enceee
Feb 04, 2011, updated at Oct 18, 2012 (UTC)
view4712
view19
1
Goto Top

OpenVPN Routingprobleme

GermanQuestionRouters, RoutingNetworks
Hallo Leute,

nach etlichen Versuchen und so manchen grauen Haaren, wende ich mich jetzt an euch. Ich habe mit OpenVPN erfolgreich eine Verbindung zwischen clients und dem server aufgebaut. Ich krieg es einfach nicht, die Routes so zu setzen, das ich auf das LAN hinter dem Server zugreifen kann. Ich habe glaub ich schon so ziemlich alles tuts durchgekämpft, die passen könnten. Ich find den Fehler einfach nicht. Ports auf Serverseite sind auf dem Router zum Server-PC geforwarded und eine statische Route ist ebenfalls vergeben (siehe unten).

Situation wie folgt:

LAN1 (ServerLAN)
IP-Bereich: 192.168.1.0/255.255.255.0 (alles statisch vergeben)
lokale IP Server: 192.168.1.180
VPN IP Server: 10.0.10.1/255.255.255.0
IP Router (Gateway): 192.168.1.1
WAN-IP und DNS des Routers sind statisch vergeben

LAN2
IP-Bereich: 192.168.34.0/255.255.255.0 (via DHCP)
VPN-Clients-Bereich: 10.0.10.0/255.255.255.0 (dynamisch vergeben, siehe server-conf)
IP Router (Gateway): 192.168.34.250
WAN-IP dynamisch über ISP


SERVER-Config
mode server
tls-server
proto udp
port 1194
dev tap
dev-node XXXXX
dh "PFAD"\dh1024.pem
ca "PFAD"\ca.crt
key "PFAD"\server.key
cert "PFAD"\server.crt
ifconfig 10.0.10.1 255.255.255.0
ifconfig-pool 10.0.10.2 10.0.10.10
client-to-client
float
push "route 192.168.1.0 255.255.255.0"
push "route-gateway 10.0.10.1"
tun-mtu 1500
tun-mtu-extra 32
max-clients 6
verb 3
mute 50
keep-alive 10 60
ping-timer-rem
persist-key
persist-tun

CLIENT-Config
remote WWW.XXX.YYY.ZZZ
port 1194
dev tap
dev-node XXXXX
tls-client
ca "PFAD"\ca.crt
key "PFAD"\client.key
cert "PFAD"\client.crt
ns-cert-type server
pull
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun

Die statische Route auf dem Router der Serverseite sieht so aus
Destination IP-Adress: 10.0.10.0
IP Subnet Mask: 255.255.255.0
Gateway IP-Adress: 192.168.1.180


Folgend die Routing-tabelle der Clientseite (interessant ist die schnittstelle des vorletzten eintraese der aktiven routen)

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.34.250 192.168.34.150 25
10.0.10.0 255.255.255.0 10.0.10.2 10.0.10.2 30
10.0.10.2 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.10.2 10.0.10.2 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 192.168.34.150 192.168.34.150 30
192.168.1.0 255.255.255.0 10.0.10.1 10.0.10.2 1
192.168.34.0 255.255.255.0 192.168.34.150 192.168.34.150 25
192.168.34.150 255.255.255.255 127.0.0.1 127.0.0.1 25
192.168.34.255 255.255.255.255 192.168.34.150 192.168.34.150 25
224.0.0.0 240.0.0.0 10.0.10.2 10.0.10.2 30
224.0.0.0 240.0.0.0 192.168.34.150 192.168.34.150 25
255.255.255.255 255.255.255.255 10.0.10.2 10.0.10.2 1
255.255.255.255 255.255.255.255 192.168.34.150 b0004 1
255.255.255.255 255.255.255.255 192.168.34.150 192.168.34.150 1
Standardgateway: 192.168.34.250
Ständige Routen:
Keine


Ich hoffe Ihr könnt mir helfen und meinen Fehler finden. Würde die ganze Sache gerne mal zum Abschluss bringen.

Gruss
enceee
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 160177

Url: https://administrator.de/contentid/160177

Printed on: April 18, 2024 at 02:04 o'clock

19 Comments
Latest comment
Goto Top
Member: aqui
aqui Feb 04, 2011, updated at Oct 18, 2012 at 16:45:45 (UTC)
Goto Top
Dieses Tutorial hast du gelesen...??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das steht eigentlich alles um das auf Anhieb zum Fliegen zu bringen !
Die Konfig ist immer identisch, egal welche HW.
Member: enceee
enceee Feb 04, 2011 at 22:02:06 (UTC)
Goto Top
Router ist nicht DD-WRT-fähig.
Member: MiniStrator
MiniStrator Feb 05, 2011 at 00:55:55 (UTC)
Goto Top
Die statische Route auf dem Router der Serverseite sieht so aus
Destination IP-Adress: 10.0.10.0
IP Subnet Mask: 255.255.255.0
Gateway IP-Adress: 192.168.1.180

Hi,

fehlt da vielleicht ne Route 192.168.34.0/24 10.0.10.1?
kenn mich mit openVPN nicht wirklich aus, aber der Router sollte doch erfahren wo er Pakete an 192.168.34.0/24 hinschicken soll?

Ne Routing Tabelle vom Server wär gut und die Ausgabe eines tracert auf beiden Seiten

Gruß
MiniStrator
Member: enceee
enceee Feb 05, 2011 at 05:59:45 (UTC)
Goto Top
Hier die RT der Serverseite

Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.180 10
10.0.10.0 255.255.255.0 10.0.10.1 10.0.10.1 30
10.0.10.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.10.1 10.0.10.1 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.180 192.168.1.180 10
192.168.1.180 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.180 192.168.1.180 10
224.0.0.0 240.0.0.0 10.0.10.1 10.0.10.1 30
224.0.0.0 240.0.0.0 192.168.1.180 192.168.1.180 10
255.255.255.255 255.255.255.255 10.0.10.1 10.0.10.1 1
255.255.255.255 255.255.255.255 10.0.10.1 2 1
255.255.255.255 255.255.255.255 192.168.1.180 192.168.1.180 1
Default Gateway: 192.168.1.1
Persistent Routes:
None



fehlt da vielleicht ne Route 192.168.34.0/24 10.0.10.1?
kenn mich mit openVPN nicht wirklich aus, aber der Router sollte doch erfahren wo er Pakete an 192.168.34.0/24 hinschicken soll?


Meinst du den Route brauche ich? Im Prinzip soll er ja die Pakete an die Clients zurückschicken (10.0.10.0/10). Welche lokale IP die Clients haben ist doch erstmal egel, oder?

Ich habe die Vermutung, dass es mit dem statischen WAN-DNS auf der Serverseite zu tun hat. Ist das möglich?
Member: broecker
broecker Feb 05, 2011 at 08:05:05 (UTC)
Goto Top
fehlt da vielleicht ne Route 192.168.34.0/24 10.0.10.1?
genau!
und noch ein Hinweis, wenn man eh alles anfaßt, vielleicht sollte man 10. als Tunnel meiden, im Zusammenspiel mit UMTS-Adaptern wird häufig "als quasi öffentliche" ein bischen 10. vergeben und scheidet dann komplett (!!!) aus, ich habe gute Erfahrungen mit 172.16-31.x.x in dem Szenario gemacht.
Member: enceee
enceee Feb 05, 2011 at 08:47:06 (UTC)
Goto Top
das versteh ich nicht ganz. Also die o.a. Route soll auf der Serverseite eingerichtet werden? spielt denn die 192.168.34.0 Subnet überhaupt eine rolle? Das würde ja bedeuten, dass die Verbindung dann nur klappt, wenn ich in dem besagten Netzwerk LAN2 bin. Wenn ich jetzt von unterwegs auf das LAN1 zugreifen möchte, dann klappt das ja nicht mehr oder?
Member: aqui
aqui Feb 06, 2011 at 12:56:44 (UTC)
Goto Top
@enceee
..."Router ist nicht DD-WRT-fähig." = Diese Aussage ist völlig irrelevant ! Es spielt bei OpenVPN keinerlei Rolle ob das auf DD-WRT oder Debian, SuSE oder Mac OS-X oder was auch immer rennt. Das solltest du als OpenVPN Benutzer eigentlich ja mittlerweile wissen.
Relevant ist einzig die Konfig Datei.
Genau die ist explizit im o.a. Tutorial beschrieben. Wenn du dem also schritt für Schritt folgst und das entsprechend umsetzt wird das in wenigen Minuten genau so funktionieren wie du es willst !!
Das ist eine einfache und simple Standard Konfig !!
Member: MiniStrator
MiniStrator Feb 06, 2011 at 14:44:46 (UTC)
Goto Top
Hi,

DNS glaub ich nicht. Ausser du testest mit 'ping server1' oder sowas. Was geht denn eigentlich genau nicht? Sollte sich der Tunnnel aufbauen lassen, was gibt am Client ein tracert '192.168.1.180' aus?
Wenn du auf das LAN hinter dem VPN-Server zugreifen willst, was haben die für ein Standardgateway? Den Server oder den Router? Funktioniert auf diesen ein 'Ping 10.0.10.1' ?
Ist auf dem Server Routing überhaupt aktiviert?

Gruß
MiniStrator
Member: enceee
enceee Feb 07, 2011 at 16:52:13 (UTC)
Goto Top
also ping vom client auf 192.168.1.180 geht. Die Rechner im LAN hinter dem Server haben die 192.168.1.1 (Router) als Standardgateway. Der wiederum hat ne statische Route auf 192.168.1.180 für Anfragen des 10.0.10.0er Netzes. Ich kann auf keinen der REchner im LAn hinter dem Server zugreifen (kein Ping und auch kein Zugriff). Es befindet sich auch noch ein NAS hinter dem Server. Hab da mal die 192.168.1.180 als Standardgateway definiert. geht auch nicht. Hab dann beim NAS mal ne statische Route eingefügt. 10.0.10.0er Netz auf 192.168.1.180 leiten. Geht auch nicht. Hoffe euch fällt noch was ein.

tracert vom client aus ergibt:

Routenverfolgung zu 192.168.1.180 über maximal 30 Abschnitte

1 83 ms 55 ms 55 ms 192.168.1.180

Ablaufverfolgung beendet.
Member: MiniStrator
MiniStrator Feb 07, 2011 at 17:09:50 (UTC)
Goto Top
Hi!

Was hat auf dem Server in der Registry HKLM/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/IPEnableRouter für einen Wert?
Wenn 0 dann probier mal mit 1.

MiniStrator
Member: enceee
enceee Feb 07, 2011 at 17:24:37 (UTC)
Goto Top
Die Änderung bewirkt auch kein erfolgreiches Resultat.
Member: MiniStrator
MiniStrator Feb 07, 2011 at 17:31:23 (UTC)
Goto Top
Was sagt ein tracert 192.168.1.andererrechner vom Client?
Und ein tracert 10.0.10.1 von nem anderen Rechner im 192.168.1 Netz?
Member: enceee
enceee Feb 07, 2011 at 18:36:38 (UTC)
Goto Top
Was sagt ein tracert 192.168.1.andererrechner vom Client?

C:\>tracert 192.168.1.254

Routenverfolgung zu 192.168.1.254 über maximal 30 Abschnitte

1 85 ms 56 ms 55 ms 10.0.10.1
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.

usw.

Und ein tracert 10.0.10.1 von nem anderen Rechner im 192.168.1 Netz?

traceroute to 10.0.10.1 (10.0.10.1), 30 hops max, 40 byte packets
1 10.0.10.1 (10.0.10.1) 164.574 ms

Edit:

Merke gerade, dass ich zugriff auf den Router im 192.168.1.0er LAN habe. Aber komme nicht an die REchner dahinter
Member: MiniStrator
MiniStrator Feb 07, 2011 at 19:17:30 (UTC)
Goto Top
Also ist der Server der Blocker. Von 192.168.1.x geht, nehm ich an, auch kein ping nach 10.0.10.2 aber vom VPN Server aus schon.

Hast du mit den registrysettings mal einen reboot gemacht? Diese Einstellung wäre, falls RAS nicht konfiguriert ist, wichtig.

Merke gerade, dass ich zugriff auf den Router im 192.168.1.0er LAN habe. Aber komme nicht an die REchner dahinter

Gib mal dem Testclient ne hart verdrahtete Route 192.168.1.0/24 gw 10.0.10.1 mit.
Wenns dann immer noch nicht tut, dem Rechner im 1er Netz noch ne Route 10.0.10.0/24 gw 192.168.1.180

Harter Brocken das...
Member: enceee
enceee Feb 07, 2011 at 19:34:28 (UTC)
Goto Top
Zitat von @MiniStrator:
Also ist der Server der Blocker. Von 192.168.1.x geht, nehm ich an, auch kein ping nach 10.0.10.2 aber vom VPN Server aus schon.

ping vom 192.168.1.1 zu 10.0.10.2:

Operation succeeded.
64 bytes from 10.0.10.2: icmp_seq=0 ttl=127
64 bytes from 10.0.10.2: icmp_seq=1 ttl=127
64 bytes from 10.0.10.2: icmp_seq=2 ttl=127
64 bytes from 10.0.10.2: icmp_seq=3 ttl=127

geht also schon


trace route von 192.168.1.1 zu 10.0.10.2:
traceroute to 10.0.10.2 (10.0.10.2), 30 hops max, 40 byte packets
1 192.168.1.180 (192.168.1.180) 144.232 ms
2 10.0.10.2 (10.0.10.2) 66.129 ms

geht auch

also schiebt er die pakete anscheinend doch über den Server (lokal 192.168.1.180->VPN10.0.10.1) auf den Client (10.0.10.2). Irgendwie ist das strange.

Zitat von @MiniStrator:
Hast du mit den registrysettings mal einen reboot gemacht? Diese Einstellung wäre, falls RAS nicht konfiguriert ist,
wichtig.

Hab ich!!!


Zitat von @MiniStrator:
Harter Brocken das....

Du sagst bzw. schreibst es!!!!
Member: MiniStrator
MiniStrator Feb 07, 2011 at 19:42:53 (UTC)
Goto Top
also schiebt er die pakete anscheinend doch über den Server (lokal 192.168.1.180->VPN10.0.10.1) auf den Client (10.0.10.2). Irgendwie ist das strange.

Ja nö, der Server ist ja das einzige wo das 10.0.10.x Netz kennt. Das müss über den gehen.

Also wenn du von 192.168.1.1 nach 10.0.10.2 kommst (und zurück, sonst tät ja kein Ping gehen) was ist es dann wo nicht geht?

Edit: Öhm, nimm mal die 10.0.10.0 Route vom Router raus

Edit2: Ich seh grad, 192.168.1.1 ist ja der Router. Was sagt das tracert von einem anderen Rechner in dem Netz?
Member: MiniStrator
MiniStrator Feb 07, 2011 at 20:09:33 (UTC)
Goto Top
Der Fernseher und der Wein rufen mich gerade, sorry, morgen weiter..

N8
Member: enceee
enceee Feb 07, 2011 at 20:15:33 (UTC)
Goto Top
Kein Ding, jetzt komm ich eh gar nicht mehr auf den Server nach dem ich die Route gelöscht habe.
Muss wohl morgen auch erstmal wieder schauen, was da los ist.

gutes nächtle und lass dir den wein schmecken

EDIT:

Zitat von @MiniStrator:
Edit: Öhm, nimm mal die 10.0.10.0 Route vom Router raus

Ohne die Route kein Ping oder erfolgreicher tracert vom 192.168.1.0er Netz auf 10.0.10.1 möglich

mit Route:

C:\>tracert 10.0.10.1

Routenverfolgung zu 10.0.10.1 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms 192.168.1.1
2 3 ms 2 ms 3 ms 10.0.10.1

Ablaufverfolgung beendet.

Gruss enceee
Member: MiniStrator
MiniStrator Feb 09, 2011 at 21:15:51 (UTC)
Goto Top
Hi,

sorry, edit löst keine Mail aus...

Und was macht ein tracert 10.0.10.2? (wenn ein VPN-Client verbunden ist und diese Adresse hat)

Gruß MiniStrator

Ach ja, danke, Wein war gut face-wink
GermanQuestionRouters, RoutingNetworks
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment