen, kan, voor zover mij bekend en zoals jij al hebt ondervonden, binnen Windows maar voor 1 NIC. Ik ben geen Windows specialist. Het kan dus zijn dat je via een ander commando wel NAT op meerdere NICs aan de praat krijgt, maar daar kan ik je niet mee helpen.

Je originele vraag waar ik op probeerde te antwoorden was of het ook via "normale routes kan". Dat kan, maar dan moet je zoals ik aangaf een static route toevoegen aan elk apparaat in 192.168.8.0/24 en 192.168.9.0/24 dat je wil bereiken.

vrijdag 10 maart 2017 15:04

Acties:

ZaZ

Tweakers abonnee

Topicstarter

XiMMiX schreef op vrijdag 10 maart 2017 @ 14:45:
[...]

Wat jij wil, via het tabblad Sharing een NIC delen, kan, voor zover mij bekend en zoals jij al hebt ondervonden, binnen Windows maar voor 1 NIC. Ik ben geen Windows specialist. Het kan dus zijn dat je via een ander commando wel NAT op meerdere NICs aan de praat krijgt, maar daar kan ik je niet mee helpen.

Je originele vraag waar ik op probeerde te antwoorden was of het ook via "normale routes kan". Dat kan, maar dan moet je zoals ik aangaf een static route toevoegen aan elk apparaat in 192.168.8.0/24 en 192.168.9.0/24 dat je wil bereiken.

Ik snap 'm. Ik moet iets met NAT want er zullen uiteindelijk honderden devices zijn die benaderd gaan worden.
Dan ga ik verder neuzen in die hoek en ondertussen hopen dat iemand hetzelfde op een Windows machine heeft gedaan en dit leest.
Bedankt alvast.

Lekker op de bank

vrijdag 10 maart 2017 17:35

Acties:

ZaZ

Tweakers abonnee

Topicstarter

Ik heb 'm!

Moest wat server roles toevoegen van Networking en Remote access en daarna gingen de

code:

1	netsh routing

commando's werken
Toen kon ik NAT instellen voor de 2 NIC's

code:

netsh routing ip nat install
netsh routing ip nat add interface "Ethernet0" full
netsh routing ip nat add interface "Ethernet1" full
netsh routing ip nat add interface "OpenVPN" private
netsh routing ip nat add interface Internal private

Ok, het is dan wel via NAT en echte routes zou mooier zijn, maar dan zou ik toegang moeten hebben tot de apparatuur aan de andere kant zodat die de routes kunnen advertisen en dat heb ik niet.
Dan is dit de beste oplossing denk ik.

Hij mag dicht

Lekker op de bank

Vraag

Beste antwoord (via ZaZ op 10-03-2017 17:30)

Alle reacties