gijoe
Goto Top

OpenVPN auf IpFire Problem

hi@all

Ich habe hier eine IpFire-FW im Einsatz, auf die der Zugriff von aussen ohne Probleme funktioniert. Ich bekomme auch eine IP aus dem OpenVPN-Subnetz (10.x.x.x).

Ins lokale Netz hinter dem IpFire komme ich allerdings nicht, ich bekomme auch keinen Standardgateway zugewiesen.
Muss zudem das Routing ins lokale Zielnetz selber übernehmen?

Home-Netz: 192.168.1.0
Virtuelles VPN-Netz: 10.196.x.x (zweites Interface hat natürlich eine 192.168.100.x-IP, welche auch Pingbar ist)
Lokales Netz hinter IPfire: 192.168.100.x

Content-ID: 186505

Url: https://administrator.de/contentid/186505

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

aqui
aqui 15.06.2012 aktualisiert um 10:34:08 Uhr
Goto Top
Nein, das musst du natürlch nicht !
Wichtig ist hier die Server Konfig Datei und ob dort ein "push route..." Kommando eingetragen ist für das lokale Netz !
Weiterhin wichtig ist der Gateway Eintrag eines Clients im lokalen Netz, denn der sollte auch auf die Firewall zeigen. Tut er das nicht muss an dem Router auf die er dann zeigt eine statische Route eingetragen werden auf das OpenVPN Netz !
Ob das lokale Netz propagiert wird kannst du immer leicht mit dem Kommando route print auf einem Winblows Client sehen !
Wenn du diese beiden Punkte beachtest funktioniert das auf Anhieb !
Halte dich an dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das beschreibt genau dieses Szenario mit allen Schritten und hilft beim Troubleshooting.
Die installierte Plattform ist dabei völlig egal, denn das Setup von OpenVPN ist davon vollkommen unabhängig und immer gleich !!
gijoe
gijoe 19.06.2012 um 10:31:35 Uhr
Goto Top
Perfekt! Die statische Route hat gefehlt im Zielnetzwerk. Danke vielmals.
aqui
aqui 21.06.2012 um 13:35:33 Uhr
Goto Top
Die ist eigentlich absolut unnötig !!
Du hast vermutlich nur vergessen mit push route.... in der OpenVPN Server konfig dein lokales Netzwerk an den Client zu senden.
Es ist natürlich völliger Blödsinn auf einem OpenVPN Client statisch eine Route in das VPN Netzwerk anzugeben...kein normaler netzwerker macht so einen Unsinn mal ganz abgesehen davon das das unzumutbar ist für den Client auch noch zusätzlich fummeln zu müssen....
Pass also deine server config Datei an und dann klappt das auch automatisch OHNE Frickelei !!
WIE es geht zeigt dir ja das o.a. Tutorial...Wie gesagt egal für welche Plattform...das gilt auch für deinen IPFire Gurke !
gijoe
gijoe 09.07.2012 um 13:39:11 Uhr
Goto Top
Hö? Was jetzt? Du wiedersprichst dir ja selber....Niemand redet vom Client...hallo?
aqui
aqui 09.07.2012 um 17:13:26 Uhr
Goto Top
OK, wenns der Server ist, dann fehlt bei dir das Push Route Kommando für den Client.
Das "push route" Kommando sorgt dafür das der Client immer dynamisch einen Route auf das VPN Zielnetz beim Dialin eingepflanzt bekommt. Betrifft also wenn du so willst Client UND Server.
Vermutlich fehlt das bei dir aber solange du das hier nicht mal auszugsweise postest raten wir fröhlich und ziellos weiter... face-sad
Der OVPN Server selber hat ja via LAN ein default Gateway auf den zentralen Router.
Wenn das alles sauber eingestellt ist funktioniert das vollkommen fehlerfrei.
Traceroute und Pathping sind immer deine Freunde bei der Routenverfolgung !!
gijoe
gijoe 10.07.2012 um 12:36:41 Uhr
Goto Top
Nee, pushroute fehlt nicht. Eigentlich ist alles korrekt, verstehe nicht warum du da noch rummeckerst. Der Standardgateway im entfernten Netz zeigt nun nicht auf meine "Gurke", demnach ist eine statische Route unabdingbar. Wie gesagt, läuft alles perfekt.

Mal eine andere Frage, die bisher weder Netz noch Forum lösen konnte:

XP Clients greifen ohne Probleme auf einen Win2003 RRAS-Server per VPN zu. Windows 7 Clients können zwar eine Verbindung aufbauen, bekommen aber keine IP (169.usw. anstelle 192.168.x.y). Es wurde mit versch. Win 7 Clients getestet, von verschiedenen Standorten. Die Firewall, die dazwischenhängt, dürfte ja kein Problem sein, da XP Clients gehen. Lokale Firewalls sind testhalber deaktiviert, lokale Router-FW ebenfalls. Vergabe von statischer IP auf dem CLient bringt nichts. Wenn du dich so gut auskennst, darfst du dir gerne die Zähne daran ausbeissen...
aqui
aqui 10.07.2012 um 22:52:38 Uhr
Goto Top
Nein, das ist Unsinn, eine statische Route ist wenn es richtig konfiguriert ist niemals erforderlich. Wäre ja auch kontraproduktiv, denn man will ja genau das es dynamisch geht und das der Client nicht noch fummeln oder frickeln muss und Routen verbiegen...aber egal !
Das Win 7 Problem ist ein immerwährender Klassiker. Das liegt am Firewall Profil des dynamischen VPN Interfaces bei Win 7.
Dort ist default ein externes Profil das alles blockt aktiv. Deshalb kommen auch keine PPP oder DHCP Requests durch und das Interface verharrt mit einer APIPA Adresse 169.254.x.y Abschalten kannst du das so nicht sondern musst da Profil customizen.
Tips zur Lösung findest du in den OpenVPN Foren zuhauf.