Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

HILFE: OpenVPN Server (auf Windows Server 2012) in Verbindung mit Asus-Router der VPN unterstützt (LAN to LAN) - Routing zu Asus-LAN IP funktioniert nicht !

Mitglied: planetIT

planetIT (Level 1) - Jetzt verbinden

26.11.2015, aktualisiert 09.12.2015, 1796 Aufrufe, 8 Kommentare

Sehr geehrte Community,

mit meinem Projekt OpenVPN geht es nur sehr schleppend und mühselig voran, da es einfach sehr sehr viele Beschreibungen gibt, die in vielen Dingen wiedersprechen und nicht wirklich wie beschieben funktionieren.
Vor kurzen haben ich hier noch passende Router gesucht, die OpenVPN unterstützen. (die ich ebenfalls gleich auflisten werde) jetzt versuche ich vergebens auf den Router per (LAN IP) zu kommen.

Da ich weiß, wie lange es dauern kann, bis OpenVPN eingerichtet und sicher funktioniert, möchte ich im Zuge meiner Frage zu dem Routing-Problem auch auf die Möglichkeiten eingehen, was mit OpenVPN im Bezug auf Standort-Vernetzung mit geringen Kosten möglich ist.

Aktueler Ausgangspunkt:


Da OpenVPN kostenlos und eine sichere Lösung ist ( wenn man sie richtig aufsetzt) benutzen wir seit 5 Jahren OpenVPN um unsere Außenstandorte/Homeoffices mit unserer Zentrale mittels TUNNEL zu verbinden. Bisher hatten wir OpenVPN auf LINUX ( also Linux-VM) laufen. Die Besonderheit lag zudem darin, dass die Außenstellen mit ihren PC/c / Clients nicht manuell mittels VPN-Client-Software eine Verbindung zum OpenVPN-Server aufbauen sollten, sondern, dass ein "VPN"-Router selbst und automatisch die VPN-Verbindung aufbaut und alle PC/Geräte (die mit diesem Router verbunden/angeschlossen sind), ins Firmennetzwerk routet bzw. die PC´s per Remote auf den Terminalserver (Standort A: Zentrale) und per Explorer auf den Datenserver (Standort A: Zentrale) drauf kommen. Zusätzlich wolle wir von Standort A auch auf alle Geräte/PCs von Standort X zugreifen. So können wir auch auf die dort per Netzwerk-Angeschlossenen Drucker zugreifen die mittels TA-Cockpit von der Zentrale (Standort A) aus überwacht werden der Tonerstand abgefragt wird und automatisch von TA (Triumph-Adler) ein neuer Toner an die dortig hinterlegte Adresse verschickt wird. Zudem kommen wir auch per RDP auf jeden PC um Sachen zu installieren.

Aktuelle VPN-Umgebung


Standort A: Zentrale (Hauptsitz der Firma, wo die komplette Netzwerk-Infrastruktur zur Verfügung steht und betrieben wird) - Firewall: Watchguard / Fireware XTM 515_v11.10.2
Serverseite: OpenVPN-Server (Linux)

Standort X: Außenstellen / Home-Office Anbindung DSL/VDSL mit Fritzbox + zusätzlich VPN-Router (Aktuell von Netgear WNR3500L_v2 mit Firmware "Tomato Version 1.28 by shibby"
Clientseite : OpenVPN-CLient (über Router)


Neue Ausgangspunkt:

OpenVPN Server (auf Linux) soll durch OpenVPN Server (auf Windows) ersetzt werden, weil entsprechendes Know-How mit der Verwaltung von Linux fehlt und nicht weiter erwünscht ist. Da die bisherigen eingesetzten Netgear-Router WNR3500L_v2 sich schwer / sehr eingeschränkt konfigurieren/verwalten lassen, hat man hier nach neuen Routern ausschau gehalten und hier ein geeignetes Modell gefunden: Asus RT-AC68U

Neue gewünschte VPN-Umgebung


Standort A: Zentrale (Hauptsitz der Firma, wo die komplette Netzwerk-Infrastruktur zur Verfügung steht und betrieben wird) - Firewall: Watchguard / Fireware XTM 515_v11.10.2
Serverseite: OpenVPN-Server (Windows)

Standort X: Außenstellen / Home-Office Anbindung DSL/VDSL mit Fritzbox + zusätzlich VPN-Router ASUS RT-AC68U (der von Werkaus, OpenVPN als Client & Server fungiert)
Clientseite: OpenVPN-CLient (über Router)

Server-Parameter | OpenVPN Server (auf Windows Server 2012)

Standort A:
Windows-Server 2012 (Datacenter)
Ethernet 1: IP:192.168.112.222
Ethernet 2: 172.17.1.1 (TAP-Windows Adapter V9)

und die Server.ovpn
8c6b4cb4abfb61d0d46f84da24ff610e - Klicke auf das Bild, um es zu vergrößern

Client-Parameter:

Standort X: - Außenstellen/ Home-Office
Asus RT-AC68U Router der als OpenVPNClient aggiert.

WAN: 192.168.178.77 (vergibt eine FritzBox per DHCP)
LAN: 10.10.10.0 Subnetz: 255.255.255.0 Standard-Gateway: 10.10.10.1 DNS: 10.10.10.1
DHCP: 10.10.10.100 bis 10.10.10.199

1a1c66d341082d8252b2789e40d4076c - Klicke auf das Bild, um es zu vergrößern

Client.ovpn
f4a1cda7614dcf64d28ee539cd811b3a - Klicke auf das Bild, um es zu vergrößern

Client-Verbindung zu OpenVPNServer - Erfolgreich

Der Router baut ohne Probleme die Verbindung zum OpenVPN Server auf. Sowohl der Server 192.168.112.222 (OpenVPN Windows Server 2012) als auch andere Server z.B. 192.168.112.230 (FileServer) lassen sich per RDP und per Datenexplorer öffnen. Somit ist der Weg von Client zu Server wie gewünscht vorhanden. Soweit alles super schon mal.
Aber ich möchte jetzt nur noch auf die LAN-IP Adressen des Asus_Routers und auf die angeschlossenen Geräte/PC´s zugreifen. Diese haben den IP-Adressenbereich 10.10.10.100 - 10.10.10.199
Subnet: 255.255.255.0 und den Gateway: 10.10.10.1 und DNS: 10.10.10.1


Problembeschreibung

bevor ich das Problem beschreibe:

Ich kann von Standort A - Zentralle sei es vom Windows Server 2012 direkt oder auch vom PC im gleichen Netz die OpenVPN-IP 172.17.1.22 aufrufen und komme auf den entfernten Router / Asus-Weboberfläche auf Standort X.

Siehe nachfolgende Screens:

Screen von Windows Server 2012 wo der OpenVPNServer läuft

f6af3816613759d35385599bf81d057d - Klicke auf das Bild, um es zu vergrößern

und

Screen von Client am Standort A - im selben Netz:

2913b9430d81d3de0c87a1a563f3169c - Klicke auf das Bild, um es zu vergrößern


Mein ZIEL

Ich möchte gerne die 10.10.10.1 (welche am Standort X das Asus-Webinterface aufruft) auch von Standort A aufrufen können.

Zudem befindet sich am Asus-Router per Netzwerkkabel ein PC mit der IP-Adresse 10.10.10.176 Siehe Screen - 45be40da52e14143cffad6eb7c12a6b2 - Klicke auf das Bild, um es zu vergrößern auch diesen PC würde ich gerne per RDP von Standort A aus erreichen.

PC der am Asus-Router angeschlossen ist: IP: 10.10.10.176

e5bc8320531404020acf287e97e3ed1a - Klicke auf das Bild, um es zu vergrößern


WENN DAS KLAPPT, BIN ICH HAPPY

Jetzt benötige ich eure HILFE !!!!

Wo ist mein Denkfehler ?

Ich habe mehrere Sachen gelesen bezüglich iroute die ich jetzt auch schon getestet habe.
Jedoch weiss ich nicht so ganz genau, ob ich das mit der Datei richtig gemacht habe. Wichtig habe ich gelesen ist der Dateiname, der = CN=Common Name sein muss. Ob die Datei per Endung.ovpn in den speziellen Ordner gelegt werden muss, habe ich bis heute noch nicht konkrett lesen können.

Die entsprechenden Verknüpfung in der Server.ovpn für den Parameter: "Client-config-dir" für "iroute" habe ich hinzugefügt.
Aber irgendwie funktioniert es nicht !

Nachfolgend ein Screen des kompletten OpenVPNServer-Verzeichnis

d96c2ce20093fa2aa499bbbdb67d658a - Klicke auf das Bild, um es zu vergrößern

HILFE


Wenn ihr noch weitere Facts benötigt, bekommt ihr die ! Bitte melden....
VORAB Viele Dank fürs Lesen und der Hilfsbereitschaft !


Ergänzung: (30.11.2015)


Hier die Übersicht / Konstellation Grafisch

110d80b58f8181a053a57348249047d3 - Klicke auf das Bild, um es zu vergrößern

Problem-Direkt:


Ich will mit einem PC aus der Firma auf den IP-LAN-Adressenbereich des Asus-Router zugreifen.

Also z.B. per RDP auf 10.10.10.103

ohne hierfür den Port zu öffnen.





Mitglied: aqui
27.11.2015, aktualisiert um 12:02 Uhr
Da ich weiß, wie lange es dauern kann, bis OpenVPN eingerichtet und sicher funktioniert,
Meinst du das negativ oder positiv ??
OpenVPN ist wie Netzwerker wissen ein SSL basiertes VPN was damit sehr schnell und effizient eingerichtet werden kann.
Hält man sich z.B. an das hiesige OpenVPN Tutorial:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
ist das auch für Laien in max. 30 Minuten erledigt.
Das Schöne und Positive an der OVPN Sache ist, das alle Konfiguration auf allen Hardware und OS Plattformen immer gleich ist, egal ob Winblows, Mac OS-X Linux oder was auch immer.
Wo also ist hier dein wirkliches Problem ??

Liest man sich deinen Hilfeschrei oben durch wird das schnell offensichtlich, denn das ist mangelndes Knowhow. Allein schon aus der Tatsache der dilettantischen Routerwahl wird das ersichtlich.
Von NetGear auf die höchst problematischen ASUS zu wechseln zeigt sehr wenig Fachkenntniss bei der Vorauswahl der HW mit der deine Lösung kinderleicht umzusetzen wäre.
Ausnahme wäre hier gewesen auf die ASUS Hardware die alternative Router Firmware DD-WRT zu flashen. Das hätte sehr vieles für dich und dein Vorhaben einfacher gemacht und dir den Einsatz eines Windows Server erspart.
Noch sinnvoller wäre der Einsatz einer VPN fähigen Firewall wie z.B. dieser hier gewesen aber diese Chance ist vertan worden.
Ebenso die hilflose Kapitulation vor Linux, das sich mit nur wenig Wissen ebenso einfach managen lässt über das GUI wie Windows zeigt ein übriges. Noch gar nicht mal geredet von Sicherheits und Kostenaspekten dieser Blödmarkt Billigrouter die normal im Firmenumfeld nichts zu suchen haben.
Mit solch extrem rudimentären Fachkenntnissen sich an so ein Projekt zu wagen ist schon recht sportlich aber eben auch nicht falsch wenn man denn willig ist Neues zu lernen.
Lamentieren, Produktschelte und jammern hilft also nicht unter diesen Voraussetzungen, denn OpenVPN ist auch auf Linux in so einer popeligen Standardkonfig wie die deiner millionenfach im Einsatz. Es liegt also de facto NICHT an der Technik !
Das solltest du also als erstes mal versuchen in den Griff zu bekommen oder dir kompetente Hilfe holen.
Zurück zu deinen Fragen...

Anhand deiner Beschreibung brauchst du also besser ein Klicki Bunti Interface was adäquat ist für Winblows User. Da fährst du dann mit einem fertigen Router oder Firewall erheblich besser die sowas schon gleich an Bord haben wie die Komponenten die oben im Tutorial beschrieben sind.
Das erleichtert die Einrichtung allemal aber OK...erstmal muss man dann mit der völlig oversizten Windows Lösung leben.

Fazit: Folge den Installationsschritten des obigen OVPN Tutorials !
Dort ist ganz genau beschrieben welche Schritte zur Einrichtung der Zertifikate usw. erforderlich sind.
Wichtig sind hier immer die Logs auf Server und Client Seite. Die sagen dir genau wo der Schuh drückt wenn es kneift.
Generell ist ein VPN Design mit VPN Servern (Tunnel Endpoints) die hinter NAT Routern liegen immer kontraproduktiv.
Ganz wichtige ToDos für dich in dem obigen Design die Server hinter der Router NAT Firewall zu betreiben ist:
  • Port Forwarding einrichten auf dem ASUS Router der UDP 1194 (OVPN Default Port) auf die lokale LAN IP des OVPN Servers forwardet.
  • Statische Route auf dem ASUS einrichten die das interne OVPN IP Netz auf die lokale LAN IP des Servers forwardet. (Zielnetz: 172.17.1.0, Maske: 255.255.255.0, Gateway: 192.168.x.y)
  • Lokale Win Firewall des OVPN Win Servers muss angepasst werden auf ein richtiges Profil und das die IP Netze die über den Tunnel geroutet werden müssen an die Clients gepusht werden.
Diese 3 Schritte sind die wichtigsten in deinem Setup.

Deine besten Freunde sind dann wie immer Traceroute (tracert) und Pathping bzw. route print zum Troubleshooten.
Wenn trotz konsitenter Routing Tabelle zw. Client und Server nichts durch den Tunnel kommt ist so gut wie immer eine nicht angepasste lokale Firewall das Problem !
Bedenke immer das Clients mit einer 172.17.1er Absender IP in dein lokales 192.168.0.0 /23 er Netz ankommen und Endgeräte dort diese IPs per Default in der Firewall blocken da die Absender IP nicht aus dem lokalen Netz kommt.
Auch das musst du ganz besonders bei Winblows anpassen.
Wichtig für uns zur zielgerichteten Hilfe sind:
  • Log Outputs Client und Server
  • Traceroute Outputs
  • An welchen Knoten klemmt es wenn es denn klemmt
  • Routing Tabellen Client
  • Netzwerk Topologie Zeichnung
Bitte warten ..
Mitglied: planetIT
27.11.2015 um 13:32 Uhr
Viele Dank aqui für deine Antwort und den aufbauenden Worten .....

Ja ich bin in diesem Thema Laie und beschäftige mich durchaus schon viel länger als nur 30 Minuten. (

Ich schaus mir an, andernfalls schreib ich nochmal !
Bitte warten ..
Mitglied: planetIT
01.12.2015 um 16:54 Uhr
Ich bin am verzweifeln.

Ich bekomme es nicht hin, den Router im Firmennetz mit der IP-Adresse 10.10.10.1 aufzurufen.

WARUM ??? Meint ihr, dass das ggf. mit dem Webinterface des Asus-Routers gar nicht geht und das ein flash auf DD-WRT nötig wäre ?

Tracert und Ping weiterhin ohne erfolg.
Bitte warten ..
Mitglied: aqui
08.12.2015 um 09:42 Uhr
Hat der ASUS Router eine Shell von der aus du den OpenVPN debuggen kannst wie bei DD-WRT ?
Bitte warten ..
Mitglied: planetIT
08.12.2015, aktualisiert um 15:35 Uhr
Hallo aqui,

der ASUS RT-AC68U hat keine eingebaute Shell in der Asus-Standard-Webconsole wie bei DD-WRT.
Es gibt nur ein Systemprotokoll - Allgemeiens Protokoll worauf man nachvollziehen kann, wie sich der OpenVPN-Client verbindet und ob die Verbindung "Dec 8 13:18:27 openvpn[9173]: Initialization Sequence Completed " funktioniert.

Andernfalls gibt es nur die Option -> Telnet oder auch per SSH mittels Putty.

Also Fact aktuell:

Der OpenVPNServer läuft

Ethernet 1:
Locale IP: 192.168.112.222
Subnet: 255.255.128.0
GW: 192.168.112.1
DNS: 192.168.112.235

Ethernet 2
OpenVPN IP: 172.17.1.1
Gateway: leer
IP-v4DHCP Server 172.17.1.2
DNS: leer

Eingetrage Route in der Server.ovpn

Aktive Route: Netzwerkmaske: Gateway: Schnittstelle: Metrik:
10.10.10.0 255.255.255.0 172.17.1.2 172.17.1.1 20
10.10.20.0 255.255.255.0 172.17.1.2 172.17.1.1 20
10.10.30.0 255.255.255.0 172.17.1.2 172.17.1.1 20
10.10.40.0 255.255.255.0 172.17.1.2 172.17.1.1 20



Der Asus-Router (bereits durch OpenVPN erreichbar mit 172.17.1.46) ist am Standort B an einer Fritzbox geklempt.
Als Betriebsmodus: Wireless Router (Standard) - verbindet ers ich mit dem internet über PPoE, DHCP,PPTP,L2TP

Er hat aktuell folgende IP

WAN: 10.255.0.46

LAN: 10.10.10.1
Subnet: 255.255.255.0
Gateway:10.10.10.1
DNS: 10.10.20.1

DHCP: 10.10.10.100 bis 10.10.10.199

Am Asus-Router häng an LAN-Port 1: ein Laptop mit der LAN-IP 10.10.10.176
Von Standort A aus möchte ich diesen per RDP aufrufen können. Aber selbst dass anbingen und tracert funktioneirt nicht.


Der OpenVPN Server und das manuelle Verbinden funktioniert einwandfrei. So kann ich direkt vom Standort A auf Standort B zugreifen und genauso von Standort B auf Standort A zugreifen. Sobald mir immer die 172.17.1.xx bekannt ist, habe ich uneingeschränt zugriff auf die IP.


Auf die Webconsole des Asus-Router komme ich mit 172.17.1.46 ebenfalls drauf. Der Asus-Router baut auch die Route zum Firmennetzwerk korrekt auf. Sprich alle Geräte/ PC/Laptop die am Asus-Router hängen, haben jetzt schon Zugriff ins Firmennetzwerk. (so wie auch gewünscht)

Aber ich möchte auch Zugriff auf die Geräte am Standort B haben. Und nicht nur die Asus-Webconsole (Router) sondern ich möchte jede IP Adresse die mit dem Router verbunden/Angeschlossen ist, aufrufen.




Meine Vermutung:

Dass die interne Firewall des Asus-Routers den Zugriff von LAN zu WAN nicht zulässt.

Bei der WAN-NAT Passthrough sind alle Möglichkeiten wie PPTP Pasthrough, L2TP Passthrough, IPSec Passthrough, H323 Passthrough, SIP Passthrough, PPPoE-Relais aktivieren, = Aktiviert


Was ich auch nicht ganz verstehe: Option im Router:

WAN - Portauslösung
Port Trigger kann temporäre Daten-Ports öffnen, um LAN-Geräten uneingeschränkten Zugriff auf das Internet zu ermöglichen. Grundsätzlich stehen zwei Möglichkeiten zur Verfügung, um eingehende Daten-Ports zu öffnen: Port Forwarding und Port Trigger. Port Forwarding öffnet jederzeit vorgegebene Daten-Ports und Geräte müssen statische IP-Adressen verwenden. Port Trigger öffnet nur eingehende Daten-Ports, wenn ein LAN-Gerät Zugang zu einem Trigger-Port anfordert. Im Gegensatz zu Port Forwarding, benötigt Port Trigger keine statischen IP-Adressen für LAN-Geräte. Port Forwarding ermöglicht mehreren Geräten, einen offenen Port untereinander zu teilen. Port Trigger erlaubt nur einem Client den Zugriff auf den offenen Port.



und



WAN - Port Forwarding
Port Forwarding erlaubt Remote-Computern, sich mit einem bestimmten Computer oder Service innerhalb eines privaten lokalen Netzwerks (LAN) zu verbinden. Für schnellere Datenübertragung benötigen manche P2P-Anwendungen (wie z.B. BitTorrent) evtl. den Einsatz von Port Forwarding. Details finden Sie im Handbuch der jeweiligen P2P-Anwendung.

Wenn Sie für die Clients einen bestimmten Port-Bereich im gleichen Netzwerk festlegen wollen, geben Sie Dienstname, den Port-Bereich (z.B. 10200:10300), die LAN-IP-Adresse ein und lassen Sie das Feld Lokaler Port leer.

Wenn Ihre Netzwerk-Firewall deaktiviert ist und Sie bei der WAN-Einstellung den Wert 80 für den Port-Bereich des HTTP-Servers eingeben, wird Ihr HTTP-Server/Web-Server in Konflikt mit der Web-Benutzeroberfläche des RT-AC68U stehen.
Wenn Sie bei der WAN-Einstellung den Wert 20:21 für den Port-Bereich des FTP-Servers eingeben, wird Ihr FTP-Server in Konflikt mit dem Standard FTP-Server des RT-AC68U stehen.
Bitte warten ..
Mitglied: aqui
08.12.2015, aktualisiert 09.12.2015
Auf die Webconsole des Asus-Router komme ich mit 172.17.1.46 ebenfalls drauf. Der Asus-Router baut auch die Route zum Firmennetzwerk korrekt auf
Gut, das der OVPN Server den ASUS pingen kann und hoffentlich vice versa auch ist schonmal gut und zeigt das der SSL Tunnel sauber funktioniert. Generell rennt das also.
Der Rest kann jetzt nur nioch ein Routing oder Firewall Problem sein.
  • Wichtige Frage nochmal: kannst du das LAN Interface des ASUS 10.10.10.1 auch anpingen ?
  • Wenn nein bis wohin geht ein Traceroute auf diese IP ?
  • Kannst du über das GUI die Routing Tabelle des ASUS einsehen ?
Ein paar Fragen zu deinem Posting oben:
Er (der ASUS Router) hat aktuell folgende IP: WAN: 10.255.0.46
Das stimmt aber NICHT mit deiner Zeichnung von oben überein ?! Dort ist die klassische FB IP 192.168.178.0 angegeben...
Am Asus-Router häng an LAN-Port 1: ein Laptop mit der LAN-IP 10.10.10.176
Von Standort A aus möchte ich diesen per RDP aufrufen können. Aber selbst dass anbingen und tracert funktioneirt nicht.
Dir ist klar das der PC im Default das nicht zulässt !
2 Gründe dafür:
  • Die lokale Firewall des PC verhindert den RDP und ICMP Zugriff aus dem Fremdnetz Standort A per Default. Du musst hier zwingend die Firewall anpassen das das erlaubt ist aus dem Standort A Netz.
  • ICMP ist im Default auf den PC deaktiviert (sofern es ein Winblows PC ist !) Zum Aktivieren siehe: http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Die obigen Punkte gelten für ALLE PCs auf beiden Seiten.
Bitte warten ..
Mitglied: planetIT
09.12.2015, aktualisiert 07.04.2016
Hallo aqui,

erstmals viele Dank als einiger für deine Hilfe.

Zu deinen Fragen:

Wichtige Frage nochmal: kannst du das LAN Interface des ASUS 10.10.10.1 auch anpingen ?
Nein, leider nicht. Ich kann vom Standort A den Asus-Router nur mit der von OpenVPN generierten IP : 172.17.1.22 bzw. 172.17.1.46 anpingen.

Nur kurzer Hinweis: warum die unterschiedlichen IP-Adressen.
Ich habe 2 gleiche Asus-Router konfiguriert. 1 Steht zuhause ( daher auch die IP der FB mit 192.168.178.1) und 1 steht in der Firma aber im LAN-Bereich 10.255.0.46 der keinerlei Verbindung zu unserem Netzwerk hat ( VLAN: Gäste-Wlan)

Also ich kann von Standort A auf den Asus Router zuhause per IP: 172.17.1.22
und kann von Standort A auf den Asus Router (der am VLAN WlanGäste hängt) IP: 172.17.1.46 zugreifen.

Wenn nein bis wohin geht ein Traceroute auf diese IP ?

Leider geht mein Traceroute nirgendwo hin... was ich sehr komisch finde....

Was mich auch ein bisschen irritiert ist die Ständige Route:
Netzerkadresse | Netzmask | Gateway | Metrik
0.0.0.0 | 0.0.0.0 | 192.168.112.1 | Standard
0.0.0.0 | 0.0.0.0 | 172.17.1.1 | Standard

Siehe nachfolgenden Screen:

bild1 - Klicke auf das Bild, um es zu vergrößern

Kannst du über das GUI die Routing Tabelle des ASUS einsehen ?

nachfolgend ein Screen:

Routingtabelle
4916246c3dd2fe521eab87d72a204a63 - Klicke auf das Bild, um es zu vergrößern


Systemprotokoll
94231d380279d7b9a45a9a4a83295cb3 - Klicke auf das Bild, um es zu vergrößern

Das stimmt aber NICHT mit deiner Zeichnung von oben überein ?! Dort ist die klassische FB IP 192.168.178.0 angegeben...
Info bereits oben:
"Ich habe 2 gleiche Asus-Router konfiguriert. 1 Steht zuhause ( daher auch die IP der FB mit 192.168.178.1) und 1 steht in der Firma aber im LAN-Bereich 10.255.0.46 der keinerlei Verbindung zu unserem Netzwerk hat ( VLAN: Gäste-Wlan) "

Die Konfiguration beider Asus-Router ist die gleiche !!! Außer unterschiedliche OpenVNP-Client-Schlüssel.

Am Asus-Router häng an LAN-Port 1: ein Laptop mit der LAN-IP 10.10.10.176. Von Standort A aus möchte ich diesen per RDP aufrufen können. Aber selbst dass anbingen und tracert funktioneirt nicht.
du schreibst: Dir ist klar das der PC im Default das nicht zulässt !
In der bestehenden VPN-Umgebung (OpenVPNServer Linux und Netgear-Router mit Tomato) ist das ohne Probleme möglich. Die Firewall sind auf den PCs ausgestellt. Sobald man den Netgear-Router im der IP : 10.10.102.1 erreichen kann, komme ich auch ohne Probleme auf die dort angeschlossenen Geräte drauf.

Vermutlich gilt hier der Firewall-Eintrag:
de044e772460b3cf4ff99261f0b028db - Klicke auf das Bild, um es zu vergrößern


2 Gründe dafür:
Die lokale Firewall des PC verhindert den RDP und ICMP Zugriff aus dem Fremdnetz Standort A per Default. Du musst hier zwingend die Firewall > anpassen das das erlaubt ist aus dem Standort A Netz.
ICMP ist im Default auf den PC deaktiviert (sofern es ein Winblows PC ist !) Zum Aktivieren siehe: http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen.
Die obigen Punkte gelten für ALLE PCs auf beiden Seiten
werde ich trotzdem mal überprüfen !!!
9fbfd3c8d61de5196ee4b09bd8964714 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
09.12.2015 um 17:00 Uhr
Leider geht mein Traceroute nirgendwo hin... was ich sehr komisch finde....
Zeigt das du ein Routing Problem hast !
Er müsste doch aber mindestens den ersten Hop anzeigen sprich die Watchguard Firewall, denn die ist doch bei deinem Ping oder Traceroute Client als Default Gateway eingetragen, oder ?
Die muss Traceroute in jedem Falle zeigen !
Zudem hast du vergessen auf der Watchguard auch eine weitere statische Route für die 10er Netze am ASUS Standort einzutragen die dann über den OVPN Server gehen. Dort ist einzig nur das OVPN interne Netz als Route drin.
Dort fehlt ein:
ip route 10.10.10.0 255.255.255.0 Gateway: 192.168.112.222
Wenn es mehrere 10er Netze gibt an B die sich im 3ten Byte unterscheiden kannst du auch eine Summarization machen bei der Route:
ip route 10.10.0.0 255.255.0.0 Gateway: 192.168.112.222
Das routet dann alle 10.10.x.x Netze in den VPN Tunnel.
Ansonsten schickt die Watchguard diese Pakete zum Provider !
Beachte auch das dann ICMP an der Watchguard am LAN Port erlaubt sein muss, denn sonst ist klar das Traceroute nix anzeigt wenn die Watchguard das blockt !
Was mich auch ein bisschen irritiert ist die Ständige Route:
Ist das die Route Tabelle des Ping Clients ??
192.168.112.1 ist ja richtig das ist die Watchguard und die dürfte da Default Gateway sein.
Die Default Route auf die 172er IP ist definitiv ein Fehler ! Wo kommt die her ?

Routingtabelle ASUS:
Wieso hast du die 2mal gepostet ???
Wie du selber sehen kannst fehlt in der Routing Tabelle das 192.168.112.0er Netzwerk vollständig !!!
Antwortpakete aus B gehen also direkt an den Provider und damit ins Nirwana statt in den VPN Tunnel.
Hast du im OVPN Server das
push "route 192.168.112.0 255.255.255.0"
Kommando vergessen ???
Solange dises netzwerk nicht auf den remoten Asus propagiert wird sollte dir doch klar sein das das niemals klappen kann, denn wenn der ASUS die Route in das Zielnetz nicht kennt wie dachtest du sollte das gehen ??
Checke also unbendingt die Server Konfig Datei des OVPN Servers an A !!! Da muss noch ein Fehler sein.
Leitfaden ist hier immer das hiesige OVPN Tutorial !
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows Server 2012 R2 - LAN Routing
Frage von MaxMoritz6Windows Server10 Kommentare

Ich habe folgende Konfiguration: 1. Windows Server 2008 R2 IF1: 10.42.99.180 255.255.255.248 Permanent-Routing 192.168.118.0 MASk 255.255.255.0 über 10.42.99.181 2. ...

Netzwerkmanagement

OpenVPN Verbindung funktioniert. LAN dahinter ist nicht erreichbar

gelöst Frage von istike2Netzwerkmanagement5 Kommentare

Hallo, ich habe einen Synology 2600AC als OpenVPN Server eingerichtet. Alles wird durch den Traffic geroutet. Internetzugang funktioniert. Trotz ...

Router & Routing

PfSense: Routing von LAN in openVPN

Frage von mrserious73Router & Routing12 Kommentare

Hallo zusammen, habe eine pfSense, diese ist als Client an einen entfernten openVPN-Server angeschlossen. Auf diesem Server läuft freeradius, ...

Router & Routing

VPN für LAN-Clients über Asus RT-AC51-U hinter Fritz 7490

Frage von Samuel113Router & Routing3 Kommentare

Hallo, habe intensiv recherchiert, gelesen, anderswo gepostet und komme nicht weiter. Aufbau: Fritz 7490 per DSL am Internet. Asus ...

Neue Wissensbeiträge
Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 - Jetzt in Deutsch verfügbar! (Windows 10 1903 Support)

Tipp von TrinXx vor 11 StundenSicherheits-Tools1 Kommentar

Moin! Nach wochenlangem Warten wird Trend Micro das SP1 für WFBS 10 voraussichtlich am 26.08.19 veröffentlichen. Ich habe das ...

Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 1 TagHyper-V4 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 1 TagServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Information von Snowbird vor 3 TagenHumor (lol)9 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Grafikkarten Angebot auf Amazon
gelöst Frage von NudellordGrafikkarten & Monitore22 Kommentare

Hallo Community, ich suche eine neue Grafikkarte und bin auf die Nvidea Gforce GTX 1080 ti gestoßen. Und dabei ...

Hyper-V
Keine Netzwerkverbindung W2016 VM
gelöst Frage von keine-ahnungHyper-V19 Kommentare

Moin, ich verliere gleich meine contenance ;-). Ich versuche gerade, auf einem Hyper-V 2016 GUI eine W2016-VM (Generation 2 ...

Batch & Shell
Powershell - Webseite auslesen und Abspeichern ein paar Probleme
gelöst Frage von kime203Batch & Shell18 Kommentare

Hallo alle miteinander, ich hab die Aufgabe eine Webseite auszulesen um Einsatzdaten der Feuerwehr daraus zu gewinnen. Das habe ...

Windows 7
Systemwiederherstellung mittel Console und Schattenkopie?
Frage von Kerbel3rdWindows 717 Kommentare

Moin, leider hat mir das Update auf Framework 4.8 meinen Rechner bzw mein Framework zerschossen. Nach tagelangen Reparaturversuchen mittels ...