Damit man vom OpenVPN Server auf die OpenVPN Client Netze zugreifen kann ist in der Konfiguration des Servers die Option:
route NETZWERK NETMASK |
einzutragen und zusätzlich im client-config-dir eine Datei mit dem Namen des clients und einer iroute:
iroute NETZWERK NETMASK |
Nun könnte man auf die Idee kommen, dass man das „route“ Kommando auch gleich ins Client config file packt, so dass die route nicht schon beim starten des OpenVPN Servers, sondern erst beim Verbinden des Clients erstellt würde.
Dies schlägt jedoch Fehl und man bekommt die irreführende Meldung:
option 'route' cannot be used in this context |
angezeigt.
Obwohl es wahrscheinlich technisch möglich wäre, geht OpenVPN davon aus, dass man in der Konfiguration user/group auf etwas anderes als „root“ gesetzt hat (was sicherheitstechnisch auch sehr zu empfehlen ist!).
In diesem Falle startet openvpn zwar als root (und setzt die routen gemäss den „route“ Kommandos) entsprechend, doch gibt nachher die root Rechte ab und läuft als user (meist: „openvpn“) weiter. Dann ist es gar nicht mehr möglich mit User-Privilegien eine route im System zu setzten, weshalb OpenVPN das entsprechend von vornherein gar nicht zulässt.