Ich find den OpenVPN Wurm nicht, bitte um Hilfe

Hallo Leute,

ich such schon etliche Zeit nach dem Fehler, kann ich aber wirklich nicht finden. Vielleicht habt ihr einen Tip für mich? Folgendes Szenario:

zwei Linksys-WRT54 mit OpenWRT sollen zwei Standorte über VPN (durch Internet) verbinden. Ich hab schon mehrere solche Configs installiert, aber momentan sitz ich grad auf dem Schlauch.

Die SiteA ist das 192.168.1.0/24 Netz
/etc/openvpn/zusiteB.conf:

dev tun
remote siteB-example.dyndns.org
ifconfig 10.60.68.238 10.60.68.237
tun-mtu 1400
up /etc/openvpn/zusiteB.up
secret mein.key
port 1193
user nobody
comp-lzo
ping 8
ping-restart 20
ping-timer-rem
persist-tun
persist-key

/etc/openvpn/zusiteB.up:

#!/bin/sh
route add -net 192.168.1.0 netmask 255.255.255.0 tun0
iptables -A FORWARD -p all -s 10.60.68.237 -j ACCEPT
iptables -A FORWARD -p all -d 192.168.1.0/24 -j ACCEPT
exit 0

Die SiteB ist das 10.4.40.0/24 Netz und sieht so aus
/etc/openvpn/zusiteA.conf:

dev tun
ifconfig 10.60.68.237 10.60.68.238
tun-mtu 1400
up /etc/openvpn/zusiteA.up
secret mein.key
port 1193
user nobody
com-lzo
ping 8
ping-restart 20
ping-timer-rem
persist-tun
persist-key

/etc/openvpn/zusiteA.up:

#!/bin/sh
route add -net 10.4.40.0 netmask 255.255.255.0 tun0
iptables -A FORWARD -p all -s 10.60.68.237 -j ACCEPT
iptables -A FORWARD -p all -d 10.3.39.0/24 -j ACCEPT
exit 0

Ich logg mich auf beiden Linksys-WRT54 über SSH ein. Ich kann von einem auf den andren Pingen, weil der Tunnel steht. Also Pings auf 10.60.68.237 und 10.60.68.238 vice-versa funktionieren einwandfrei. Der Tunnel steht definitv. Irgendwie scheints aber noch mit dem Weiterleiten ins 'normale' Netz zu hängen? "route -n" zeigt mir jedoch die Routing Tables korrekt an, auf beiden Geräten. Nichts ungewöhnliches also. Auch Firewalleinträge habe ich evtl. überprüft, das kanns aber alles nicht sein, denn:

das Ganze funktionierte bis ich dem Internetrouter und WRT54-Router auf SiteA abgeänderte. Das frühere Netz lautete 192.168.178.0/24 (typisches Fritz-Subnet) und ich änderte es ab auf 10.4.40.0/24 und habe eigentlich alle Anpassungen durchgeführt. Es muss also sehr wahrscheinlich damit zusammenhängen. Jedoch habe ich alles durchsucht und nix finden können. Wahrscheinlich hab ich 'ne Kleinigkeit übersehen und seh vor lauter Bäumen den Wald nicht

Hoffe ihr könnt helfen. Merci

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 189330

Url: https://administrator.de/forum/ich-find-den-openvpn-wurm-nicht-bitte-um-hilfe-189330.html

Ausgedruckt am: 03.04.2025 um 08:04 Uhr

5 Kommentare

Neuester Kommentar

Moin.

In /etc/openvpn/zusiteA.up

müsste das nicht

iptables -A FORWARD -p all -d 10.4.40.0/24 -j ACCEPT

statt

iptables -A FORWARD -p all -d 10.3.39.0/24 -j ACCEPT

heissen?

HTH
MK

ja, das war aber ein Tippfehler von mir, da ich es abgeschrieben habe von nem andren Rechner/Monitor

trotzdem danke für den Hinweis. Es stimmt also so. Any other ideas?

Na da schau her, hab grad zum Test 'nen Ping abgesetzt und jetzt funktionierts !!! ??? Häää? Ich werd nicht schlau draus. Hab absolut NICHTS umgestellt seit dem letzten Posting. Woran könnte das gelegen haben? *dummguck*

Also ich habs jetzt, es war die Firewalleinstellung. Heute Mittag schon hatte ich in der /etc/firewall.user weiter aufgeschraubt, aber nicht gleich im Anschluss getestet. Deswegen wunderte es mich, warum es plötzlich ging. Ich hab in beiden .up Scripts die gleiche IP aus Versehen drin gehabt. Es muss natürlich einmal die 10.60.68.237 und beim andren Endpunkt die 10.60.68.238 sein, ich habte bei beiden .237 stehen

Damit es aber funktioniert, habe ich die zwei Zeilen aus beiden Up-Scripts entfernt. Stattdessen habe ich in der /etc/firewall.user verwendet:

Damit vom internen LAN interface auf das OpenVPN-Interface weitergeleitet werden darf (ausgehend)

iptables -A FORWARD -i br0 -o tun0 -j ACCEPT

Damit die auf dem OpenVPN Tunnel-Interface eingehenden Pakete auf das LAN weitergeleitet werden dürfen (eingehend)

iptables -A FORWARD -i tun0 -o br0 -j ACCEPT

Wenn ich direkt von den zwei Linksys WRT54 einen Ping auf entfernte Hosts absetze im gegenüberliegenden Netz, krieg ich keine Antwort. Mache ich es jedoch von anderen normalen Hosts, dann funktioniert das bidirektional. Wieso können die VPN-Router selbst keine dahinterliegenden Hosts erreichen? Muss ich für die eine extra Firewall-Regel bilden ?

Die Route ist eigentlich überflüssig, denn die kannst du automatisch mit einem "push route..." Kommando in der OVPN Konfig erledigen und ist einfacher.
Das OVPN Tutorial hier erklärt das eigentlich recht einfach:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ebenso das Troubleshooting...
Das du hinter dem Router liegende Hosts nicht erreichen kannst liegt evtl. daran das die nicht die OVPN Router als Default Gateway eingetragen haben sondern ein anderes gateway !
Dann musst du dort eine statische Route auf das OVPN Netz bzw. das Zielnetz einrichten, dann klappt das auch !
Zusätzlich musst du beachten das ggf. die lokale Firewall sowas blockt, da du ja aus einen fremden IP Netz kommst und die (Winblows) Firewall sowas z.B. gleich blockt. Ggf. also die FW anpassen oder für die Testphase der Verbindung temporär mal deaktivieren.

Frage Netzwerke Router, Routing

Mehr von panguu

Router gesucht (Mikrotik, OPNsense)panguu - 38 Kommentare

Proxmox VE 8.3 iGPU an VM an Monitor durchreichenpanguu - 6 Kommentare

Computer Anschaffung für Kinder im Grundschulalter und welches OS ?panguu - 16 Kommentare

Phishing Schutz in Outlook als Popup-Warnung bei Aufruf externer URLpanguu - 10 Kommentare

Heiß diskutiert