Alles anzeigenMir ist das Setup noch nicht ganz klar.
Also du hast einen Server bei netcup, der den Internetzugang zur Verfügung stellt und auch der OpenVPN Server ist, auf den sich die VPN Clients verbinden (OpenVPN Transport Netz). Einige dieser Clients (Sites) bringen ein eigenes Netz mit. Einige nicht (Road Warriors). Dazu gibt es ein Netz, dass hinter einem netcup VLAN hängt (VLAN Netz).
Im Grunde ist die Konfiguration recht einfach. Ich hab das bei mir über CCDs gelöst. Damit kann man serverseitig für jeden verbundenen Client eine spezifische Konfiguration ablegen, was sich natürlich besonders für Routing Informationen anbietet. In Kürze: ein Netz, dass ein Client über VPN erreichen können soll, wird mit
bekannt gegeben. Stellt ein Client selber ein Netz fürs VPN zur Verfügung, muss ein Eintrag
in seiner CCD Konfig vorhanden sein.
Sollen alle Clients Zugriff aufs VLAN Netz haben? Dann kannst du die entsprechenden Routen fürs VLAN direkt in die server.conf eintragen . Ansonsten kommen die Einträge in die ccd Konfig für die Clients, die den Zugriff haben sollen.
Ebenfalls in die ccd Konfig kommt der Eintrag für die lokalen Netze der Sites. Stellt eine Site zum Beispiel das Netz 192.168.178.0/24 zur Verfügung, dann kriegt die ccd einen Eintrag "iroute 192.168.178.0 255.255.255.0".
Über die geeignete Kombination aus iroute und push route kannst du auch dafür sorgen, dass die Clients ihre Netze gegenseitig erreichen können.
Vielen Dank für deine Antwort. Vielleicht zunächst noch einmal das Setup etwas sauberer aufbereitet:
Es gibt zwei Standorte:
- Standort A: Heimisches LAN mit Fritzbox, dahinter diverse Endpoints (derzeit kein VPN-Server). Das Subnet folgt dem Router, sagen wir 192.168.1.0/24 (das ist es nicht!).
- Standort B: Netcup VLAN, dahinter derzeit zwei VPS. Diese habe auf der zweiten Netzwerkkarte jeweils das gleiche Subnet, sagen wir 100.100.1.1 und 100.100.1.2.
Auf einem der VPS ist Ubuntu mit OpenVPN Access Server eingerichtet.
Von Standort A kann ich auf Standort B zugreifen, aber nicht umgekehrt.
Was ich bisher gemacht habe:
- Im OpenVPN Access Server unter "VPN Settings" das Subnet von Standort B eingetragen.
- Unter "User Permissions" dasselbe bei "Allow Access" eingetragen und alles angehakt.
- Zudem dort unter "VPN Gateway" das Subnet von Standort A eingetragen.
- Testweise (da ich das Site to Site Routing-Szenario noch nicht so ganz verstehe) auf der Fritzbox eine statische Route mit dem OpenVPN Netzwerk und der Fritzbox als Gateway eingetragen. Das war wahrscheinlich völliger Unsinn.
Die Frage ist, was jetzt der nächste Schritt ist.