gelöst Open VPN Problem

Mitglied: killtec

killtec (Level 3) - Jetzt verbinden

26.10.2018 um 13:13 Uhr, 2953 Aufrufe, 8 Kommentare

Hallo,
ich habe ein Problem mit openVPN, bzw. mit einem Tunnel.

Auf der einen Seite steht eine endian Firwall, auf der anderen eine endian Community Firewall.

Von der Community FW wird ein openVPN zur endian aufgebaut. Der Traffic in der Richtung funktioniert ohne Probleme, in der anderen Richtung klappt der Traffic nicht.

Pinge ich von der endian zu einem Host hinter der community FW, klappt das. Jedoch nicht von einem Host hinter der Endian.

Bsp.:
Endian Community LAN-IP 172.17.1.2 (VPN Client)
Endian Fireall LAN-IP 10.0.1.1 (LAN-IP)

per SSH auf die Endian Firewall -> Ping auf Client 172.17.0.10 -> klappt
ping von Client hinter endian FW -> keine Antwort. Traceroute geht korrekt zur FW.

ping von 172.17.0.10 auf 10.0.1.1 -> klappt.

Dieses Problem tritt auf 2 von 3 OpenVPN Tunneln auf.

Also zusammen gefasst: Die FW mit VPN-Server kann alles erreichen, Cleints hinter der FW nicht. Cleints hinter der Client-FW können alles erreichen und bekommen auch ANtworten.

Gruß
Mitglied: aqui
LÖSUNG 26.10.2018 um 13:56 Uhr
Jedoch nicht von einem Host hinter der Endian.
Kannst du denn wenigstens das IP Interface der Endian hier pingen ?? (ICMP erlaubt in den Regeln der FW !)
Wie immer checken:
  • Routing Tabelle der FWs. Sind beide Netze dort bekannt ? Zeigt auch das die OVPN Konfig korrekt ist (oder nicht)
  • Regelcheck sofern die Endian wie die pfSense ein separates Tunnel Interface hat mit Regeln
  • Ping ist ICMP ! Ist das erlaubt ?
  • Bei den Clients wie immer ist der übliche Verdächtige die lokale Firewall wenns Winblows ist. Die blockt alles was von Fremdnetzen kommt im Default. Ggf. anpassen oder besser immer Drucker usw. pingen die keine lokale FW haben und deren Gateway auf die FW IP zeigt.
Bitte warten ..
Mitglied: killtec
26.10.2018 um 14:09 Uhr
Zitat von aqui:

Jedoch nicht von einem Host hinter der Endian.
Kannst du denn wenigstens das IP Interface der Endian hier pingen ?? (ICMP erlaubt in den Regeln der FW !)
FW auf FW geht, Client auf FW nicht.

Wie immer checken:
  • Routing Tabelle der FWs. Sind beide Netze dort bekannt ? Zeigt auch das die OVPN Konfig korrekt ist (oder nicht)
Hier wird lediglich Benutzer und Zertifikat hinterlegt + IP-Adresse. Der Routing-Eintrag ist korrekt in der FW gesetzt.

* Regelcheck sofern die Endian wie die pfSense ein separates Tunnel Interface hat mit Regeln
Keine Regeln hier für den Tunnel gesehen.

* Ping ist ICMP ! Ist das erlaubt ?
Ja

* Bei den Clients wie immer ist der übliche Verdächtige die lokale Firewall wenns Winblows ist. Die blockt alles was von Fremdnetzen kommt im Default. Ggf. anpassen oder besser immer Drucker usw. pingen die keine lokale FW haben und deren Gateway auf die FW IP zeigt.
FW ist testhalber aus auf beiden Seiten, leider ist hier nicht die Windows FW aktiv.
Bitte warten ..
Mitglied: aqui
26.10.2018 um 16:54 Uhr
FW auf FW geht
Aber auch die jeweiligen lokalen LAN Interfaces der Firewalls ??
Wenn das geht aber die Endgeräte dahinter nicht, dann hat das so gut wie immer 3 mögliche Ursachen:
  • Gateway oder Route vom Endgerät auf das Firewall Interface fehlt
  • Firewall Regeln am Tunnel Interface blocken den Traffic
  • Lokale Firewall an den Endgeräten blockt den Traffic
Keine Regeln hier für den Tunnel gesehen.
Will heissen...
  • Es gibt kein Tunnel Interface und damit auch keine Regeln
  • Es gibt ein Tunnel Interface aber die Regeln fehlen
Wenn es letzteres ist dann gilt immer Firewall üblich deny any any weisst du aber auch selber.
Was sagt den die Routing Tabelle der FW ?
Bitte warten ..
Mitglied: killtec
29.10.2018, aktualisiert 10.02.2020
Hi,

VPN Firewall ist aus
Outgoing FW ist aus

Hier mal aus dem Netz 10.0.0.0/16 zu 172.17.0.0/16
von der Firewall auf Client hinter der Firewall:
vom Client aus 10.0.0.0/16 geht der Traceroute in einen Timeout.

Config des VPN-Clients (egal ob NAT aktiv oder nicht, kommt immer das gleiche raus, Routen sind korrekt):

nat1 - Klicke auf das Bild, um es zu vergrößern
nat21 - Klicke auf das Bild, um es zu vergrößern


Datenweg von 172.17.0.0/16 zu 10.0.0.0/16
Cleint Tracert:
ICMP Firewall
Gruß
Bitte warten ..
Mitglied: aqui
30.10.2018 um 10:34 Uhr
Routing Tabelle ? netstat -r -n
Bitte warten ..
Mitglied: killtec
30.10.2018 um 14:57 Uhr
Hi Aqui,
habs gefunden. Es war ein Routing-Problem. Von zwei Cleints aus (von denen ich getestet hatte) ging das Routing auf default über einen bestimmten Uplink. Das hatte zur Folge, dass hier die Pakete nicht korrekt geroutet wurden.
Habe das eben mal aus gemacht und schon klappt es.

Danke.
Bitte warten ..
Mitglied: aqui
30.10.2018 um 20:21 Uhr
Klasse ! Wie immer: Kleine Ursache.... aber sieht man im ersten Moment nicht
Dann können wir ja entspannt in den Feiertag !
Bitte warten ..
Mitglied: killtec
01.11.2018 um 12:45 Uhr
Das stimmt.
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Cisco RIPv1 RIPv2
MrLabelFrageRouter & Routing26 Kommentare

Hallo Zusammen, ich muss nochmal auf eine schon behandelte Frage eingehen. Bitte jemand, der auch den Cisco Paket Tracer ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless17 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
gelöst CubeHDFrageWindows 1012 Kommentare

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Windows 10
Windows10 Hilfsprogramme endgültig löschen
istike2FrageWindows 1011 Kommentare

Hallo, wir sind gerade dabei mit Windows OOBE ein Image vorzubereiten. Wir würden gerne Xbox, HP Hilfsprogramme, Cortana usw. ...

LAN, WAN, Wireless
Suche Access Point Wandhalterung
gelöst EZimmerFrageLAN, WAN, Wireless11 Kommentare

Einen schöne guten Tag, wir haben uns bei einer Ausschreibung beteiligt und sind nun auch der Suche nach folgendem ...

Windows 10
Windows 10 NTP Zeitsynchronisation Windows Domäne (local cmos clock) Uhrzeit und Datum synchronisiert nicht
gelöst frunkyFrageWindows 1010 Kommentare

Hallo Zusammen, ich habe in meiner Domäne (Windows Server 2019) mit Windows 10 Pro als Clients Probleme mit der ...

Ähnliche Inhalte
Netzwerke
Open VPN Konfiguration
gelöst blubaaFrageNetzwerke14 Kommentare

Hallo zusammen, im Büro habe ich einen Server aufgesetzt mit Debian 9 und darauf OMV installiert um das ganze ...

Router & Routing
VPN Fritz!Box vs Open VPN
gelöst mausemuckelFrageRouter & Routing5 Kommentare

Guten Abend all. Eine Frage an die Netzwerkspezialisten sei gestattet. Kann mir bitte mal jemand erklären, warum funktioniert eine ...

Firewall
PFsens Open VPN Verbindung
OSelbeckFrageFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Router & Routing
Open VPN auf Split konfiguriren
131455FrageRouter & Routing9 Kommentare

Hallo, früher mit W7 ging Open VPN immer Tadellos. Nun mit Windows 10 schliesst das Open VPN immer unseren ...

Netzwerke
Open VPN auf pfSense Probleme
DerPhysikerFrageNetzwerke7 Kommentare

Hallo zusammen, ich bekomme den Zugriff via VPN in mein Heimnetz nicht hin. Auf der pfSense ist Open VPN ...

Windows 10
Open SSL VPN - Usability mit Win10
gelöst cuilsterFrageWindows 108 Kommentare

Hallo Forum, Ich möchte einen VPN-Tunnel möglichst Benutzerfreundlich etablieren. Ziel/Server ist eine Sophos UTM. Aktuell wird Open-SSL-VPN mittels Client-Software ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT