Wenn ich es richtig verstehe ist eth0 bei Dir mit dem LAN verbunden. Wohin geht eth1? Prinzipiell sollte man nicht das selbe Subnetz auf mehren Karten im selben Rechner einstellen. Das schafft nur Probleme.
Richtig. eth0 ist mit dem LAN verbunden. Allerdings hat eth0 nicht direkt eine IP sondern steckt mit vnet0 zusammen in br0. Diese Bridge hat eine lokale IP (192.168.1.1).
Das ist notwendig, weil über vnet0 ein virtualisierter Windowsserver ans Netz angebunden wird.
eth1 ist (zur Zeit für meine Tests) ebenfalls mit einer lokalen IP (192.168.1.3) versorgt.
OpenVPN für den Zugriff von außen sollte immer soweit wie möglich am Internet dran sein, am besten auf dem Gerät das mit dem Internet verbunden ist. Wenn es eine Fritzbox ist, da kriegt man OpenVPN auch drauf.
Es ist ein Funkwerk-Router. Der kann von Haus aus IpSec, aber das gefällt mir nun gar nicht, u.a. weil die Clients für Windows Geld kosten - jedenfalls die, die halbwegs funktionieren. Außerdem habe ich den Drang, das selbst zu machen
Der Router reicht die OpenVPN-Pakete direkt an den Server durch, das funktioniert auch.
Die Default-Routen aller Rechner im Netz sollten über den Rechner mit OpenVPN Server durchlaufen. Dann werden auf dem Server die "Rückantwort-Pakete" in den Tunnel geroutet, "nicht VPN"-Pakete jedoch ins Internet. Wenn der OpenVPN-Server nicht auf der Default-Route liegt, müsste man auf jedem Rechner, auf den zugegriffen werden soll, explizit eine VPN-Route konfigurieren, sonst laufen die Antworten ins Internet und Du bekommst keine Verbindung zustande.
Ahhh, dann wird es das wohl sein. Die Default-Route ist nämlich die zum Router ...
Wie müsste so eine VPN-Route denn aussehen
? Im lokalen Netz sind die Rechner untereinader ja erreichbar, eine Route die Pakete nach 192.168.1.0 über das jeweilige NIC schickt ist demnach ja vorhanden. Sonst wären ja auch die beiden Server nicht erreichbar.
Bevor ich jetzt anfange, die Infrastruktur umzubauen würde ich gerne versuchen, es doch noch so zum laufen zu bekommen
In dem Zusammenhang beschäftigt man sich normalerweise auch mit IP-Tables, weil man ja einen Router aufbaut und bestimmen möchte wer was wohin routen darf. Ist aber nicht zwingend notwendig.
Naja, das Routing mit iptables habe ich nicht wirklich hinbekommen. Ich denke, ich muss auf meinem Server erreichen, daß Pakete aus dem Netz 10.8.0.0 nach 192.168.1.0 geroutet werden und umgekehrt.
Aber jetzt zu Deiner eigentlichen Frage: Die Antwort ist:
echo 1 > /proc/sys/net/ipv4/ip_forward
oder beim Booten:
$ fgrep forward /etc/sysctl.conf
Ist gegeben. Muss ja, da ich das schon für die Bridge brauche
42m