7
OpenVPN auf IpFire Problem
hi@all
Ich habe hier eine IpFire-FW im Einsatz, auf die der Zugriff von aussen ohne Probleme funktioniert. Ich bekomme auch eine IP aus dem OpenVPN-Subnetz (10.x.x.x).
Ins lokale Netz hinter dem IpFire komme ich allerdings nicht, ich bekomme auch keinen Standardgateway zugewiesen.
Muss zudem das Routing ins lokale Zielnetz selber übernehmen?
Home-Netz: 192.168.1.0
Virtuelles VPN-Netz: 10.196.x.x (zweites Interface hat natürlich eine 192.168.100.x-IP, welche auch Pingbar ist)
Lokales Netz hinter IPfire: 192.168.100.x
Ich habe hier eine IpFire-FW im Einsatz, auf die der Zugriff von aussen ohne Probleme funktioniert. Ich bekomme auch eine IP aus dem OpenVPN-Subnetz (10.x.x.x).
Ins lokale Netz hinter dem IpFire komme ich allerdings nicht, ich bekomme auch keinen Standardgateway zugewiesen.
Muss zudem das Routing ins lokale Zielnetz selber übernehmen?
Home-Netz: 192.168.1.0
Virtuelles VPN-Netz: 10.196.x.x (zweites Interface hat natürlich eine 192.168.100.x-IP, welche auch Pingbar ist)
Lokales Netz hinter IPfire: 192.168.100.x
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 186505
Url: https://administrator.de/contentid/186505
Ausgedruckt am: 05.11.2024 um 11:11 Uhr
7 Kommentare
Neuester Kommentar
Nein, das musst du natürlch nicht !
Wichtig ist hier die Server Konfig Datei und ob dort ein "push route..." Kommando eingetragen ist für das lokale Netz !
Weiterhin wichtig ist der Gateway Eintrag eines Clients im lokalen Netz, denn der sollte auch auf die Firewall zeigen. Tut er das nicht muss an dem Router auf die er dann zeigt eine statische Route eingetragen werden auf das OpenVPN Netz !
Ob das lokale Netz propagiert wird kannst du immer leicht mit dem Kommando route print auf einem Winblows Client sehen !
Wenn du diese beiden Punkte beachtest funktioniert das auf Anhieb !
Halte dich an dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das beschreibt genau dieses Szenario mit allen Schritten und hilft beim Troubleshooting.
Die installierte Plattform ist dabei völlig egal, denn das Setup von OpenVPN ist davon vollkommen unabhängig und immer gleich !!
Wichtig ist hier die Server Konfig Datei und ob dort ein "push route..." Kommando eingetragen ist für das lokale Netz !
Weiterhin wichtig ist der Gateway Eintrag eines Clients im lokalen Netz, denn der sollte auch auf die Firewall zeigen. Tut er das nicht muss an dem Router auf die er dann zeigt eine statische Route eingetragen werden auf das OpenVPN Netz !
Ob das lokale Netz propagiert wird kannst du immer leicht mit dem Kommando route print auf einem Winblows Client sehen !
Wenn du diese beiden Punkte beachtest funktioniert das auf Anhieb !
Halte dich an dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das beschreibt genau dieses Szenario mit allen Schritten und hilft beim Troubleshooting.
Die installierte Plattform ist dabei völlig egal, denn das Setup von OpenVPN ist davon vollkommen unabhängig und immer gleich !!
Perfekt! Die statische Route hat gefehlt im Zielnetzwerk. Danke vielmals.
Die ist eigentlich absolut unnötig !!
Du hast vermutlich nur vergessen mit push route.... in der OpenVPN Server konfig dein lokales Netzwerk an den Client zu senden.
Es ist natürlich völliger Blödsinn auf einem OpenVPN Client statisch eine Route in das VPN Netzwerk anzugeben...kein normaler netzwerker macht so einen Unsinn mal ganz abgesehen davon das das unzumutbar ist für den Client auch noch zusätzlich fummeln zu müssen....
Pass also deine server config Datei an und dann klappt das auch automatisch OHNE Frickelei !!
WIE es geht zeigt dir ja das o.a. Tutorial...Wie gesagt egal für welche Plattform...das gilt auch für deinen IPFire Gurke !
Du hast vermutlich nur vergessen mit push route.... in der OpenVPN Server konfig dein lokales Netzwerk an den Client zu senden.
Es ist natürlich völliger Blödsinn auf einem OpenVPN Client statisch eine Route in das VPN Netzwerk anzugeben...kein normaler netzwerker macht so einen Unsinn mal ganz abgesehen davon das das unzumutbar ist für den Client auch noch zusätzlich fummeln zu müssen....
Pass also deine server config Datei an und dann klappt das auch automatisch OHNE Frickelei !!
WIE es geht zeigt dir ja das o.a. Tutorial...Wie gesagt egal für welche Plattform...das gilt auch für deinen IPFire Gurke !
Hö? Was jetzt? Du wiedersprichst dir ja selber....Niemand redet vom Client...hallo?
OK, wenns der Server ist, dann fehlt bei dir das Push Route Kommando für den Client.
Das "push route" Kommando sorgt dafür das der Client immer dynamisch einen Route auf das VPN Zielnetz beim Dialin eingepflanzt bekommt. Betrifft also wenn du so willst Client UND Server.
Vermutlich fehlt das bei dir aber solange du das hier nicht mal auszugsweise postest raten wir fröhlich und ziellos weiter...
Der OVPN Server selber hat ja via LAN ein default Gateway auf den zentralen Router.
Wenn das alles sauber eingestellt ist funktioniert das vollkommen fehlerfrei.
Traceroute und Pathping sind immer deine Freunde bei der Routenverfolgung !!
Das "push route" Kommando sorgt dafür das der Client immer dynamisch einen Route auf das VPN Zielnetz beim Dialin eingepflanzt bekommt. Betrifft also wenn du so willst Client UND Server.
Vermutlich fehlt das bei dir aber solange du das hier nicht mal auszugsweise postest raten wir fröhlich und ziellos weiter...
Der OVPN Server selber hat ja via LAN ein default Gateway auf den zentralen Router.
Wenn das alles sauber eingestellt ist funktioniert das vollkommen fehlerfrei.
Traceroute und Pathping sind immer deine Freunde bei der Routenverfolgung !!
Nee, pushroute fehlt nicht. Eigentlich ist alles korrekt, verstehe nicht warum du da noch rummeckerst. Der Standardgateway im entfernten Netz zeigt nun nicht auf meine "Gurke", demnach ist eine statische Route unabdingbar. Wie gesagt, läuft alles perfekt.
Mal eine andere Frage, die bisher weder Netz noch Forum lösen konnte:
XP Clients greifen ohne Probleme auf einen Win2003 RRAS-Server per VPN zu. Windows 7 Clients können zwar eine Verbindung aufbauen, bekommen aber keine IP (169.usw. anstelle 192.168.x.y). Es wurde mit versch. Win 7 Clients getestet, von verschiedenen Standorten. Die Firewall, die dazwischenhängt, dürfte ja kein Problem sein, da XP Clients gehen. Lokale Firewalls sind testhalber deaktiviert, lokale Router-FW ebenfalls. Vergabe von statischer IP auf dem CLient bringt nichts. Wenn du dich so gut auskennst, darfst du dir gerne die Zähne daran ausbeissen...
Mal eine andere Frage, die bisher weder Netz noch Forum lösen konnte:
XP Clients greifen ohne Probleme auf einen Win2003 RRAS-Server per VPN zu. Windows 7 Clients können zwar eine Verbindung aufbauen, bekommen aber keine IP (169.usw. anstelle 192.168.x.y). Es wurde mit versch. Win 7 Clients getestet, von verschiedenen Standorten. Die Firewall, die dazwischenhängt, dürfte ja kein Problem sein, da XP Clients gehen. Lokale Firewalls sind testhalber deaktiviert, lokale Router-FW ebenfalls. Vergabe von statischer IP auf dem CLient bringt nichts. Wenn du dich so gut auskennst, darfst du dir gerne die Zähne daran ausbeissen...
Nein, das ist Unsinn, eine statische Route ist wenn es richtig konfiguriert ist niemals erforderlich. Wäre ja auch kontraproduktiv, denn man will ja genau das es dynamisch geht und das der Client nicht noch fummeln oder frickeln muss und Routen verbiegen...aber egal !
Das Win 7 Problem ist ein immerwährender Klassiker. Das liegt am Firewall Profil des dynamischen VPN Interfaces bei Win 7.
Dort ist default ein externes Profil das alles blockt aktiv. Deshalb kommen auch keine PPP oder DHCP Requests durch und das Interface verharrt mit einer APIPA Adresse 169.254.x.y Abschalten kannst du das so nicht sondern musst da Profil customizen.
Tips zur Lösung findest du in den OpenVPN Foren zuhauf.
Das Win 7 Problem ist ein immerwährender Klassiker. Das liegt am Firewall Profil des dynamischen VPN Interfaces bei Win 7.
Dort ist default ein externes Profil das alles blockt aktiv. Deshalb kommen auch keine PPP oder DHCP Requests durch und das Interface verharrt mit einer APIPA Adresse 169.254.x.y Abschalten kannst du das so nicht sondern musst da Profil customizen.
Tips zur Lösung findest du in den OpenVPN Foren zuhauf.
