6
OpenVPN Probleme beim Routing
Hallo zusammen,
bei einem Kunden habe ich das folgende Szenario, dieses hat bisher auch weites gehend Funktioniert.
Haupt Standort: IP Netz 192.168.1.0 Läuft OpenVPN als Server (ehemaliger Haus Router TP-Link R460) neuer Haus Router TP-Link TL-WR1043N
Zweigstelle 1: IP Netz 192.168.20.0 Läuft OpenVPN als Client, Haus Router TP-Link R460
Büro (anderer Standort) 192.168.0.0 Läuft OpenVPN als Client (FritzBox Cable)
VPN Tunnel Netz: 192.168.200.0
an keinem Standort ist open VPN direkt auf einem Rechner Installiert, welcher mit dem Internet verbunden ist. Der Hausrouter, routet entsprechend
1194 an den Rechner mit dem Server weiter.
Verbindungsaufbau und so klappt auch alles, bzw früher gab es nur das Problem, dass Zweigstelle 1 nicht Büro anpingen konnte und umgekehrt. Das war
aber zu diesem Zeitpunkt kein MustHave sondern wäre nur NiceToHave.
Vor kurzem wurde dann am Hauptstandort der Router ausgetauscht, der neue Router wurde aber mit den gleichen Statischen Routen ausgestattet wie vorher auch.
Jedoch gibt es seit dem das Problem, dass die Zweigstellen nur noch den Rechner mit dem OpenVPN Server erreichen können, und den Router in der Hauptstelle, alle anderen Rechner in dem Netz sind nicht Pingbar. Egal ob ich es von einem Client innerhalb des Netzes versuche, oder direkt von der Maschine, auf dem der OpenVPN Client läuft, bei allem das gleiche ergebnis.
Folgene Routen sind vorhanden
Zweigstelle 1 : 192.168.20.0 Netz OpenVPN Client 192.168.20.11
Aktive Routen:
Die Routen am Router in der Zweigstelle sind wie folgt:
openvpn Config
Wie man sehen kann Windows Client, leider noch kein Linux Maschine vorhanden ;)
Standort 2 Büro
OpenVPN Client
FritzBox
und die Config
Hauptstelle
Router:
Config:
So das sollten alle Daten sein, wie gesagt das Problem kamm erst als der Router in der Hauptstelle ausgetauscht wurde, dieser ist auch nur ein Vorübergehender, da der alte keine Bandbreite mehr durch lies, und den Ping Hoch trieb.
Liebe Grüße
Xoroles
P.S.
Ein beispiel Routert von Büro auf drei systeme im Hauptsitz
Fall 1: Router Hauptsitz Erfolreich
Fall 2: OpenVPN Server
Fall 3: Windows Server
usw...
Genauso sieht es natürlich von Zweigstelle 1 aus
Anbei noch ein tracert von Büro zu Zweigstelle 1
Dieser funktioniert neuer Dings, das war früher nicht der fall.
Wie bereits erwähnt, ausser der Austausch des Routers wurde nichts verändert.
Danke
bei einem Kunden habe ich das folgende Szenario, dieses hat bisher auch weites gehend Funktioniert.
Haupt Standort: IP Netz 192.168.1.0 Läuft OpenVPN als Server (ehemaliger Haus Router TP-Link R460) neuer Haus Router TP-Link TL-WR1043N
Zweigstelle 1: IP Netz 192.168.20.0 Läuft OpenVPN als Client, Haus Router TP-Link R460
Büro (anderer Standort) 192.168.0.0 Läuft OpenVPN als Client (FritzBox Cable)
VPN Tunnel Netz: 192.168.200.0
an keinem Standort ist open VPN direkt auf einem Rechner Installiert, welcher mit dem Internet verbunden ist. Der Hausrouter, routet entsprechend
1194 an den Rechner mit dem Server weiter.
Verbindungsaufbau und so klappt auch alles, bzw früher gab es nur das Problem, dass Zweigstelle 1 nicht Büro anpingen konnte und umgekehrt. Das war
aber zu diesem Zeitpunkt kein MustHave sondern wäre nur NiceToHave.
Vor kurzem wurde dann am Hauptstandort der Router ausgetauscht, der neue Router wurde aber mit den gleichen Statischen Routen ausgestattet wie vorher auch.
Jedoch gibt es seit dem das Problem, dass die Zweigstellen nur noch den Rechner mit dem OpenVPN Server erreichen können, und den Router in der Hauptstelle, alle anderen Rechner in dem Netz sind nicht Pingbar. Egal ob ich es von einem Client innerhalb des Netzes versuche, oder direkt von der Maschine, auf dem der OpenVPN Client läuft, bei allem das gleiche ergebnis.
Folgene Routen sind vorhanden
Zweigstelle 1 : 192.168.20.0 Netz OpenVPN Client 192.168.20.11
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.20.1 192.168.20.11 266
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.0.0 255.255.255.0 192.168.200.10 192.168.200.9 31
192.168.1.0 255.255.255.0 192.168.200.10 192.168.200.9 31
192.168.20.0 255.255.255.0 Auf Verbindung 192.168.20.11 266
192.168.20.11 255.255.255.255 Auf Verbindung 192.168.20.11 266
192.168.20.255 255.255.255.255 Auf Verbindung 192.168.20.11 266
192.168.200.0 255.255.255.0 192.168.200.10 192.168.200.9 31
192.168.200.8 255.255.255.252 Auf Verbindung 192.168.200.9 286
192.168.200.9 255.255.255.255 Auf Verbindung 192.168.200.9 286
192.168.200.11 255.255.255.255 Auf Verbindung 192.168.200.9 286
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.20.11 266
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.200.9 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.20.11 266
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.200.9 286 Die Routen am Router in der Zweigstelle sind wie folgt:
1 192.168.200.0 255.255.255.0 192.168.20.11 Enabled
2 192.168.1.0 255.255.255.0 192.168.20.11 Enabled
3 192.168.0.0 255.255.255.0 192.168.20.11 Enabled openvpn Config
client
dev tun
proto udp
remote xx.xx.xx.xxx 1194
resolv-retry infinite
route-delay 2
route-method exe
nobind
persist-key
persist-tun
ca "C:\\Program Files (x86)\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\config\\rd.crt"
key "C:\\Program Files (x86)\\OpenVPN\\config\\rd.key"
comp-lzo
verb 3Wie man sehen kann Windows Client, leider noch kein Linux Maschine vorhanden ;)
Standort 2 Büro
OpenVPN Client
192.168.200.5 * 255.255.255.255 UH 0 0 0 tun0
192.168.20.0 192.168.200.5 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 192.168.200.5 255.255.255.0 UG 0 0 0 tun0
localnet * 255.255.255.0 U 0 0 0 eth0
192.168.200.0 192.168.200.5 255.255.255.0 UG 0 0 0 tun0
default fritz.box 0.0.0.0 UG 0 0 0 eth0FritzBox
192.168.1.0 255.255.255.0 192.168.0.18
192.168.200.0 255.255.255.0 192.168.0.18
192.168.20.0 255.255.255.0 192.168.0.18
192.168.30.0 255.255.255.0 192.168.0.18und die Config
client
dev tun
proto udp
remote xxxx.de 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ...
cert ...
key ...
ns-cert-type server
com-lzo
verb 4
daemonHauptstelle
192.168.200.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.20.0 192.168.200.2 255.255.255.0 UG 0 0 0 tun0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 192.168.200.2 255.255.255.0 UG 0 0 0 tun0
192.168.200.0 192.168.200.2 255.255.255.0 UG 0 0 0 tun0
192.168.30.0 192.168.200.2 255.255.255.0 UG 0 0 0 tun0
default 192.168.1.1 0.0.0.0 UG 0 0 0 eth01 192.168.200.0 255.255.255.0 192.168.1.4 Enabled
2 192.168.0.0 255.255.255.0 192.168.1.4 Enabled
3 192.168.20.0 255.255.255.0 192.168.1.4 Enabledlocal 192.168.1.4
port 1194
proto udp
dev tun0
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key
dh ./easy-rsa2/keys/dh1024.pem
server 192.168.200.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.20.0 255.255.255.0"
push "iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE"
client-config-dir ccd
route 192.168.0.0 255.255.255.0 # Büro
route 192.168.20.0 255.255.255.0 # Zweigstelle 1
;route 192.168.30.0 255.255.255.0 # Für die Zukunft
client-to-client
duplicate-cn
keepalive 10 120
comp-lzo
user openvpn
group openvpn
persist-key
persist-tun
status /var/log/openvpn-status.log
log openvpn.log
verb 5So das sollten alle Daten sein, wie gesagt das Problem kamm erst als der Router in der Hauptstelle ausgetauscht wurde, dieser ist auch nur ein Vorübergehender, da der alte keine Bandbreite mehr durch lies, und den Ping Hoch trieb.
Liebe Grüße
Xoroles
P.S.
Ein beispiel Routert von Büro auf drei systeme im Hauptsitz
Fall 1: Router Hauptsitz Erfolreich
1 <1 ms <1 ms 1 ms fritz.box [192.168.0.13]
2 <1 ms <1 ms 1 ms Telefonanlage.fritz.box [192.168.0.18]
3 16 ms 16 ms 17 ms PBX [192.168.200.1]
4 16 ms 15 ms 17 ms 192.168.1.11 <1 ms <1 ms <1 ms fritz.box [192.168.0.13]
2 2 ms 1 ms <1 ms Telefonanlage.fritz.box [192.168.0.18]
3 17 ms 18 ms 17 ms PBX [192.168.1.4]1 <1 ms <1 ms 1 ms fritz.box [192.168.0.13]
2 <1 ms <1 ms <1 ms Telefonanlage.fritz.box [192.168.0.18]
3 17 ms 17 ms 17 ms PBX [192.168.200.1]
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.Genauso sieht es natürlich von Zweigstelle 1 aus
Anbei noch ein tracert von Büro zu Zweigstelle 1
1 ms 1 ms <1 ms fritz.box [192.168.0.13]
1 ms <1 ms 1 ms Telefonanlage.fritz.box [192.168.0.18]
* * * Zeitüberschreitung der Anforderung.
577 ms 457 ms 639 ms SERV-0004 [192.168.20.11]Wie bereits erwähnt, ausser der Austausch des Routers wurde nichts verändert.
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 217493
Url: https://administrator.de/contentid/217493
Printed on: April 19, 2024 at 08:04 o'clock
6 Comments
Latest comment
Hallo,
doch wohl eher weniger auf der Fritz!Box Cable, oder?
Denn sonst wäre die Aussage im nächsten Satz leider nicht richtig!
SPI/NAT Router sitzt?
In der Regel sieht es doch wohl aber eher so aus, dass man wenn man zwischen zwei Routern eine VPN Verbindung
aufgebaut hat, dann das dahinter liegende Netzwerk voll und ganz angesprochen bzw. erreicht werden kann.
Ich persönlich denke das Ihr den einen Router ausgetauscht habt und dann sich natürlich auch die MAC Adresse des
WAN Ports bzw. WAN Interfaces geändert hat und es nun zu Problemen kommt, weil irgend wo IP / MAC Bindungen
(IP/MAC Bindings) noch vorhanden sind! Kann das sein?
Gruß
Dobby
P.S.
1. Bitte sage nicht immer Haus Router denn das ihr die Dinger nicht im Straßengraben aufgestellt habt ist doch wohl klar.
2. Bitte benutze die Code Tags hier im Forum das ließt sich besser und bleibt auch alles in Reihe und Glied.
< code > Hier steht Dein Code drin geschrieben
Haupt Standort: IP Netz 192.168.1.0 Läuft OpenVPN als Server (ehemaliger Haus Router TP-Link R460) neuer Haus Router TP-Link TL-WR1043N
Ich gehe einmal davon aus dass sich auf diesen Routern DD-WRT installiert wurde, ist das richtig?Zweigstelle 1: IP Netz 192.168.20.0 Läuft OpenVPN als Client, Haus Router TP-Link R460
Hier wird wohl auch DD-WRT auf dem Router installiert sein, ist das richtig?Büro (anderer Standort) 192.168.0.0 Läuft OpenVPN als Client (FritzBox Cable)
Und wo bitte ist hier der OpenVPN Klient drauf installiert oder das DD-WRT oder was auch immer,doch wohl eher weniger auf der Fritz!Box Cable, oder?
Denn sonst wäre die Aussage im nächsten Satz leider nicht richtig!
an keinem Standort ist open VPN direkt auf einem Rechner Installiert, welcher mit dem Internet verbunden ist.
Also wo ist denn nun hier der OpenVPN Klient installiert? Etwa doch auf einem Rechner bzw. PC der hinter einemSPI/NAT Router sitzt?
Der Hausrouter, routet entsprechend 1194 an den Rechner mit dem Server weiter.
Mittels einer Portweiterleitung an den Port 1194 meinst Du damit sicherlich, oder?Verbindungsaufbau und so klappt auch alles, bzw früher gab es nur das Problem, dass Zweigstelle 1 nicht Büro
anpingen konnte und umgekehrt. Das war aber zu diesem Zeitpunkt kein MustHave sondern wäre nur NiceToHave.In der Regel sieht es doch wohl aber eher so aus, dass man wenn man zwischen zwei Routern eine VPN Verbindung
aufgebaut hat, dann das dahinter liegende Netzwerk voll und ganz angesprochen bzw. erreicht werden kann.
Ich persönlich denke das Ihr den einen Router ausgetauscht habt und dann sich natürlich auch die MAC Adresse des
WAN Ports bzw. WAN Interfaces geändert hat und es nun zu Problemen kommt, weil irgend wo IP / MAC Bindungen
(IP/MAC Bindings) noch vorhanden sind! Kann das sein?
Gruß
Dobby
P.S.
1. Bitte sage nicht immer Haus Router denn das ihr die Dinger nicht im Straßengraben aufgestellt habt ist doch wohl klar.
2. Bitte benutze die Code Tags hier im Forum das ließt sich besser und bleibt auch alles in Reihe und Glied.
< code > Hier steht Dein Code drin geschrieben
- Hinweis
- Die ersten beiden Pfeilzeichen müssen dann nur noch wieder an das Wort code herangerückt werden dann sieht es so aus:
Hier steht Dein Code drin geschrieben
Hallo D.o.o.b.y
Alle OpenVPN Installationen sind auf normalen Computern Installiert 2x Debian Installation 1x Win2k8R2, die Router laufen alle mit Standard Firmware und stellen nur die Verbindung zwischen WAN-LAN her.
Und haben entsprechend am Hauptstandort eine Portweiterleitung für 1194 eingerichtet.
Liebe Grüße
Marc
Alle OpenVPN Installationen sind auf normalen Computern Installiert 2x Debian Installation 1x Win2k8R2, die Router laufen alle mit Standard Firmware und stellen nur die Verbindung zwischen WAN-LAN her.
Und haben entsprechend am Hauptstandort eine Portweiterleitung für 1194 eingerichtet.
Liebe Grüße
Marc
Hi Xoroles,
was mir bei Deiner Serverconfig fehlt, ist ein iroute Befehl auf das oder die remoten Netze.
Hat bei mir zumindest dazu geführt, das ich zwar die Tunnel-IP des Clienten erreichen konnte, aber nicht das remote Netz.
Solltest Du hier mal mit einfügen...
Gruß orcape
was mir bei Deiner Serverconfig fehlt, ist ein iroute Befehl auf das oder die remoten Netze.
Hat bei mir zumindest dazu geführt, das ich zwar die Tunnel-IP des Clienten erreichen konnte, aber nicht das remote Netz.
Solltest Du hier mal mit einfügen...
client-config-dir ccd
route 192.168.0.0 255.255.255.0 # Büro
route 192.168.20.0 255.255.255.0 # Zweigstelle 1
;route 192.168.30.0 255.255.255.0 # Für die Zukunft
Wobei das von @108012 erwähnte....route 192.168.0.0 255.255.255.0 # Büro
route 192.168.20.0 255.255.255.0 # Zweigstelle 1
;route 192.168.30.0 255.255.255.0 # Für die Zukunft
Ich persönlich denke das Ihr den einen Router ausgetauscht habt und dann sich natürlich auch die MAC Adresse des
WAN Ports bzw. WAN Interfaces geändert hat und es nun zu Problemen kommt, weil irgend wo IP / MAC Bindungen
(IP/MAC Bindings) noch vorhanden sind! Kann das sein?
wohl auch eine Möglichkeit wäre.WAN Ports bzw. WAN Interfaces geändert hat und es nun zu Problemen kommt, weil irgend wo IP / MAC Bindungen
(IP/MAC Bindings) noch vorhanden sind! Kann das sein?
Gruß orcape
Richtig, denn die Push Route Kommandos oben sind Unsinn, denn der Server kann ja niemals Routen "pushen" die nicht an ihm direkt angeschlossen sind.
Das VPN Routing ist so totaler Murks und auch absehbar das es so nicht funktionieren kann.
Orcapes Lösung sollte das fixen.
Tip: Traceroute (tracert) und Pathping) sind bei sowas immer deine besten Freunde. Da wo es kneift, also kein Next Hop angezeigt werden ist auch meist das Routing Problem !
Das VPN Routing ist so totaler Murks und auch absehbar das es so nicht funktionieren kann.
Orcapes Lösung sollte das fixen.
Tip: Traceroute (tracert) und Pathping) sind bei sowas immer deine besten Freunde. Da wo es kneift, also kein Next Hop angezeigt werden ist auch meist das Routing Problem !
.....an keinem Standort ist open VPN direkt auf einem Rechner Installiert, welcher.......
Alle OpenVPN Installationen sind auf normalen Computern Installiert 2x Debian Installation 1x Win2k8R2, die Router laufen alle mit Standard Firmware und stellen nur die Verbindung zwischen WAN-LAN her.
Irgend wie passen doch die beiden Aussagen gar nicht zusammen, oder täusche ich mich jetzt!?
Das hat mich zuerst und persönlich eben ein wenig verwirrt!
Gruß
Dobby
Hallo,
die aussage ist leicht Irreführend,
sollte nur bedeuten, dass keine Maschine auf dem OpenVPN installiert ist direkt mit dem Internet verbunden ist, sondern jeweils hinter dem Router sind.
Ich danke für die Hilfe, die Geschäftsleitung hat aber gestern einen anderen Router genehmigt, und seit dem dieser Installiert ist, hat sich das Problem wieder in Luft aufgelöst.
Auch dieses mal Ohne eine Konfiguration anzufassen. Jetzt funktioniert alles wie es sein soll. Alle Standorte können sich gegenseitig erreichen. Es erklärt zwar noch nicht, woran der Fehler genau liegt aber es läuft.
das pushen der Routen war damals ein nötiger schritt, ohne klappte es nicht, gut möglich das nun natürlich einige Einstellungen Überflüssig sind, oder auch zu Fehlern führen könnten. Es funktioniert aber.
Folgendes hab ich noch gefunden im Verzeichnis ccd liegen auch noch Konfigurationen
für Zweigstelle
Für Büro
Natürlich genau so bezeichnet, wie die Zertifikate auf der anderen Seite lauten.
Gruß
Xoroles
die aussage ist leicht Irreführend,
sollte nur bedeuten, dass keine Maschine auf dem OpenVPN installiert ist direkt mit dem Internet verbunden ist, sondern jeweils hinter dem Router sind.
Ich danke für die Hilfe, die Geschäftsleitung hat aber gestern einen anderen Router genehmigt, und seit dem dieser Installiert ist, hat sich das Problem wieder in Luft aufgelöst.
Auch dieses mal Ohne eine Konfiguration anzufassen. Jetzt funktioniert alles wie es sein soll. Alle Standorte können sich gegenseitig erreichen. Es erklärt zwar noch nicht, woran der Fehler genau liegt aber es läuft.
das pushen der Routen war damals ein nötiger schritt, ohne klappte es nicht, gut möglich das nun natürlich einige Einstellungen Überflüssig sind, oder auch zu Fehlern führen könnten. Es funktioniert aber.
Folgendes hab ich noch gefunden im Verzeichnis ccd liegen auch noch Konfigurationen
für Zweigstelle
iroute 192.168.20.0 255.255.255.0
ifconfig-push 192.168.200.9 192.168.200.10Für Büro
iroute 192.168.0.0 255.255.255.0Natürlich genau so bezeichnet, wie die Zertifikate auf der anderen Seite lauten.
Gruß
Xoroles
