Feste IP vergabe für SSL-VPN Clients
Moderator: Securepoint
Feste IP vergabe für SSL-VPN Clients
unter den Benutzern kann eine IP Adresse hinterlegt werden, die die Benutzer beim Einwählen bekommen...
Hallo Petasch,
ich finde unte,r Authentifizierung > Benutzer > Benutzer editieren > VPN, den Wert SSL-VPN IP Adresse!
Ich dachte mir schon das hier die Funktion für die Feste IP Adresse liegt wollte es aber genau wissen
Ich werds gleich morgen mal testen!
ich finde unte,r Authentifizierung > Benutzer > Benutzer editieren > VPN, den Wert SSL-VPN IP Adresse!
Ich dachte mir schon das hier die Funktion für die Feste IP Adresse liegt wollte es aber genau wissen
Ich werds gleich morgen mal testen!
Hallo,
ich habe die IP Adresse für den Test auf 192.168.250.111 gesetzt.
Der erneute Versuch die Verbindung aufzubauen ergab folgendes Problem lt. Lod:
Fri Oct 07 11:19:45 2011 [SYSTEMNAME] Peer Connection Initiated with xxx.xxx.xxx.xxx:1194
Fri Oct 07 11:19:48 2011 SENT CONTROL [SYSTEMNAME]: 'PUSH_REQUEST' (status=1)
Fri Oct 07 11:19:48 2011 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 192.168.250.1,topology net30,ping 10,ping-restart 120,ifconfig 192.168.250.111 192.168.250.109'
Fri Oct 07 11:19:48 2011 OPTIONS IMPORT: timers and/or timeouts modified
Fri Oct 07 11:19:48 2011 OPTIONS IMPORT: --ifconfig/up options modified
Fri Oct 07 11:19:48 2011 OPTIONS IMPORT: route options modified
Fri Oct 07 11:19:48 2011 ROUTE default_gateway=192.168.50.5
Fri Oct 07 11:19:48 2011 There is a problem in your selection of --ifconfig endpoints [local=192.168.250.111, remote=192.168.250.109]. The local and remote VPN endpoints cannot use the first or last address within a given 255.255.255.252 subnet. This is a limitation of --dev tun when used with the TAP-WIN32 driver. Try 'openvpn --show-valid-subnets' option for more info.
Fri Oct 07 11:19:48 2011 Exiting
Weis jemand Rat?
ich habe die IP Adresse für den Test auf 192.168.250.111 gesetzt.
Der erneute Versuch die Verbindung aufzubauen ergab folgendes Problem lt. Lod:
Fri Oct 07 11:19:45 2011 [SYSTEMNAME] Peer Connection Initiated with xxx.xxx.xxx.xxx:1194
Fri Oct 07 11:19:48 2011 SENT CONTROL [SYSTEMNAME]: 'PUSH_REQUEST' (status=1)
Fri Oct 07 11:19:48 2011 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 192.168.250.1,topology net30,ping 10,ping-restart 120,ifconfig 192.168.250.111 192.168.250.109'
Fri Oct 07 11:19:48 2011 OPTIONS IMPORT: timers and/or timeouts modified
Fri Oct 07 11:19:48 2011 OPTIONS IMPORT: --ifconfig/up options modified
Fri Oct 07 11:19:48 2011 OPTIONS IMPORT: route options modified
Fri Oct 07 11:19:48 2011 ROUTE default_gateway=192.168.50.5
Fri Oct 07 11:19:48 2011 There is a problem in your selection of --ifconfig endpoints [local=192.168.250.111, remote=192.168.250.109]. The local and remote VPN endpoints cannot use the first or last address within a given 255.255.255.252 subnet. This is a limitation of --dev tun when used with the TAP-WIN32 driver. Try 'openvpn --show-valid-subnets' option for more info.
Fri Oct 07 11:19:48 2011 Exiting
Weis jemand Rat?
Ja,
Sie können nicht beliebige IPs vergeben.
Für jeden User wird ein /30.Netz benutzt
192.168.250.6 wäre z.B. gültig
192.168.250.4 - Netzadresse
192.168.250.5 - Gateway des Clients
192.168.250.6 - IP des Clients
192.168.250.7 - Broadcast
Sie können nicht beliebige IPs vergeben.
Für jeden User wird ein /30.Netz benutzt
192.168.250.6 wäre z.B. gültig
192.168.250.4 - Netzadresse
192.168.250.5 - Gateway des Clients
192.168.250.6 - IP des Clients
192.168.250.7 - Broadcast
There are 10 types of people in the world... those who understand binary and those who don\'t.
Hallo,
die Information ist ja schon mal gut, danke!
Ums vollständig zu verstehen hier noch zwei Fragen zum Thema:
1. Ich kann dann per VPN Netz "nur" knappe 60 Clients verbinden wenn ich davon ausgehen muss das jeder Client vier IP Adressen belegt, stimmt das soweit?
2. Um vollständige Übersicht zu bekommen würde ich die bisherigen Clients ebenfalls mit festen IP Adresse ausrüsten, bsp:
Wenn ich also starten mit der Adresse für Clients auf 250.6 anschliessend 250.10 über 250.14 > 250.20 > usw. dann bekäme ich keine Probleme für die "Festen" Adressen der VPN Clients, ist das richtig?
Gruß
Sascha
die Information ist ja schon mal gut, danke!
Ums vollständig zu verstehen hier noch zwei Fragen zum Thema:
1. Ich kann dann per VPN Netz "nur" knappe 60 Clients verbinden wenn ich davon ausgehen muss das jeder Client vier IP Adressen belegt, stimmt das soweit?
2. Um vollständige Übersicht zu bekommen würde ich die bisherigen Clients ebenfalls mit festen IP Adresse ausrüsten, bsp:
Wenn ich also starten mit der Adresse für Clients auf 250.6 anschliessend 250.10 über 250.14 > 250.20 > usw. dann bekäme ich keine Probleme für die "Festen" Adressen der VPN Clients, ist das richtig?
Gruß
Sascha
Hallo,
danke fürs Feedback!
Ich würde die Option von /20 auf /24 gern nutzen damit ich mir genug Luft machen kann um die ganzen Filialen gleichzeitig anbinden zu können.
Ich bin gerade per SOC auf der Maschine des Kunden.
Ich würde unter "Netzwerkkonfiguration" die Schnittstelle tun0 verändern und unter "IP-Adressen" die 192.168.250.1/24 löschen um anschliessend den Wert 192.168.250.1/20 eintragen.
Danach würde ich Appliance neustarten, für alle bisherigen Clients ändert sich ja dann nichts, oder?
Das sind dann, so denke ich, alle nötigen Eisntellungen. Kann ich so vorgehen?
Danke schon mal im voraus! Gruß Sascha
danke fürs Feedback!
Ich würde die Option von /20 auf /24 gern nutzen damit ich mir genug Luft machen kann um die ganzen Filialen gleichzeitig anbinden zu können.
Ich bin gerade per SOC auf der Maschine des Kunden.
Ich würde unter "Netzwerkkonfiguration" die Schnittstelle tun0 verändern und unter "IP-Adressen" die 192.168.250.1/24 löschen um anschliessend den Wert 192.168.250.1/20 eintragen.
Danach würde ich Appliance neustarten, für alle bisherigen Clients ändert sich ja dann nichts, oder?
Das sind dann, so denke ich, alle nötigen Eisntellungen. Kann ich so vorgehen?
Danke schon mal im voraus! Gruß Sascha
Ich habe natürlich mit /20 Quatsch erzählt, das wäre /22 um auf 255 zu kommen
Netzadresse:
192.168.248.0
Broadcast:
192.168.251.255
Host-IPs von:
192.168.248.1
Bis:
192.168.251.254
und deswegen würde ich die IP von tun0 auf 192.168.248.1/22 legen und dort auch starten.
Netzadresse:
192.168.248.0
Broadcast:
192.168.251.255
Host-IPs von:
192.168.248.1
Bis:
192.168.251.254
und deswegen würde ich die IP von tun0 auf 192.168.248.1/22 legen und dort auch starten.
There are 10 types of people in the world... those who understand binary and those who don\'t.
Also, vorsichtig wie ich bin setze ich die tun0 auf die von Ihnen angegebene Einstellung 192.168.248.1/22 - starte die Appliance neu - verpassen allen VPN Clients feste IP Adressen im Bereich 248.1 bis 248.254!
Alle Clients können sich dann ohne weitere Anpassungen per VPN Verbinden, bekommen die Festen IP Adresse und ich wir haben das Ergebnis das wir anstreben!
Richtig soweit?
Alle Clients können sich dann ohne weitere Anpassungen per VPN Verbinden, bekommen die Festen IP Adresse und ich wir haben das Ergebnis das wir anstreben!
Richtig soweit?
Hallo Carsten,
ich glaube ich mache hier etwas grundlegendes falsch!
Ich habe, wie besprochen, den tun0 abgeändert auf
192.168.248.1/22
Den Eintrag "192.168.250.1" habe ich gelöscht!
Danach habe ich das System neu gestartet und für meine VPN Konfiguration die Feste IP Adresse 192.168.248.201 angelegt.
Danach habe ich noch mein Netzwerkobjekt auf 192.168.248.201 angepasst (hatte vorher die Feste IP 192.168.250.6).
Im log meiner OPEN-VPN bekomme ich wieder folgenden Hinweis:
Wed Nov 02 13:54:20 2011 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 192.168.248.1,topology net30,ping 10,ping-restart 120,ifconfig 192.168.248.201 192.168.248.201'
Wed Nov 02 13:54:20 2011 OPTIONS IMPORT: timers and/or timeouts modified
Wed Nov 02 13:54:20 2011 OPTIONS IMPORT: --ifconfig/up options modified
Wed Nov 02 13:54:20 2011 OPTIONS IMPORT: route options modified
Wed Nov 02 13:54:20 2011 ROUTE default_gateway=192.168.50.5
Wed Nov 02 13:54:20 2011 There is a problem in your selection of --ifconfig endpoints [local=192.168.248.201, remote=192.168.248.201]. The local and remote VPN endpoints must be different. Try 'openvpn --show-valid-subnets' option for more info.
Wed Nov 02 13:54:20 2011 Exiting
Ich dachte ich könnte mit den besprochenen änderungen mein Ziel erreichen.
Wo könnte denn jetzt noch der Fehlerteufel drin stecken?
Danke im voraus!
Sascha
ich glaube ich mache hier etwas grundlegendes falsch!
Ich habe, wie besprochen, den tun0 abgeändert auf
192.168.248.1/22
Den Eintrag "192.168.250.1" habe ich gelöscht!
Danach habe ich das System neu gestartet und für meine VPN Konfiguration die Feste IP Adresse 192.168.248.201 angelegt.
Danach habe ich noch mein Netzwerkobjekt auf 192.168.248.201 angepasst (hatte vorher die Feste IP 192.168.250.6).
Im log meiner OPEN-VPN bekomme ich wieder folgenden Hinweis:
Wed Nov 02 13:54:20 2011 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 192.168.248.1,topology net30,ping 10,ping-restart 120,ifconfig 192.168.248.201 192.168.248.201'
Wed Nov 02 13:54:20 2011 OPTIONS IMPORT: timers and/or timeouts modified
Wed Nov 02 13:54:20 2011 OPTIONS IMPORT: --ifconfig/up options modified
Wed Nov 02 13:54:20 2011 OPTIONS IMPORT: route options modified
Wed Nov 02 13:54:20 2011 ROUTE default_gateway=192.168.50.5
Wed Nov 02 13:54:20 2011 There is a problem in your selection of --ifconfig endpoints [local=192.168.248.201, remote=192.168.248.201]. The local and remote VPN endpoints must be different. Try 'openvpn --show-valid-subnets' option for more info.
Wed Nov 02 13:54:20 2011 Exiting
Ich dachte ich könnte mit den besprochenen änderungen mein Ziel erreichen.
Wo könnte denn jetzt noch der Fehlerteufel drin stecken?
Danke im voraus!
Sascha