OVPN Client Host(w7) --> und VMWare Gast Tunnel nutzbar

[Andi_G]

Hallo Community,

ich verzweifel gerade irgendwie um folgendes hinzubekommen:

Host W7 mit LAN/WLAN/UMTS + OpenVPN + Internet
Gast W7 soll den Host Tunnel nutzen können, aber keinesfalls selbst ins Internet dürfen.

Gast hat eine Standard bridged Verbindung auf Host LAN/WLAN.
Gast hat eine 2. bridged Verbindung (custom) auf Host TAP Tunnel Adapter.
Netzwerk für 2. bridged Verbindung ist mit keinem anderen identisch.

Im Haus bekommt der Gast via DHCP eine eigene IP und kann gut durchs Netz - im Router ist die IP gesperrt, also Gast ist "isoliert vom Internet".

Unterwegs wollte ich die "Standard bridged" Verbindung abschalten und via der "2. bridged "durch den Tunnel arbeiten.
Der Host darf dabei weiterhin ins Internet, muss er ja auch.

Irgendwie bekomme ich es nicht hin - bin auch leider kein Netzwerk Admin, sondern nur semi professioneller, besserer User (Hauptbenutzer nennt M$ so etwas)

Wenn ich NAT verwende klappt es, aber dann kommt der Gast auch ins Internet.
Das soll ja nicht passieren.
Wenn ich das NAT einschränken könnte auf den VPN Adapter vom Host, wäre mir auch schon geholfen.
Weil entweder google ich mit den falschen Begriffen oder es scheint mit bridged irgendwie nicht so einfach zu funktionieren.

Wisst ihr Rat?
Danke
Andi

[~thc]

Teste erst mal, ob das Bridging zum TUN-Adapter überhaupt funktioniert. Der Tunnel von OpenVPN setzt per Standard im normalen (TUN) Modus ein 10.8.0.x-Netzwerk mit passenden Routen auf dem Host. Gib dem Gast auf dem Bridged-TUN-Adapter eine passende Adresse (10.8.0.220) und versuche, die Adressen 10.8.0.1 bis 10.8.0.6 anzupingen.

[Andi_G]

Hi ~thc,

du scheinst die wunden Punkte zu kennen.

Also wenn ich in der vmware nur den einen bridged Adapter aktiv habe, welcher am Host via custom bridged verbunden ist, dann geht kein Ping irgendwohin.
Die default route auf dem Host wurde dabei auch schon auf den Tunnel "umgelegt"

Hier die configs:

auf dem VPN Server ist eingestellt: 10.0.20.1/24 als VPN Netz

auf dem Client Host wird IP gesetzt:
. 10.0.20.6 mit DHCP-Serv 10.0.20.1 und Mask 255.255.255.252
. auf dem Client Host wird kein Gateway per Tunnel DHCP gesetzt, aber Routen folgende eingetragen:
. "öffentliche IP meines Heimnetzes" MASK 255.255.255.255 "Gateway-IP des internen Netzes"
. 0.0.0.0 MASK 128.0.0.0 10.0.20.5
. 128.0.0.0 MASK 128.0.0.0 10.0.20.5
. "internes Netz" MASK 255.255.224.0 10.0.20.5
. 10.0.20.1 MASK 255.255.255.255 10.0.20.5

auf dem Client Gast habe ich folgendes eingestellt:
. 10.0.20.220 mit 255.255.255.0 als Mask

Vom Host aus kann ich 10.0.20.1(DHCP Server vom Tunnel) und die 10.0.20.6 (Host selbst) pingen

Aus dem Gast heraus kann ich gar nichts aus dem 10.0.20.1 Netz anpingen.
Warum das nicht? Muss ich auf dem Server "client to client" aktivieren, damit die Tunnel Maske erweitert wird und sich die Tunnel Geräte untereinander sehen dürfen?
Gruß
Andi

[~thc]

Wenn du da vom Client nicht herauskommst, heißt das für mich, dass das VMWare Bridging (OSI Level 2) nicht auf einem virtuellen TAP-Interface mit TUN-Netzwerk (OSI Level 3) funktioniert.

Das Pragmatischste wäre, den Gast "draußen" per NAT anzubinden und auf dem Gast-OS selbst einen OpenVPN-Client mit default-Route zu fahren. Dann wird alles durch den VPN-Tunnel geroutet und du hast am Tunnelende die Kontrolle über die Pakete. Bis zum Aufbau den Tunnels ist dann der Gast aber kurz im Netz.

[Andi_G]

Hi ~thc,

ich habe jetzt erstmal eine "schnelle Lösung" gefunden. Ich deaktivere den NAT Dienst auf dem HoSt beim Windowsstart. Dann nutze ich up-cmd und pre-down um den WinDienst jeweils anzupassen.
In Verbindung mit der "default routen" Änderung in den Tunnel scheint es vorerst eine Lösung zu sein.
Die richtige Lösung muss ich mir dann in den nächsten Tagen mal - wahrscheinlich mit eurer Hilfe - erarbeiten, so dass ich den NAT Dienst nicht nutzen muss. Der läßt sich ja scheinbar nicht auf einen Host Adapter einschränken.
Danke schon mal und ich bin mir sicher wir treffen uns hier bald wieder.
Gruß
Andi