Topic: Zwei SME7-Server per VPN-Tunnel miteinander verbinden ?

[bluestar]

Geht das ?   Die beiden Server ständen jeweils hinter einer FritzBox, die die entsprechenden Ports weiterleiten würden. Da keine festen IP-Adressen vorhanden sind,  soll das ganze über DYN-DNS laufen. Funktioniert mit der VPN-Einwahl von nem Windows-rechner einwandfrei.

Die Verbindung soll STÄNDIG erhalten bleiben, bzw. bei Abbruch wieder automatisch neu aufgebaut werden....

Gibts da eine Lösung ?

Würde mich freuen....

[stefan24]

Versuch mal diese How-To:

http://web.inter.nl.net/users/hanscees/sme7/openvpnsitetositetunnelsme7.html

[bluestar]

Hallo Stefan,
danke für den Hinweis!
Habe alles nach der HowTo gemacht und es klappt soweit alles einwandfrei!
Leider habe ich das gleiche Problem, wie wohl diverse andere User auch:
Mein SME7-Server hängt hinter einem Router (Fritz-Box) im Netz.
Ich möchte jetzt nicht, wie andere schon vorgeschlagen haben, den SME direkt ans DSL hängen, sondern die FritzBox weiterhin als Router nehmen.

Du hattest die Möglichkeit beschrieben, daß es über TCP geht, statt über UDP !  Jetzt hab ich einfach mal auf beiden Seiten die openvpn.up 's und auch wenn vorhanden in der server.conf und client.conf einfach udp gegen tcp getauscht, aber danach lässt der der openvpn nicht restarten.

Muss noch etwas geändert werden ?
Wo muss ich alles etwas ändern, um von UDP auf TCP umzustellen ?

Wenn das die Lösung des Problems ist, wäre das ja super....

Zweite Frage gleich hinterher:
Diese in nem anderen Thread beschriebene Lösung, den SME doch als Gateway & Server zu benutzen indem man einfach das Lan-Kabel von der zweiten Netzwerkkarte des SME direkt in den Router und das von der anderen in den Switch steckt, und dann die ganzen Clients auf dem SME als Gateway einzustellen ist ja soweit ganz gut. ABER: Wenn der SME z.B. mit großen Datenmengen im Internen Netz beschäftigt ist (wird als Fileserver benutzt), dann ist es auch entsprechend lahm, wenn andere Clients ins Internet wollen.......  (hatte ich schon gehabt)

was wäre denn, wenn ich den SME als GATEWAY und SERVER konfiguriere , zwei Netzwerkkarten einbaue und BEIDE in meinen Switch einstecke ????  Macht das Sinn ? (hauptsächlich in Bezug auf VPN ?)
Ich möchte ungerne den SME als Gateway für alle Clients benutzen... Aber ich möchte doch gerne per VPN zwei Netze miteinander verbinden und von einem Windows-Client auf einen anderen Windowsclient zugreifen können!

[psc]

Diese in nem anderen Thread beschriebene Lösung, den SME doch als Gateway & Server zu benutzen indem man einfach das Lan-Kabel von der zweiten Netzwerkkarte des SME direkt in den Router und das von der anderen in den Switch steckt, und dann die ganzen Clients auf dem SME als Gateway einzustellen ist ja soweit ganz gut. ABER: Wenn der SME z.B. mit großen Datenmengen im Internen Netz beschäftigt ist (wird als Fileserver benutzt), dann ist es auch entsprechend lahm, wenn andere Clients ins Internet wollen.......  (hatte ich schon gehabt)

Ich hatte das noch NIE (bei vielen Installationen !), was ist das denn für Hardware (+Ausstattung).

Bei Server + Gateway: welcher Router ? der SME ist dann (als optimal Lösung) der "Router".

[bluestar]

Diese in nem anderen Thread beschriebene Lösung, den SME doch als Gateway & Server zu benutzen indem man einfach das Lan-Kabel von der zweiten Netzwerkkarte des SME direkt in den Router und das von der anderen in den Switch steckt, und dann die ganzen Clients auf dem SME als Gateway einzustellen ist ja soweit ganz gut. ABER: Wenn der SME z.B. mit großen Datenmengen im Internen Netz beschäftigt ist (wird als Fileserver benutzt), dann ist es auch entsprechend lahm, wenn andere Clients ins Internet wollen.......  (hatte ich schon gehabt)

Ich hatte das noch NIE (bei vielen Installationen !), was ist das denn für Hardware (+Ausstattung).

Bei Server + Gateway: welcher Router ? der SME ist dann (als optimal Lösung) der "Router".

Also ich hatte den SME (damals irgentwas um die Version 5.x) als Server & Gateway eingerichtet. Und als ich dann von einem Windows-Client eine größere Datenmenge (ein paar hundert MB) auf den Server geschoben habe, brach die Internet-Verbindung zusammen. Für mich auch merkwürdig. Es war ein 800Mhz / 128 MB RAM PC !

Aber trotzdem tue ich mich noch schwer, den Server direkt ans I-Net zu hängen. Ich denke mein Router (FritzBox) fängt zumindest schon einen großen Teil von außen ab. Außerdem möchte ich das auch aufgrund von Nutzung der Internet-Telefonie, welche ebenfalls über die FritzBox läuft, nicht ändern....

Es muss doch eine Möglichkeit geben, den VPN Tunnel auch hinter zwei Routern aufzubauen....  Die Verbindung zwischen den beiden Servern steht ja schon ohne Probleme. Ich komme aber nicht über die Server hinaus...

Netz 1: 192.168.88.0
Netz 2: 192.168.89.0

Ich kann von Netz 1 zwar den VPN-Server auf der gegenüberliegenden Seite anpingen (192.168.89.253) und auch den Router (192.168.89.254), aber alle anderen Rechner in dem Netz sind nichtmal per Ping erreichbar.
Umgekehrt genauso!

[psc]

Es war ein 800Mhz / 128 MB RAM PC !

Aber trotzdem tue ich mich noch schwer, den Server direkt ans I-Net zu hängen. Ich denke mein Router (FritzBox) fängt zumindest schon einen großen Teil von außen ab. Außerdem möchte ich das auch aufgrund von Nutzung der Internet-Telefonie, welche ebenfalls über die FritzBox läuft, nicht ändern....

Es muss doch eine Möglichkeit geben, den VPN Tunnel auch hinter zwei Routern aufzubauen....  Die Verbindung zwischen den beiden Servern steht ja schon ohne Probleme. Ich komme aber nicht über die Server hinaus...

128 MB RAM sind seeeeeeeeeeeehhhhhhhhhhhhhhr wenig, speziell squid wird extrem schneller bei mehr speicher. Also unter 512 MB würde ich nicht beginnen.....

Der SME "fängt" sicherlich mehr ab als eine "???-Box".

Natürlich klappt die VPN Anbindung auch auch durch so eine Oskar Box hindurch. Wenn der SME schon erreichbar ist, scheint ja die Portweiterleitung zu passen.

Nach welcher Anleitung wurden OpenVPN denn eingerichtet ?

Am besten mal folgendes Posten:
Bei bestehender OpenVPN Verbindung:

Code: [Select]

netstat -rn
Dann sieht man schon ein bischen mehr...

[bluestar]

128 MB RAM sind seeeeeeeeeeeehhhhhhhhhhhhhhr wenig, speziell squid wird extrem schneller bei mehr speicher. Also unter 512 MB würde ich nicht beginnen.....

Ok, das war auch vor gut 2 Jahren. Heute hab ich etwas um die 700 MB RAM drin. Der Rechner ist aber immernoch ein 800er ! Soweit ist das Tempo auch prima.

Nach welcher Anleitung wurden OpenVPN denn eingerichtet ?

Nach der von http://www.hanscees.com/sme7/smecontribs.html !

Am besten mal folgendes Posten:
Bei bestehender OpenVPN Verbindung:

Code: [Select]

netstat -rn
Dann sieht man schon ein bischen mehr...

Ok, dann hier mein Ergebnis:

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags   MSS Fenster irtt Iface
10.4.0.1        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.178.0   0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.89.0    10.4.0.2        255.255.255.0   UG        0 0          0 tun0
0.0.0.0         192.168.178.254 0.0.0.0         UG        0 0          0 eth0


Kurz zur Erklärung:
192.168.178.0 <- das Netz auf dem ich das netstat -rn ausgeführt habe.
192.168.89.0 <- das gegenüberliegende Netz
192.168.89.254 und 192.168.178.254 -> die Fritz-Boxen
Logischerweise sind die 10.4.0.1 und 10.4.0.2 dann die VPN IPs !

Ich danke schonmal für die Hilfe  !!!


Hab zur Sicherheit nochmal das gleiche auf dem gegenüberliegenden Rechner gemacht. Sieht etwas anders aus. Könnte evtl. auch beim rumprobieren passiert sein. Hatte mit "ROUTE add" und so ein wenig probiert.   Hoffe es ist erkennbar, wo der Fehler liegt.
Hier also das Ergebnis vom zweiten Rechner:

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags   MSS Fenster irtt Iface
10.4.0.2        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.178.0   10.4.0.1        255.255.255.0   UG        0 0          0 tun0
192.168.178.0   192.168.89.253  255.255.255.0   UG        0 0          0 eth0
192.168.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
0.0.0.0         192.168.89.254  0.0.0.0         UG        0 0          0 eth0

[psc]

Ok, dann hier mein Ergebnis:

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags   MSS Fenster irtt Iface
10.4.0.1        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
192.168.178.0   0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.89.0    10.4.0.2        255.255.255.0   UG        0 0          0 tun0
0.0.0.0         192.168.178.254 0.0.0.0         UG        0 0          0 eth0


Kurz zur Erklärung:
192.168.178.0 <- das Netz auf dem ich das netstat -rn ausgeführt habe.
192.168.89.0 <- das gegenüberliegende Netz
192.168.89.254 und 192.168.178.254 -> die Fritz-Boxen
Logischerweise sind die 10.4.0.1 und 10.4.0.2 dann die VPN IPs !
...

Gibt es unter "Sicherheit" "Lokale Netzwerke" für  192.168.89.0 einen Eintrag auf dem 192.168.178.x SME Server und dementsprechend einen Eintrag 192.168.178.0 auf dem 192.168.89.x SME Server ?

[bluestar]

Gibt es unter "Sicherheit" "Lokale Netzwerke" für  192.168.89.0 einen Eintrag auf dem 192.168.178.x SME Server und dementsprechend einen Eintrag 192.168.178.0 auf dem 192.168.89.x SME Server ?

Das schau ich heut Nachmittag sofort nach. Bin leider unterwegs.
Das Netstat hab ich ebend per SSH gemacht.
Poste dann mein Ergebnis! *g*

Nochmals DANKE!

[bluestar]

Gibt es unter "Sicherheit" "Lokale Netzwerke" für  192.168.89.0 einen Eintrag auf dem 192.168.178.x SME Server und dementsprechend einen Eintrag 192.168.178.0 auf dem 192.168.89.x SME Server ?

Achso... Frage: Was für eine IP trag ich (sollte da noch nichts drin stehen) dann als GATEWAY/ROUTER ein ? Die eigene VPN-IP ? Die gegenüberliegende VPN-IP ? Die lokale IP des Gegenüber ?

[psc]

Gibt es unter "Sicherheit" "Lokale Netzwerke" für  192.168.89.0 einen Eintrag auf dem 192.168.178.x SME Server und dementsprechend einen Eintrag 192.168.178.0 auf dem 192.168.89.x SME Server ?

Achso... Frage: Was für eine IP trag ich (sollte da noch nichts drin stehen) dann als GATEWAY/ROUTER ein ? Die eigene VPN-IP ? Die gegenüberliegende VPN-IP ? Die lokale IP des Gegenüber ?

Einfach die IP des lokalen SME Server, dieser ist ja der "Router" für dieses Netzwerk (via OpenVPN).
Wenn dort KEIN Eintrag steht, ist das gegenüberliegende Netz "extern" und nicht vertrauenswürdig, die Zugriffsversuche von "aussen" werden also von der Firewall geblockt.

[bluestar]

Achso... Frage: Was für eine IP trag ich (sollte da noch nichts drin stehen) dann als GATEWAY/ROUTER ein ? Die eigene VPN-IP ? Die gegenüberliegende VPN-IP ? Die lokale IP des Gegenüber ?

Einfach die IP des lokalen SME Server, dieser ist ja der "Router" für dieses Netzwerk (via OpenVPN).
Wenn dort KEIN Eintrag steht, ist das gegenüberliegende Netz "extern" und nicht vertrauenswürdig, die Zugriffsversuche von "aussen" werden also von der Firewall geblockt.

Also auf dem 192.168.178.253 trag ich das netz 192.168.89.0 ein und als Router dafür dann die 192.168.178.253 ?

[psc]

Also auf dem 192.168.178.253 trag ich das netz 192.168.89.0 ein und als Router dafür dann die 192.168.178.253 ?

Genau:
Netzwerk Adresse:   192.168.89.0
Subnetz-Maske:       255.255.255.0
Router:                    192.168.178.253

[bluestar]

Also auf dem 192.168.178.253 trag ich das netz 192.168.89.0 ein und als Router dafür dann die 192.168.178.253 ?

Genau:
Netzwerk Adresse:   192.168.89.0
Subnetz-Maske:       255.255.255.0
Router:                    192.168.178.253

Hab alles so eingetragen....
Ergebnis: Weiterhin keine Änderung!
PING von VPN-Server zu VPN-Server klappt.
PING von irgenteinem Rechner von NETZ-A zum VPN-Server von NETZ-B klappt auch.. Aber
PING von irgenteinem Rechner von NETZ-A zu irgenteinem anderen Rechner in NETZ-B klappt nicht!
Heul......    

[gerd]

bluestar,
Deine letzte message stammt vom 26.07.2006. Da ich beruflich demnaechst vor der gleichen Problematik stehe: Ein VPN ist ueber zwei SME Server aufzubauen (Einrichten eines Home Office, Verbindung zu Zentrale via SME7.0 - einmal in der Zentrale und einmal in meinem Home Office) wuerde mich brennend interessieren, ob Du Dein Problem zur Zufriedenheit loesen konntest und wenn ja wie Du dies geschafft hast. Ich habe absolut kein Problem neue Dinge selbst auszuprobieren, aber wenn man die "Stolperfallen" vorher kennt tut man sich halt etwas leichter...