OpenVPN: kommunikation client-LAN und client-client

[dullibert]

Hi,

hab einen openvpn split tunnel zum zugriff auf lokale resourcen. Läuft super, auch mit zwei clients (zwei verschiedene user, beide windows). Ich möchte nun versuchen aus dem LAN eine remote-desktop verbindung mit einem verbundenen client aufzubauen, aber wenn ich den computer-namen eingebe wird nichts gefunden, obwohl der entsprechende client frei mit anderen netzwerkteilnehmern (e.g. NAS) kommunizieren kann. Ich kann den client auch nicht an-pingen, weil ich einerseits die lokale ip adresse nicht kenne (nur die virtuelle: 10.0.8.14), und andererseits - wenn ich alle im DHCP range möglichen IPs durchgehe - nichts zurueck kommt.
Darueber hinaus wuerde ich auch gerne die beiden clients miteinander uber das heimnetz kommunizieren lassen wenn beide von remote ueber den tunnel eingewaehlt sind, aber auch da weis ich nicht wie ich das anstelle (ping funktioniert dort ebenfalls nicht, auch wenn ich nur die virtuellen IPs anpinge).

Hier also meine konkreten fragen:

1. Wo sehe ich die lokale IP die der client vom opnsense DHCP erhält (192.168.99.xxx)?
2. Ist ping per default von der firewall blockiert, so dass ich da was bei den rules bei OpenVPN eintragen muss?
3. Muss fuer den Windows remote service noch etwas speziell eingerichtet werden?
4. Wie kann ich zwei clients aus der ferne miteinander komm lassen (haken bei Inter-client communication ist gesetzt)?

Code: [Select]

      WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  (isp coax router)
      '-----+-----'
            |
        WAN | IP or Protocol
            |
      .-----+------.   
      |  OPNsense  | (TLSense 5200U 4x NIC)
      '-----+------'   
            |
        LAN | 192.168.99.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (wifi AP, TV box, laptop [per kabel], NAS, ...)

[mrk45k]

1. VPN > OpenVPN > Connection Status ..Da sieht du die clients (Warum nicht statisch einbinden. also immer die selben IP's?)
2. Ping raus auf die clients geht erst einmal aus deinem Netzwerk von Haus aus sofern du nix expliziet blockst oder rejectes. Auf den Windows kisten mal die Firewall kontrollieren. Die OpenVPN (auch sonstige neue Verbindungen) sind meist "öffentlich" und somit kein ping möglich von aussen. Oder du hast in der Windows Firewall Ping überall erlaubt.
3. Kenne ich mich nicht mit aus. Aber ich meine das RDP Gemüse muss man erst einmal scharf machen.
4. in den VPN rules die kommunikation untereinander freigeben. (pass, source: vpn_net, destination: vpn_net, rest any um alles untereinander zu erlauben). Und den von dir gesetzten Haken.

Gruß Karsten

[dullibert]

> Warum nicht statisch einbinden. also immer die selben IP's?
klingt gut - wie mach ich das?
> Oder du hast in der Windows Firewall Ping überall erlaubt.
das sollte gehen
> das RDP Gemüse muss man erst einmal scharf machen.
hab ich!
> VPN rules die kommunikation untereinander freigeben
hab ich jetzt auch gemacht, aber weder ping noch RD

zu den IPs: werden eigentlich die virtuellen IPs in lokale uebersetzt? also, bekommt 10.0.8.6 eine IP im 192.168.99.XXX range wenn ich den DHCP dafuer konfiguriert hab?

ganz konkret moechte ich auf meinen arbeits PC zugreifen koennen, per ssh oder eben Remote desktop. laeuft das dann alles ueber die virtuelle IP?   

[mrk45k]

ich habe sie statisch eingebunden anhand der Benutzer.
Benutzer X bekommt immer die selbe IP.

Das geht wie folgt:
VPN > OpenVPN > client specifiec overrides ...dort "add"
dann:
Servers: deinen openvpn server wählen
common name: VPNBenutzername (der wirklich vorhandene in deinem System!)
Advanved: ifconfig-push 10.0.8.6 255.255.255.0;

die "10.0.8.6" ist halt deine IP die du dem client geben willst.
Und im VPN funktioniert das nur wenn die beiden Netze die du verbinden willst nicht im selben Netz sind.
Z.B.
A: 192.168.99.6/10.0.8.6 <> 10.0.8.1 <> 10.0.8.7/192.168.99.7   <- geht nicht
B: 192.168.99.6/10.0.8.6 <> 10.0.8.1 <> 10.0.8.7/192.168.66.7   <- geht

Zu A:Woher soll deine Maschine wissen das es auch ein anderes Netz hinter dem VPN gibt wenn deines genauso heisst. Bzw. selbst wenn die Maschine das wüsste..woher weiss sie wo die pakete den letztendlich hin sollen?

Und wenn du von 192.168.99.x auf 192.168.66.x dann musst du eine Route setzen auf beiden clients. 
Dazu must du im Windows das Routing erlauben und den RAS dienst aktiviert haben.Damit die clients wissen wie die anderen Netzte zu erreichen sind. Und die Route selbst "route add 192.168.66.x 255.255.255.255 10.0.8.7 metric 1". damit wird die anfrage an 192.168.66.x über die 10.0.8.7 geroutet, also dem anderen client.
Oder über die Opensense Routen jenachdem wie deine clients konfiguriert sind. (Aber da Split tunnel vermutlich einfacher auf den clients zumindest wüßte ich mit meinem bescheidenen Wissen wie ich das lösen sollte)

Bei RDP kann ich dir immer noch nicht helfen

[micneu]

es können dir auch die windows firewall in die quere kommen (habe nicht alles gelesen, nur überflogen)