5
OpenVPN auf Linux-Server - Routing-Problem
Es soll ein Subnetz hinter einem OpenVPN-Server von einem XP-Client erreicht werden. Welche Einstellugen muß man geau vornehmen?
Folgende Konstellation:
Suse 11.0 Server
Internes Netz 192.168.9.0
Externes Device 192.168.10.119
OpenVPN Device tun mit Adresse 192.168.20.1
Client:
Windows XP
Internes Netz 192.168.10.0
OpenVPN Device tun mit Adresse 192.168.20.4
Der VPN-Tunnel steht. Ping von XP zu VPN-Server (20.1) geht.
Was fehlt mir noch, um eine PC hinterm Server im 192.168.9.er Netz zu erreichen. Die Adresse 192.168.9.119 kann ich merkwürdiger Weise anpingen. Einen PC mit 192.168.9.21 komischerweise nicht. Hab schon alles mögliche durchprobiert, leider ohne den gewünschten Erfolg.
XP 192.168.10.125>---(Netzwerk)---<192.168.10.119 Linux 192.168.9.119>---Netzwerk--<192.168.9.21 XP>
Offensichtlich liegt es irgendwie am Routing auf der Linux-Maschine. Leider fehlen mir da die genauen Kenntnisse (mit welchem Befehl von wo nach wo routen)
Das ganze ist momentan nur der Versuchsaufbau, später hängt dann am externen Device des Linux-Servers nur der DSL-Router.
Die Client.conf:
client
dev tun
proto udp
remote 192.168.10.119 58536
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert notebook.crt
key notebook.key
ns-cert-type server
comp-lzo
verb 3
;mute 20
Die Server.conf:
port 58536
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 192.168.20.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.9.0 255.255.255.0"
keepalive 10 120
comp-lzo
max-clients 2
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 9
Wäre toll ein paar hilfreiche Tipps zu bekommen.
Folgende Konstellation:
Suse 11.0 Server
Internes Netz 192.168.9.0
Externes Device 192.168.10.119
OpenVPN Device tun mit Adresse 192.168.20.1
Client:
Windows XP
Internes Netz 192.168.10.0
OpenVPN Device tun mit Adresse 192.168.20.4
Der VPN-Tunnel steht. Ping von XP zu VPN-Server (20.1) geht.
Was fehlt mir noch, um eine PC hinterm Server im 192.168.9.er Netz zu erreichen. Die Adresse 192.168.9.119 kann ich merkwürdiger Weise anpingen. Einen PC mit 192.168.9.21 komischerweise nicht. Hab schon alles mögliche durchprobiert, leider ohne den gewünschten Erfolg.
XP 192.168.10.125>---(Netzwerk)---<192.168.10.119 Linux 192.168.9.119>---Netzwerk--<192.168.9.21 XP>
Offensichtlich liegt es irgendwie am Routing auf der Linux-Maschine. Leider fehlen mir da die genauen Kenntnisse (mit welchem Befehl von wo nach wo routen)
Das ganze ist momentan nur der Versuchsaufbau, später hängt dann am externen Device des Linux-Servers nur der DSL-Router.
Die Client.conf:
client
dev tun
proto udp
remote 192.168.10.119 58536
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert notebook.crt
key notebook.key
ns-cert-type server
comp-lzo
verb 3
;mute 20
Die Server.conf:
port 58536
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 192.168.20.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.9.0 255.255.255.0"
keepalive 10 120
comp-lzo
max-clients 2
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 9
Wäre toll ein paar hilfreiche Tipps zu bekommen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 149743
Url: https://administrator.de/contentid/149743
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
5 Kommentare
Neuester Kommentar
Hi,
Routing ist schon eine gute Idee - ich denke aber, dass das Netzwerk 192.168.20.x einigen Clients im Netzwerk 192.168.9.x nicht bekannt ist. Einer kanns - die 192.168.9.119, der Rest weiss nicht, auf welchem Weg das Netz 192.168.20.x zu erreichen ist.
Schau mal auf einem anderen Client (192.168.9.x) nach, ob der die 192.168.20.1 anpingen kann ...
CU
Routing ist schon eine gute Idee - ich denke aber, dass das Netzwerk 192.168.20.x einigen Clients im Netzwerk 192.168.9.x nicht bekannt ist. Einer kanns - die 192.168.9.119, der Rest weiss nicht, auf welchem Weg das Netz 192.168.20.x zu erreichen ist.
Schau mal auf einem anderen Client (192.168.9.x) nach, ob der die 192.168.20.1 anpingen kann ...
CU
Hi Nailara,
danke für den Tip. Habs überprüft, aber der Client 192.168.9.21 z.B. erreicht dei 192.168.20.1 mit dem Ping.
Aber müsste nicht auch die Linuxmaschine den OpnVPNClient bei aktiver Verbindung anpingen können. Das geht momentan nämlich nicht.
Bin da ein wenig verwirrt.
Gruß
danke für den Tip. Habs überprüft, aber der Client 192.168.9.21 z.B. erreicht dei 192.168.20.1 mit dem Ping.
Aber müsste nicht auch die Linuxmaschine den OpnVPNClient bei aktiver Verbindung anpingen können. Das geht momentan nämlich nicht.
Bin da ein wenig verwirrt.
Gruß
Das Tutorial sollte alle deine Fragen beantworten:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das "Zauberwort" ist push "route 192.168.9.0 255.255.255.0" was du ja auch richtig gemacht hast. Checken kannst du das am Client immer mit route print !
Das du den 192.168.9.21er PC nicht pingen kannst hat wie immer einen der 3 Gründe:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das "Zauberwort" ist push "route 192.168.9.0 255.255.255.0" was du ja auch richtig gemacht hast. Checken kannst du das am Client immer mit route print !
Das du den 192.168.9.21er PC nicht pingen kannst hat wie immer einen der 3 Gründe:
- Der Rechner hat ein anderes Default gateway als den OpenVPN Server eingetragen.
- Die Firewall des rechner ist nicht angepasst Pakete aus dem 192.168.20er Netz zuzulassen. Normal dürfen nur Pakete aus dem lokalen Netz passieren !!
- ICMP (Ping) ist abgeschaltet. In der Win FW unter "ICMP" den Haken setzen bei "Auf echo Pakete antworten" !!
Hi aqui,
danke erst mal für den Hinweis.
1. Firewall - Der PC mit der .9.21 ist ne Win2k - Maschine. Da gibt es standardmäßig keine Firewall.
2. ICMP - vom Linuxserver aus lässt er sich ja anpingen.
3. Default Gateway - da fehlt mir ein bischen der Plan. Auf dem PC mit der .9.21 ist als Standard Gateway die Server-Adresse eingetragen, also die .9.119. Richtig ist, dass auf dem Server als Standardgateway der externe Router eingetragen ist (hier .10.199), weil das ist ja dort der reguläre Weg nach draussen ist. Heißt das nicht, dass alle Pakete die vom Server zum .9 er Netz gehen gar nichts mehr vom 20 er Netz des VPNs wissen, sondern automatisch vom Server maskiert werden (IP Forward)? Vielleicht verwechsle ich hier ja auch was. Den Standard Gateway vom 9 er PC brauch ich doch auch, wenn ich mit diesem ins Internet will (der gateway ist ja auf der anderen seite des Servers und diese kennt ja der das 9 er Netz nicht.
danke erst mal für den Hinweis.
1. Firewall - Der PC mit der .9.21 ist ne Win2k - Maschine. Da gibt es standardmäßig keine Firewall.
2. ICMP - vom Linuxserver aus lässt er sich ja anpingen.
3. Default Gateway - da fehlt mir ein bischen der Plan. Auf dem PC mit der .9.21 ist als Standard Gateway die Server-Adresse eingetragen, also die .9.119. Richtig ist, dass auf dem Server als Standardgateway der externe Router eingetragen ist (hier .10.199), weil das ist ja dort der reguläre Weg nach draussen ist. Heißt das nicht, dass alle Pakete die vom Server zum .9 er Netz gehen gar nichts mehr vom 20 er Netz des VPNs wissen, sondern automatisch vom Server maskiert werden (IP Forward)? Vielleicht verwechsle ich hier ja auch was. Den Standard Gateway vom 9 er PC brauch ich doch auch, wenn ich mit diesem ins Internet will (der gateway ist ja auf der anderen seite des Servers und diese kennt ja der das 9 er Netz nicht.
Hallo nochmal,
das Problem ist gelöst. Es klemmte offensichtlich an der SuseFirewall. Die hat alle Pakete von 192.168.20.0 verworfen, weil ja der OpenVPN auf dem externen Device horcht. Den OpenVPN-Port hab ich ja aufgemacht (sonst würde er ja gar nicht erst verbinden).
Es musste nur noch im FirewallScript (über Yast gibt es den Eintrag nicht) ein Forwarding definiert werden.
Also /etc/sysconfig/SuSEfirewall2 editieren und Punkt 5.) FW_Route="YES" setzen und Punkt 13.) FW_Forward="192.168.20.0/24,192.168.9.0/24".
Will heißen, nimm alle Pakete die von der 20.0 kommen und schicksie so wie sie sind weiter ins .9er Netz.
Trotzdem vielen Dank für die Anregungen und Hinweise.
Gruß MrUnce
das Problem ist gelöst. Es klemmte offensichtlich an der SuseFirewall. Die hat alle Pakete von 192.168.20.0 verworfen, weil ja der OpenVPN auf dem externen Device horcht. Den OpenVPN-Port hab ich ja aufgemacht (sonst würde er ja gar nicht erst verbinden).
Es musste nur noch im FirewallScript (über Yast gibt es den Eintrag nicht) ein Forwarding definiert werden.
Also /etc/sysconfig/SuSEfirewall2 editieren und Punkt 5.) FW_Route="YES" setzen und Punkt 13.) FW_Forward="192.168.20.0/24,192.168.9.0/24".
Will heißen, nimm alle Pakete die von der 20.0 kommen und schicksie so wie sie sind weiter ins .9er Netz.
Trotzdem vielen Dank für die Anregungen und Hinweise.
Gruß MrUnce
