8
HILFE: OpenVPN Server (auf Windows Server 2012) in Verbindung mit Asus-Router der VPN unterstützt (LAN to LAN) - Routing zu Asus-LAN IP funktioniert nicht !
Sehr geehrte Community,
mit meinem Projekt OpenVPN geht es nur sehr schleppend und mühselig voran, da es einfach sehr sehr viele Beschreibungen gibt, die in vielen Dingen wiedersprechen und nicht wirklich wie beschieben funktionieren.
Vor kurzen haben ich hier noch passende Router gesucht, die OpenVPN unterstützen. (die ich ebenfalls gleich auflisten werde) jetzt versuche ich vergebens auf den Router per (LAN IP) zu kommen.
Da ich weiß, wie lange es dauern kann, bis OpenVPN eingerichtet und sicher funktioniert, möchte ich im Zuge meiner Frage zu dem Routing-Problem auch auf die Möglichkeiten eingehen, was mit OpenVPN im Bezug auf Standort-Vernetzung mit geringen Kosten möglich ist.
Standort A:
Windows-Server 2012 (Datacenter)
Ethernet 1: IP:192.168.112.222
Ethernet 2: 172.17.1.1 (TAP-Windows Adapter V9)
und die Server.ovpn
Standort X: - Außenstellen/ Home-Office
Asus RT-AC68U Router der als OpenVPNClient aggiert.
WAN: 192.168.178.77 (vergibt eine FritzBox per DHCP)
LAN: 10.10.10.0 Subnetz: 255.255.255.0 Standard-Gateway: 10.10.10.1 DNS: 10.10.10.1
DHCP: 10.10.10.100 bis 10.10.10.199
Client.ovpn
Client-Verbindung zu OpenVPNServer - Erfolgreich
Der Router baut ohne Probleme die Verbindung zum OpenVPN Server auf. Sowohl der Server 192.168.112.222 (OpenVPN Windows Server 2012) als auch andere Server z.B. 192.168.112.230 (FileServer) lassen sich per RDP und per Datenexplorer öffnen. Somit ist der Weg von Client zu Server wie gewünscht vorhanden. Soweit alles super schon mal.
Aber ich möchte jetzt nur noch auf die LAN-IP Adressen des Asus_Routers und auf die angeschlossenen Geräte/PC´s zugreifen. Diese haben den IP-Adressenbereich 10.10.10.100 - 10.10.10.199
Subnet: 255.255.255.0 und den Gateway: 10.10.10.1 und DNS: 10.10.10.1
bevor ich das Problem beschreibe:
Ich kann von Standort A - Zentralle sei es vom Windows Server 2012 direkt oder auch vom PC im gleichen Netz die OpenVPN-IP 172.17.1.22 aufrufen und komme auf den entfernten Router / Asus-Weboberfläche auf Standort X.
Siehe nachfolgende Screens:
Screen von Windows Server 2012 wo der OpenVPNServer läuft
und
Screen von Client am Standort A - im selben Netz:
WENN DAS KLAPPT, BIN ICH HAPPY
Wo ist mein Denkfehler ?
Ich habe mehrere Sachen gelesen bezüglich iroute die ich jetzt auch schon getestet habe.
Jedoch weiss ich nicht so ganz genau, ob ich das mit der Datei richtig gemacht habe. Wichtig habe ich gelesen ist der Dateiname, der = CN=Common Name sein muss. Ob die Datei per Endung.ovpn in den speziellen Ordner gelegt werden muss, habe ich bis heute noch nicht konkrett lesen können.
Die entsprechenden Verknüpfung in der Server.ovpn für den Parameter: "Client-config-dir" für "iroute" habe ich hinzugefügt.
Aber irgendwie funktioniert es nicht !
Nachfolgend ein Screen des kompletten OpenVPNServer-Verzeichnis
Wenn ihr noch weitere Facts benötigt, bekommt ihr die ! Bitte melden....
VORAB Viele Dank fürs Lesen und der Hilfsbereitschaft !
Hier die Übersicht / Konstellation Grafisch
Ich will mit einem PC aus der Firma auf den IP-LAN-Adressenbereich des Asus-Router zugreifen.
Also z.B. per RDP auf 10.10.10.103
ohne hierfür den Port zu öffnen.
mit meinem Projekt OpenVPN geht es nur sehr schleppend und mühselig voran, da es einfach sehr sehr viele Beschreibungen gibt, die in vielen Dingen wiedersprechen und nicht wirklich wie beschieben funktionieren.
Vor kurzen haben ich hier noch passende Router gesucht, die OpenVPN unterstützen. (die ich ebenfalls gleich auflisten werde) jetzt versuche ich vergebens auf den Router per (LAN IP) zu kommen.
Da ich weiß, wie lange es dauern kann, bis OpenVPN eingerichtet und sicher funktioniert, möchte ich im Zuge meiner Frage zu dem Routing-Problem auch auf die Möglichkeiten eingehen, was mit OpenVPN im Bezug auf Standort-Vernetzung mit geringen Kosten möglich ist.
Aktueler Ausgangspunkt:
Da OpenVPN kostenlos und eine sichere Lösung ist ( wenn man sie richtig aufsetzt) benutzen wir seit 5 Jahren OpenVPN um unsere Außenstandorte/Homeoffices mit unserer Zentrale mittels TUNNEL zu verbinden. Bisher hatten wir OpenVPN auf LINUX ( also Linux-VM) laufen. Die Besonderheit lag zudem darin, dass die Außenstellen mit ihren PC/c / Clients nicht manuell mittels VPN-Client-Software eine Verbindung zum OpenVPN-Server aufbauen sollten, sondern, dass ein "VPN"-Router selbst und automatisch die VPN-Verbindung aufbaut und alle PC/Geräte (die mit diesem Router verbunden/angeschlossen sind), ins Firmennetzwerk routet bzw. die PC´s per Remote auf den Terminalserver (Standort A: Zentrale) und per Explorer auf den Datenserver (Standort A: Zentrale) drauf kommen. Zusätzlich wolle wir von Standort A auch auf alle Geräte/PCs von Standort X zugreifen. So können wir auch auf die dort per Netzwerk-Angeschlossenen Drucker zugreifen die mittels TA-Cockpit von der Zentrale (Standort A) aus überwacht werden der Tonerstand abgefragt wird und automatisch von TA (Triumph-Adler) ein neuer Toner an die dortig hinterlegte Adresse verschickt wird. Zudem kommen wir auch per RDP auf jeden PC um Sachen zu installieren.
Aktuelle VPN-Umgebung
Standort A: Zentrale (Hauptsitz der Firma, wo die komplette Netzwerk-Infrastruktur zur Verfügung steht und betrieben wird) - Firewall: Watchguard / Fireware XTM 515_v11.10.2
Serverseite: OpenVPN-Server (Linux)Standort X: Außenstellen / Home-Office Anbindung DSL/VDSL mit Fritzbox + zusätzlich VPN-Router (Aktuell von Netgear WNR3500L_v2 mit Firmware "Tomato Version 1.28 by shibby"
Clientseite : OpenVPN-CLient (über Router)Neue Ausgangspunkt:
OpenVPN Server (auf Linux) soll durch OpenVPN Server (auf Windows) ersetzt werden, weil entsprechendes Know-How mit der Verwaltung von Linux fehlt und nicht weiter erwünscht ist. Da die bisherigen eingesetzten Netgear-Router WNR3500L_v2 sich schwer / sehr eingeschränkt konfigurieren/verwalten lassen, hat man hier nach neuen Routern ausschau gehalten und hier ein geeignetes Modell gefunden: Asus RT-AC68U
Neue gewünschte VPN-Umgebung
Standort A: Zentrale (Hauptsitz der Firma, wo die komplette Netzwerk-Infrastruktur zur Verfügung steht und betrieben wird) - Firewall: Watchguard / Fireware XTM 515_v11.10.2
Serverseite: OpenVPN-Server (Windows)Standort X: Außenstellen / Home-Office Anbindung DSL/VDSL mit Fritzbox + zusätzlich VPN-Router ASUS RT-AC68U (der von Werkaus, OpenVPN als Client & Server fungiert)
Clientseite: OpenVPN-CLient (über Router)Server-Parameter | OpenVPN Server (auf Windows Server 2012)
Standort A:Windows-Server 2012 (Datacenter)
Ethernet 1: IP:192.168.112.222
Ethernet 2: 172.17.1.1 (TAP-Windows Adapter V9)
und die Server.ovpn
Client-Parameter:
Standort X: - Außenstellen/ Home-OfficeAsus RT-AC68U Router der als OpenVPNClient aggiert.
WAN: 192.168.178.77 (vergibt eine FritzBox per DHCP)
LAN: 10.10.10.0 Subnetz: 255.255.255.0 Standard-Gateway: 10.10.10.1 DNS: 10.10.10.1
DHCP: 10.10.10.100 bis 10.10.10.199
Client.ovpn
Client-Verbindung zu OpenVPNServer - Erfolgreich
Der Router baut ohne Probleme die Verbindung zum OpenVPN Server auf. Sowohl der Server 192.168.112.222 (OpenVPN Windows Server 2012) als auch andere Server z.B. 192.168.112.230 (FileServer) lassen sich per RDP und per Datenexplorer öffnen. Somit ist der Weg von Client zu Server wie gewünscht vorhanden. Soweit alles super schon mal.
Aber ich möchte jetzt nur noch auf die LAN-IP Adressen des Asus_Routers und auf die angeschlossenen Geräte/PC´s zugreifen. Diese haben den IP-Adressenbereich 10.10.10.100 - 10.10.10.199
Subnet: 255.255.255.0 und den Gateway: 10.10.10.1 und DNS: 10.10.10.1
Problembeschreibung
bevor ich das Problem beschreibe:Ich kann von Standort A - Zentralle sei es vom Windows Server 2012 direkt oder auch vom PC im gleichen Netz die OpenVPN-IP 172.17.1.22 aufrufen und komme auf den entfernten Router / Asus-Weboberfläche auf Standort X.
Siehe nachfolgende Screens:
Screen von Windows Server 2012 wo der OpenVPNServer läuft
und
Screen von Client am Standort A - im selben Netz:
Mein ZIEL
Ich möchte gerne die 10.10.10.1 (welche am Standort X das Asus-Webinterface aufruft) auch von Standort A aufrufen können.
Zudem befindet sich am Asus-Router per Netzwerkkabel ein PC mit der IP-Adresse 10.10.10.176 Siehe Screen - 
auch diesen PC würde ich gerne per RDP von Standort A aus erreichen.
PC der am Asus-Router angeschlossen ist: IP: 10.10.10.176
WENN DAS KLAPPT, BIN ICH HAPPY
Jetzt benötige ich eure HILFE !!!!
Wo ist mein Denkfehler ?Ich habe mehrere Sachen gelesen bezüglich iroute die ich jetzt auch schon getestet habe.
Jedoch weiss ich nicht so ganz genau, ob ich das mit der Datei richtig gemacht habe. Wichtig habe ich gelesen ist der Dateiname, der = CN=Common Name sein muss. Ob die Datei per Endung.ovpn in den speziellen Ordner gelegt werden muss, habe ich bis heute noch nicht konkrett lesen können.
Die entsprechenden Verknüpfung in der Server.ovpn für den Parameter: "Client-config-dir" für "iroute" habe ich hinzugefügt.
Aber irgendwie funktioniert es nicht !
Nachfolgend ein Screen des kompletten OpenVPNServer-Verzeichnis
HILFE
Wenn ihr noch weitere Facts benötigt, bekommt ihr die ! Bitte melden....
VORAB Viele Dank fürs Lesen und der Hilfsbereitschaft !
Ergänzung: (30.11.2015)
Hier die Übersicht / Konstellation Grafisch
Problem-Direkt:
Ich will mit einem PC aus der Firma auf den IP-LAN-Adressenbereich des Asus-Router zugreifen.
Also z.B. per RDP auf 10.10.10.103
ohne hierfür den Port zu öffnen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 289410
Url: https://administrator.de/contentid/289410
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
8 Kommentare
Neuester Kommentar
Da ich weiß, wie lange es dauern kann, bis OpenVPN eingerichtet und sicher funktioniert,
Meinst du das negativ oder positiv ??OpenVPN ist wie Netzwerker wissen ein SSL basiertes VPN was damit sehr schnell und effizient eingerichtet werden kann.
Hält man sich z.B. an das hiesige OpenVPN Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
ist das auch für Laien in max. 30 Minuten erledigt.
Das Schöne und Positive an der OVPN Sache ist, das alle Konfiguration auf allen Hardware und OS Plattformen immer gleich ist, egal ob Winblows, Mac OS-X Linux oder was auch immer.
Wo also ist hier dein wirkliches Problem ??
Liest man sich deinen Hilfeschrei oben durch wird das schnell offensichtlich, denn das ist mangelndes Knowhow. Allein schon aus der Tatsache der dilettantischen Routerwahl wird das ersichtlich.
Von NetGear auf die höchst problematischen ASUS zu wechseln zeigt sehr wenig Fachkenntniss bei der Vorauswahl der HW mit der deine Lösung kinderleicht umzusetzen wäre.
Ausnahme wäre hier gewesen auf die ASUS Hardware die alternative Router Firmware DD-WRT zu flashen. Das hätte sehr vieles für dich und dein Vorhaben einfacher gemacht und dir den Einsatz eines Windows Server erspart.
Noch sinnvoller wäre der Einsatz einer VPN fähigen Firewall wie z.B. dieser hier gewesen aber diese Chance ist vertan worden.
Ebenso die hilflose Kapitulation vor Linux, das sich mit nur wenig Wissen ebenso einfach managen lässt über das GUI wie Windows zeigt ein übriges. Noch gar nicht mal geredet von Sicherheits und Kostenaspekten dieser Blödmarkt Billigrouter die normal im Firmenumfeld nichts zu suchen haben.
Mit solch extrem rudimentären Fachkenntnissen sich an so ein Projekt zu wagen ist schon recht sportlich aber eben auch nicht falsch wenn man denn willig ist Neues zu lernen.
Lamentieren, Produktschelte und jammern hilft also nicht unter diesen Voraussetzungen, denn OpenVPN ist auch auf Linux in so einer popeligen Standardkonfig wie die deiner millionenfach im Einsatz. Es liegt also de facto NICHT an der Technik !
Das solltest du also als erstes mal versuchen in den Griff zu bekommen oder dir kompetente Hilfe holen.
Zurück zu deinen Fragen...
Anhand deiner Beschreibung brauchst du also besser ein Klicki Bunti Interface was adäquat ist für Winblows User. Da fährst du dann mit einem fertigen Router oder Firewall erheblich besser die sowas schon gleich an Bord haben wie die Komponenten die oben im Tutorial beschrieben sind.
Das erleichtert die Einrichtung allemal aber OK...erstmal muss man dann mit der völlig oversizten Windows Lösung leben.
Fazit: Folge den Installationsschritten des obigen OVPN Tutorials !
Dort ist ganz genau beschrieben welche Schritte zur Einrichtung der Zertifikate usw. erforderlich sind.
Wichtig sind hier immer die Logs auf Server und Client Seite. Die sagen dir genau wo der Schuh drückt wenn es kneift.
Generell ist ein VPN Design mit VPN Servern (Tunnel Endpoints) die hinter NAT Routern liegen immer kontraproduktiv.
Ganz wichtige ToDos für dich in dem obigen Design die Server hinter der Router NAT Firewall zu betreiben ist:
- Port Forwarding einrichten auf dem ASUS Router der UDP 1194 (OVPN Default Port) auf die lokale LAN IP des OVPN Servers forwardet.
- Statische Route auf dem ASUS einrichten die das interne OVPN IP Netz auf die lokale LAN IP des Servers forwardet. (Zielnetz: 172.17.1.0, Maske: 255.255.255.0, Gateway: 192.168.x.y)
- Lokale Win Firewall des OVPN Win Servers muss angepasst werden auf ein richtiges Profil und das die IP Netze die über den Tunnel geroutet werden müssen an die Clients gepusht werden.
Deine besten Freunde sind dann wie immer Traceroute (tracert) und Pathping bzw. route print zum Troubleshooten.
Wenn trotz konsitenter Routing Tabelle zw. Client und Server nichts durch den Tunnel kommt ist so gut wie immer eine nicht angepasste lokale Firewall das Problem !
Bedenke immer das Clients mit einer 172.17.1er Absender IP in dein lokales 192.168.0.0 /23 er Netz ankommen und Endgeräte dort diese IPs per Default in der Firewall blocken da die Absender IP nicht aus dem lokalen Netz kommt.
Auch das musst du ganz besonders bei Winblows anpassen.
Wichtig für uns zur zielgerichteten Hilfe sind:
- Log Outputs Client und Server
- Traceroute Outputs
- An welchen Knoten klemmt es wenn es denn klemmt
- Routing Tabellen Client
- Netzwerk Topologie Zeichnung
Viele Dank aqui für deine Antwort und den aufbauenden Worten .....
Ja ich bin in diesem Thema Laie und beschäftige mich durchaus schon viel länger als nur 30 Minuten.
(
Ich schaus mir an, andernfalls schreib ich nochmal !
Ja ich bin in diesem Thema Laie und beschäftige mich durchaus schon viel länger als nur 30 Minuten.
(Ich schaus mir an, andernfalls schreib ich nochmal !
Ich bin am verzweifeln.
Ich bekomme es nicht hin, den Router im Firmennetz mit der IP-Adresse 10.10.10.1 aufzurufen.
WARUM ??? Meint ihr, dass das ggf. mit dem Webinterface des Asus-Routers gar nicht geht und das ein flash auf DD-WRT nötig wäre ?
Tracert und Ping weiterhin ohne erfolg.
Ich bekomme es nicht hin, den Router im Firmennetz mit der IP-Adresse 10.10.10.1 aufzurufen.
WARUM ??? Meint ihr, dass das ggf. mit dem Webinterface des Asus-Routers gar nicht geht und das ein flash auf DD-WRT nötig wäre ?
Tracert und Ping weiterhin ohne erfolg.
Hat der ASUS Router eine Shell von der aus du den OpenVPN debuggen kannst wie bei DD-WRT ?
Hallo aqui,
der ASUS RT-AC68U hat keine eingebaute Shell in der Asus-Standard-Webconsole wie bei DD-WRT.
Es gibt nur ein Systemprotokoll - Allgemeiens Protokoll worauf man nachvollziehen kann, wie sich der OpenVPN-Client verbindet und ob die Verbindung "Dec 8 13:18:27 openvpn[9173]: Initialization Sequence Completed " funktioniert.
Andernfalls gibt es nur die Option -> Telnet oder auch per SSH mittels Putty.
Also Fact aktuell:
Der OpenVPNServer läuft
Ethernet 1:
Locale IP: 192.168.112.222
Subnet: 255.255.128.0
GW: 192.168.112.1
DNS: 192.168.112.235
Ethernet 2
OpenVPN IP: 172.17.1.1
Gateway: leer
IP-v4DHCP Server 172.17.1.2
DNS: leer
Eingetrage Route in der Server.ovpn
Aktive Route: Netzwerkmaske: Gateway: Schnittstelle: Metrik:
10.10.10.0 255.255.255.0 172.17.1.2 172.17.1.1 20
10.10.20.0 255.255.255.0 172.17.1.2 172.17.1.1 20
10.10.30.0 255.255.255.0 172.17.1.2 172.17.1.1 20
10.10.40.0 255.255.255.0 172.17.1.2 172.17.1.1 20
Der Asus-Router (bereits durch OpenVPN erreichbar mit 172.17.1.46) ist am Standort B an einer Fritzbox geklempt.
Als Betriebsmodus: Wireless Router (Standard) - verbindet ers ich mit dem internet über PPoE, DHCP,PPTP,L2TP
Er hat aktuell folgende IP
WAN: 10.255.0.46
LAN: 10.10.10.1
Subnet: 255.255.255.0
Gateway:10.10.10.1
DNS: 10.10.20.1
DHCP: 10.10.10.100 bis 10.10.10.199
Am Asus-Router häng an LAN-Port 1: ein Laptop mit der LAN-IP 10.10.10.176
Von Standort A aus möchte ich diesen per RDP aufrufen können. Aber selbst dass anbingen und tracert funktioneirt nicht.
Der OpenVPN Server und das manuelle Verbinden funktioniert einwandfrei. So kann ich direkt vom Standort A auf Standort B zugreifen und genauso von Standort B auf Standort A zugreifen. Sobald mir immer die 172.17.1.xx bekannt ist, habe ich uneingeschränt zugriff auf die IP.
Auf die Webconsole des Asus-Router komme ich mit 172.17.1.46 ebenfalls drauf. Der Asus-Router baut auch die Route zum Firmennetzwerk korrekt auf. Sprich alle Geräte/ PC/Laptop die am Asus-Router hängen, haben jetzt schon Zugriff ins Firmennetzwerk. (so wie auch gewünscht)
Aber ich möchte auch Zugriff auf die Geräte am Standort B haben. Und nicht nur die Asus-Webconsole (Router) sondern ich möchte jede IP Adresse die mit dem Router verbunden/Angeschlossen ist, aufrufen.
Meine Vermutung:
Dass die interne Firewall des Asus-Routers den Zugriff von LAN zu WAN nicht zulässt.
Bei der WAN-NAT Passthrough sind alle Möglichkeiten wie PPTP Pasthrough, L2TP Passthrough, IPSec Passthrough, H323 Passthrough, SIP Passthrough, PPPoE-Relais aktivieren, = Aktiviert
Was ich auch nicht ganz verstehe: Option im Router:
WAN - Portauslösung
Port Trigger kann temporäre Daten-Ports öffnen, um LAN-Geräten uneingeschränkten Zugriff auf das Internet zu ermöglichen. Grundsätzlich stehen zwei Möglichkeiten zur Verfügung, um eingehende Daten-Ports zu öffnen: Port Forwarding und Port Trigger. Port Forwarding öffnet jederzeit vorgegebene Daten-Ports und Geräte müssen statische IP-Adressen verwenden. Port Trigger öffnet nur eingehende Daten-Ports, wenn ein LAN-Gerät Zugang zu einem Trigger-Port anfordert. Im Gegensatz zu Port Forwarding, benötigt Port Trigger keine statischen IP-Adressen für LAN-Geräte. Port Forwarding ermöglicht mehreren Geräten, einen offenen Port untereinander zu teilen. Port Trigger erlaubt nur einem Client den Zugriff auf den offenen Port.
und
WAN - Port Forwarding
Port Forwarding erlaubt Remote-Computern, sich mit einem bestimmten Computer oder Service innerhalb eines privaten lokalen Netzwerks (LAN) zu verbinden. Für schnellere Datenübertragung benötigen manche P2P-Anwendungen (wie z.B. BitTorrent) evtl. den Einsatz von Port Forwarding. Details finden Sie im Handbuch der jeweiligen P2P-Anwendung.
Wenn Sie für die Clients einen bestimmten Port-Bereich im gleichen Netzwerk festlegen wollen, geben Sie Dienstname, den Port-Bereich (z.B. 10200:10300), die LAN-IP-Adresse ein und lassen Sie das Feld Lokaler Port leer.
Wenn Ihre Netzwerk-Firewall deaktiviert ist und Sie bei der WAN-Einstellung den Wert 80 für den Port-Bereich des HTTP-Servers eingeben, wird Ihr HTTP-Server/Web-Server in Konflikt mit der Web-Benutzeroberfläche des RT-AC68U stehen.
Wenn Sie bei der WAN-Einstellung den Wert 20:21 für den Port-Bereich des FTP-Servers eingeben, wird Ihr FTP-Server in Konflikt mit dem Standard FTP-Server des RT-AC68U stehen.
der ASUS RT-AC68U hat keine eingebaute Shell in der Asus-Standard-Webconsole wie bei DD-WRT.
Es gibt nur ein Systemprotokoll - Allgemeiens Protokoll worauf man nachvollziehen kann, wie sich der OpenVPN-Client verbindet und ob die Verbindung "Dec 8 13:18:27 openvpn[9173]: Initialization Sequence Completed " funktioniert.
Andernfalls gibt es nur die Option -> Telnet oder auch per SSH mittels Putty.
Also Fact aktuell:
Der OpenVPNServer läuft
Ethernet 1:
Locale IP: 192.168.112.222
Subnet: 255.255.128.0
GW: 192.168.112.1
DNS: 192.168.112.235
Ethernet 2
OpenVPN IP: 172.17.1.1
Gateway: leer
IP-v4DHCP Server 172.17.1.2
DNS: leer
Eingetrage Route in der Server.ovpn
Aktive Route: Netzwerkmaske: Gateway: Schnittstelle: Metrik:
10.10.10.0 255.255.255.0 172.17.1.2 172.17.1.1 20
10.10.20.0 255.255.255.0 172.17.1.2 172.17.1.1 20
10.10.30.0 255.255.255.0 172.17.1.2 172.17.1.1 20
10.10.40.0 255.255.255.0 172.17.1.2 172.17.1.1 20
Der Asus-Router (bereits durch OpenVPN erreichbar mit 172.17.1.46) ist am Standort B an einer Fritzbox geklempt.
Als Betriebsmodus: Wireless Router (Standard) - verbindet ers ich mit dem internet über PPoE, DHCP,PPTP,L2TP
Er hat aktuell folgende IP
WAN: 10.255.0.46
LAN: 10.10.10.1
Subnet: 255.255.255.0
Gateway:10.10.10.1
DNS: 10.10.20.1
DHCP: 10.10.10.100 bis 10.10.10.199
Am Asus-Router häng an LAN-Port 1: ein Laptop mit der LAN-IP 10.10.10.176
Von Standort A aus möchte ich diesen per RDP aufrufen können. Aber selbst dass anbingen und tracert funktioneirt nicht.
Der OpenVPN Server und das manuelle Verbinden funktioniert einwandfrei. So kann ich direkt vom Standort A auf Standort B zugreifen und genauso von Standort B auf Standort A zugreifen. Sobald mir immer die 172.17.1.xx bekannt ist, habe ich uneingeschränt zugriff auf die IP.
Auf die Webconsole des Asus-Router komme ich mit 172.17.1.46 ebenfalls drauf. Der Asus-Router baut auch die Route zum Firmennetzwerk korrekt auf. Sprich alle Geräte/ PC/Laptop die am Asus-Router hängen, haben jetzt schon Zugriff ins Firmennetzwerk. (so wie auch gewünscht)
Aber ich möchte auch Zugriff auf die Geräte am Standort B haben. Und nicht nur die Asus-Webconsole (Router) sondern ich möchte jede IP Adresse die mit dem Router verbunden/Angeschlossen ist, aufrufen.
Meine Vermutung:
Dass die interne Firewall des Asus-Routers den Zugriff von LAN zu WAN nicht zulässt.
Bei der WAN-NAT Passthrough sind alle Möglichkeiten wie PPTP Pasthrough, L2TP Passthrough, IPSec Passthrough, H323 Passthrough, SIP Passthrough, PPPoE-Relais aktivieren, = Aktiviert
Was ich auch nicht ganz verstehe: Option im Router:
WAN - Portauslösung
Port Trigger kann temporäre Daten-Ports öffnen, um LAN-Geräten uneingeschränkten Zugriff auf das Internet zu ermöglichen. Grundsätzlich stehen zwei Möglichkeiten zur Verfügung, um eingehende Daten-Ports zu öffnen: Port Forwarding und Port Trigger. Port Forwarding öffnet jederzeit vorgegebene Daten-Ports und Geräte müssen statische IP-Adressen verwenden. Port Trigger öffnet nur eingehende Daten-Ports, wenn ein LAN-Gerät Zugang zu einem Trigger-Port anfordert. Im Gegensatz zu Port Forwarding, benötigt Port Trigger keine statischen IP-Adressen für LAN-Geräte. Port Forwarding ermöglicht mehreren Geräten, einen offenen Port untereinander zu teilen. Port Trigger erlaubt nur einem Client den Zugriff auf den offenen Port.
und
WAN - Port Forwarding
Port Forwarding erlaubt Remote-Computern, sich mit einem bestimmten Computer oder Service innerhalb eines privaten lokalen Netzwerks (LAN) zu verbinden. Für schnellere Datenübertragung benötigen manche P2P-Anwendungen (wie z.B. BitTorrent) evtl. den Einsatz von Port Forwarding. Details finden Sie im Handbuch der jeweiligen P2P-Anwendung.
Wenn Sie für die Clients einen bestimmten Port-Bereich im gleichen Netzwerk festlegen wollen, geben Sie Dienstname, den Port-Bereich (z.B. 10200:10300), die LAN-IP-Adresse ein und lassen Sie das Feld Lokaler Port leer.
Wenn Ihre Netzwerk-Firewall deaktiviert ist und Sie bei der WAN-Einstellung den Wert 80 für den Port-Bereich des HTTP-Servers eingeben, wird Ihr HTTP-Server/Web-Server in Konflikt mit der Web-Benutzeroberfläche des RT-AC68U stehen.
Wenn Sie bei der WAN-Einstellung den Wert 20:21 für den Port-Bereich des FTP-Servers eingeben, wird Ihr FTP-Server in Konflikt mit dem Standard FTP-Server des RT-AC68U stehen.
Auf die Webconsole des Asus-Router komme ich mit 172.17.1.46 ebenfalls drauf. Der Asus-Router baut auch die Route zum Firmennetzwerk korrekt auf
Gut, das der OVPN Server den ASUS pingen kann und hoffentlich vice versa auch ist schonmal gut und zeigt das der SSL Tunnel sauber funktioniert. Generell rennt das also.Der Rest kann jetzt nur nioch ein Routing oder Firewall Problem sein.
- Wichtige Frage nochmal: kannst du das LAN Interface des ASUS 10.10.10.1 auch anpingen ?
- Wenn nein bis wohin geht ein Traceroute auf diese IP ?
- Kannst du über das GUI die Routing Tabelle des ASUS einsehen ?
Er (der ASUS Router) hat aktuell folgende IP: WAN: 10.255.0.46
Das stimmt aber NICHT mit deiner Zeichnung von oben überein ?! Dort ist die klassische FB IP 192.168.178.0 angegeben...Am Asus-Router häng an LAN-Port 1: ein Laptop mit der LAN-IP 10.10.10.176
Von Standort A aus möchte ich diesen per RDP aufrufen können. Aber selbst dass anbingen und tracert funktioneirt nicht.
Dir ist klar das der PC im Default das nicht zulässt !Von Standort A aus möchte ich diesen per RDP aufrufen können. Aber selbst dass anbingen und tracert funktioneirt nicht.
2 Gründe dafür:
- Die lokale Firewall des PC verhindert den RDP und ICMP Zugriff aus dem Fremdnetz Standort A per Default. Du musst hier zwingend die Firewall anpassen das das erlaubt ist aus dem Standort A Netz.
- ICMP ist im Default auf den PC deaktiviert (sofern es ein Winblows PC ist !) Zum Aktivieren siehe: http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Hallo aqui,
erstmals viele Dank als einiger für deine Hilfe.
Zu deinen Fragen:
Nur kurzer Hinweis: warum die unterschiedlichen IP-Adressen.
Ich habe 2 gleiche Asus-Router konfiguriert. 1 Steht zuhause ( daher auch die IP der FB mit 192.168.178.1) und 1 steht in der Firma aber im LAN-Bereich 10.255.0.46 der keinerlei Verbindung zu unserem Netzwerk hat ( VLAN: Gäste-Wlan)
Also ich kann von Standort A auf den Asus Router zuhause per IP: 172.17.1.22
und kann von Standort A auf den Asus Router (der am VLAN WlanGäste hängt) IP: 172.17.1.46 zugreifen.
Leider geht mein Traceroute nirgendwo hin... was ich sehr komisch finde....
Was mich auch ein bisschen irritiert ist die Ständige Route:
Netzerkadresse | Netzmask | Gateway | Metrik
0.0.0.0 | 0.0.0.0 | 192.168.112.1 | Standard
0.0.0.0 | 0.0.0.0 | 172.17.1.1 | Standard
Siehe nachfolgenden Screen:
nachfolgend ein Screen:
Routingtabelle
Systemprotokoll
"Ich habe 2 gleiche Asus-Router konfiguriert. 1 Steht zuhause ( daher auch die IP der FB mit 192.168.178.1) und 1 steht in der Firma aber im LAN-Bereich 10.255.0.46 der keinerlei Verbindung zu unserem Netzwerk hat ( VLAN: Gäste-Wlan) "
Die Konfiguration beider Asus-Router ist die gleiche !!! Außer unterschiedliche OpenVNP-Client-Schlüssel.
Vermutlich gilt hier der Firewall-Eintrag:
erstmals viele Dank als einiger für deine Hilfe.
Zu deinen Fragen:
Wichtige Frage nochmal: kannst du das LAN Interface des ASUS 10.10.10.1 auch anpingen ?
Nein, leider nicht. Ich kann vom Standort A den Asus-Router nur mit der von OpenVPN generierten IP : 172.17.1.22 bzw. 172.17.1.46 anpingen.Nur kurzer Hinweis: warum die unterschiedlichen IP-Adressen.
Ich habe 2 gleiche Asus-Router konfiguriert. 1 Steht zuhause ( daher auch die IP der FB mit 192.168.178.1) und 1 steht in der Firma aber im LAN-Bereich 10.255.0.46 der keinerlei Verbindung zu unserem Netzwerk hat ( VLAN: Gäste-Wlan)
Also ich kann von Standort A auf den Asus Router zuhause per IP: 172.17.1.22
und kann von Standort A auf den Asus Router (der am VLAN WlanGäste hängt) IP: 172.17.1.46 zugreifen.
Wenn nein bis wohin geht ein Traceroute auf diese IP ?
Leider geht mein Traceroute nirgendwo hin... was ich sehr komisch finde....
Was mich auch ein bisschen irritiert ist die Ständige Route:
Netzerkadresse | Netzmask | Gateway | Metrik
0.0.0.0 | 0.0.0.0 | 192.168.112.1 | Standard
0.0.0.0 | 0.0.0.0 | 172.17.1.1 | Standard
Siehe nachfolgenden Screen:
Kannst du über das GUI die Routing Tabelle des ASUS einsehen ?
nachfolgend ein Screen:
Routingtabelle
Systemprotokoll
Das stimmt aber NICHT mit deiner Zeichnung von oben überein ?! Dort ist die klassische FB IP 192.168.178.0 angegeben...
Info bereits oben:"Ich habe 2 gleiche Asus-Router konfiguriert. 1 Steht zuhause ( daher auch die IP der FB mit 192.168.178.1) und 1 steht in der Firma aber im LAN-Bereich 10.255.0.46 der keinerlei Verbindung zu unserem Netzwerk hat ( VLAN: Gäste-Wlan) "
Die Konfiguration beider Asus-Router ist die gleiche !!! Außer unterschiedliche OpenVNP-Client-Schlüssel.
Am Asus-Router häng an LAN-Port 1: ein Laptop mit der LAN-IP 10.10.10.176. Von Standort A aus möchte ich diesen per RDP aufrufen können. Aber selbst dass anbingen und tracert funktioneirt nicht.
du schreibst: Dir ist klar das der PC im Default das nicht zulässt !
In der bestehenden VPN-Umgebung (OpenVPNServer Linux und Netgear-Router mit Tomato) ist das ohne Probleme möglich. Die Firewall sind auf den PCs ausgestellt. Sobald man den Netgear-Router im der IP : 10.10.102.1 erreichen kann, komme ich auch ohne Probleme auf die dort angeschlossenen Geräte drauf.du schreibst: Dir ist klar das der PC im Default das nicht zulässt !
Vermutlich gilt hier der Firewall-Eintrag:
2 Gründe dafür:
Die lokale Firewall des PC verhindert den RDP und ICMP Zugriff aus dem Fremdnetz Standort A per Default. Du musst hier zwingend die Firewall > anpassen das das erlaubt ist aus dem Standort A Netz.
ICMP ist im Default auf den PC deaktiviert (sofern es ein Winblows PC ist !) Zum Aktivieren siehe: http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen.
Die obigen Punkte gelten für ALLE PCs auf beiden Seiten
werde ich trotzdem mal überprüfen !!!Die lokale Firewall des PC verhindert den RDP und ICMP Zugriff aus dem Fremdnetz Standort A per Default. Du musst hier zwingend die Firewall > anpassen das das erlaubt ist aus dem Standort A Netz.
ICMP ist im Default auf den PC deaktiviert (sofern es ein Winblows PC ist !) Zum Aktivieren siehe: http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen.
Die obigen Punkte gelten für ALLE PCs auf beiden Seiten
Leider geht mein Traceroute nirgendwo hin... was ich sehr komisch finde....
Zeigt das du ein Routing Problem hast !Er müsste doch aber mindestens den ersten Hop anzeigen sprich die Watchguard Firewall, denn die ist doch bei deinem Ping oder Traceroute Client als Default Gateway eingetragen, oder ?
Die muss Traceroute in jedem Falle zeigen !
Zudem hast du vergessen auf der Watchguard auch eine weitere statische Route für die 10er Netze am ASUS Standort einzutragen die dann über den OVPN Server gehen. Dort ist einzig nur das OVPN interne Netz als Route drin.
Dort fehlt ein:
ip route 10.10.10.0 255.255.255.0 Gateway: 192.168.112.222
Wenn es mehrere 10er Netze gibt an B die sich im 3ten Byte unterscheiden kannst du auch eine Summarization machen bei der Route:
ip route 10.10.0.0 255.255.0.0 Gateway: 192.168.112.222
Das routet dann alle 10.10.x.x Netze in den VPN Tunnel.
Ansonsten schickt die Watchguard diese Pakete zum Provider !
Beachte auch das dann ICMP an der Watchguard am LAN Port erlaubt sein muss, denn sonst ist klar das Traceroute nix anzeigt wenn die Watchguard das blockt !
Was mich auch ein bisschen irritiert ist die Ständige Route:
Ist das die Route Tabelle des Ping Clients ??192.168.112.1 ist ja richtig das ist die Watchguard und die dürfte da Default Gateway sein.
Die Default Route auf die 172er IP ist definitiv ein Fehler ! Wo kommt die her ?
Routingtabelle ASUS:
Wieso hast du die 2mal gepostet ???
Wie du selber sehen kannst fehlt in der Routing Tabelle das 192.168.112.0er Netzwerk vollständig !!!
Antwortpakete aus B gehen also direkt an den Provider und damit ins Nirwana statt in den VPN Tunnel.
Hast du im OVPN Server das
push "route 192.168.112.0 255.255.255.0"
Kommando vergessen ???
Solange dises netzwerk nicht auf den remoten Asus propagiert wird sollte dir doch klar sein das das niemals klappen kann, denn wenn der ASUS die Route in das Zielnetz nicht kennt wie dachtest du sollte das gehen ??
Checke also unbendingt die Server Konfig Datei des OVPN Servers an A !!! Da muss noch ein Fehler sein.
Leitfaden ist hier immer das hiesige OVPN Tutorial !
