bowor1
Goto Top

OpenVPN - Fritz Box 7590 - Routing Probleme

Hallo miteinander,

ich habe ein Problem, ein Routing vom openVPN Subnet in mein Fritzbox Subnet hin zu bekommen.
Der VPN Tunnel funktioniert. Ich kann auch alles im 10.19.15.0 Subnet anpingen, aber leider keinen Ping ins 192.168.2.0 Subnet.
Mein Fritzbox Subnet ist 192.168.2.0
Die IP Adresse der Fritzbox ist 192.168.2.1
Die IP Adresse des openVPN Server im Fritzbox Subnet ist 192.168.2.5

Mein openVPN Subnet ist 10.19.15.0
Die IP Adresse vom openVPN Server ist 10.19.15.1 DHCP 10.19.15.5

Auf der Fritzbox 7590 habe ich eine statische route 10.0.0.0 Subnetmask 255.255.255.0 Gateway 192.168.2.5 eingerichtet.
Von einem Client im 192.168.2.0 Subnet ist ein ping ins 10.19.15.0 Subnet ebenfalls nicht möglich. Die route ist aber in der Fritzbox gesetzt?!

Die IP Adresse des openVPN Clients ist 10.19.15.6

Habe ich irgendeinen Denkfehler in der config eventuell?

Auf dem client habe ich folgende routing tabelle:
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
       10.19.15.0    255.255.255.0       10.19.15.5       10.19.15.6     30
       10.19.15.4  255.255.255.252   Auf Verbindung        10.19.15.6    286
       10.19.15.6  255.255.255.255   Auf Verbindung        10.19.15.6    286
       10.19.15.7  255.255.255.255   Auf Verbindung        10.19.15.6    286
      192.168.2.0    255.255.255.0       10.19.15.5       10.19.15.6     30

Auf dem openVPN Server habe ich folgende routing tabelle:
192.168.2.0    255.255.255.0   Auf Verbindung       192.168.2.6    261
192.168.2.0    255.255.255.0   Auf Verbindung       192.168.2.5    266
192.168.2.0    255.255.255.0   Auf Verbindung        10.19.15.1     21


Meine openVPN Server config ist wie folgt:
local 192.168.2.5
port 1194
proto udp
dev tun

# ----------------------------------------------
# Zertifikate
# ----------------------------------------------

dh "C:\\Program Files\\OpenVPN\\server-keys\\dh2048.pem"  
ca "C:\\Program Files\\OpenVPN\\server-keys\\ca.crt"  
cert "C:\\Program Files\\OpenVPN\\server-keys\\Server01.crt"  
key "C:\\Program Files\\OpenVPN\\server-keys\\Server01.key"  

# ----------------------------------------------
# Server-Setup
# ----------------------------------------------

server 10.19.15.0 255.255.255.0
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\ipp.txt"  
client-to-client
route "192.168.2.0 255.255.255.0"  

# ----------------------------------------------
# Client-Settings (inkl Special Dir)Files
# ----------------------------------------------

client-config-dir "C:\\Program Files\\OpenVPN\\ccd"  
push "route 192.168.2.0 255.255.255.0"  
push "dhcp-option DNS 192.168.2.11"  

# ----------------------------------------------
# Defaults
# ----------------------------------------------

keepalive 10 120
comp-lzo
persist-key
persist-tun

# ----------------------------------------------
# Logging
# ----------------------------------------------

status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"  
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"  
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"  
verb 3

Meine openVPN Client config ist wie folgt:
client
dev tun

proto udp
remote server_address 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth-nocache

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"  
cert "C:\\Program Files\\OpenVPN\\config\\cert.crt"  
key "C:\\Program Files\\OpenVPN\\config\\key.key"  

comp-lzo
verb 1


Vielen Dank für eure Hilfe

Content-ID: 554090

Url: https://administrator.de/forum/openvpn-fritz-box-7590-routing-probleme-554090.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

NordicMike
NordicMike 04.03.2020 um 10:10:05 Uhr
Goto Top
habe ich eine statische route 10.0.0.0 Subnetmask 255.255.255.0 Gateway 192.168.2.5 eingerichtet

Hi,
hier musst Du schon mal die Maske verkleinern, auf 255.0.0.0 oder die IP Nummer genauer definieren, also statt 10.0.0.0 die 10.19.15.0
bOwOr1
bOwOr1 04.03.2020 aktualisiert um 11:15:23 Uhr
Goto Top
Hallo NordicMike,

sorry mein Fehler. ich hatte natürlich 10.19.15.0 mit der MASK 255.255.255.0 und Gateway 192.168.2.5
Ein Ping von den anderen Clients im Fritzbox Subnet 192.168.2.0 in das openVPN Subnet 10.19.15.0 ist nicht möglich. Nicht zum openvpn server 10.19.15.1 / 10.19.15.5 und nicht zum openVPN client 10.19.15.6
Ist die setting client-config-dir "C:\\Program Files\\OpenVPN\\ccd" notwenig?
Ich habe diese setting mal aus kommentiert.

Dass er mit auf dem Client die routing setzt als gateway 10.19.15.5 ist richtig oder? Dies ist ja der "dhcp server" vom openvpn.


Viele Grüße
orcape
orcape 04.03.2020 um 11:40:56 Uhr
Goto Top
Hi bOwOr1,
ich gehe mal davon aus, das Du Deinen OpenVPN-Server auf einem Windows-Client laufen hast.
- Die Windows-Firewall hast Du natürlich entsprechend angepasst.
- Die Fritzbox hat eine Portfreischaltung für 1194.
Ein Ping von den anderen Clients im Fritzbox Subnet 192.168.2.0 in das openVPN Subnet 10.19.15.0 ist nicht möglich.
Dann sollte Dein Windows-Client als Router fungieren müssen und dazu möchtest Du das Routing aktivieren.
Der Routing-Tabelle des Clients entnehme ich, das es ein Multiclienttunnel ist und kein Point-to-Point, so das hier wohl keine CCD notwendig ist, da Du ja in kein remotes Netz musst.
Gruß orcape
bOwOr1
bOwOr1 04.03.2020 um 12:22:22 Uhr
Goto Top
Hi orcape,

der openVPN Server 192.168.2.5 läuft auf einem Windows Server 2012 R2.
Firewall vom Windows Server 2012 R2 ist eine eingehende Regel für Port UDP 1194 eingerichtet.
Die Fritzbox hat eine Portweiterleitung UDP 1194 auf 192.168.2.5
Der Aufbau des VPN Tunnel funktioniert ja auch.
Bezüglich "Routing aktivieren", dazu muss ich den Routing und RAS service starten, richtig? Muss hierbei noch etwas gemacht werden?
Ist der Routing und RAS service obligatorisch um das routing von 10.19.15.0 in das 192.168.2.0 zu haben?

Viele Grüße
aqui
aqui 04.03.2020 aktualisiert um 12:53:58 Uhr
Goto Top
Auf der Fritzbox 7590 habe ich eine statische route 10.0.0.0 Subnetmask 255.255.255.0 Gateway 192.168.2.5 eingerichtet.
Das ist natürlich Routing technisch komplett FALSCH !!
Erkennt man auch sofort selber denn das routet ja das IP Netz 10.0.0.0 an deinen OVPN Server was es dort ja gar nicht gibt ! Logisch also das das ins Nirwana geht.
Richtig wäre wie oben ja auch schon mehrfach gesagt wurde:
10.19.15.0 Subnetmask 255.255.255.0 Gateway 192.168.2.5

Wie immer scheiterst du bei Winblows als OVPN Server vermutlich daran das entweder die Windows Firewall für das virtuelle OVPN Tunnel Interface nicht richtig konfiguriert ist (muss auf Private Profil stehen !) oder das das IPv4 Forwarding (Routing) nicht aktiviert wurde. Worst Case ist das du beides falsch gemacht hast. Die Tücken von Winblows eben...
Mit einem Raspberry Pi oder OVPN_Router von der Stange als OVPN Server wär das nicht passiert.. face-wink

Du solltest diese Tutorials lesen und verstehen. Die beschreiben dein Problem und die einfache Lösung ganz genau:
OpenVPN - Erreiche Netzwerk hinter Client nicht
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Clientverbindung OpenVPN Mikrotik
OpenVPN - Einrichtungsprobleme
bOwOr1
bOwOr1 04.03.2020 aktualisiert um 13:45:55 Uhr
Goto Top
Hallo aqui,

das Routing auf der fritzbox war richtig, ich hatte es nur falsch geschrieben.
Es ist aktuell 10.19.15.0 255.255.255.0 192.168.2.5
Es lag tatsächlich nur am fehlenden laufenden Dienst "Routing und RAS" auf dem Windows Server 2012 R2 auf dem der openVPN Server läuft.
Jetzt geht das Routing in das Fritzbox Subnet 192.168.2.0

Danke orcape nochmals für den Tipp. face-smile

Viele Grüße
aqui
aqui 04.03.2020 aktualisiert um 14:15:31 Uhr
Goto Top
Es lag tatsächlich nur am fehlenden laufenden Dienst "Routing und RAS" auf dem Windows Server 2012 R2
Wie vermutet und wie immer der klassische Anfänger Fehler ! face-wink
Gut wenns nun rennt wie es soll !

Vielleicht noch ein wichtiger Hinweis zum Schluß !
Das Kommando route "192.168.2.0 255.255.255.0" in der Server Konfig ist bei einer Client Konfig unsinnig und auch überflüssig und zudem ist es auch noch völlig falsch, denn das ist ja dein lokales Server LAN. Das hat in einem Kernel Route Kommando nichts zu suchen.
Das solltest du also besser entfernen aus der Server Konfig !

Generell fragt man sich noch warum du mit einer FritzBox die ja selber VPN Server ist dann noch überflüssigerweise ein internes VPN zusätzlich machst obwohl man es hätte mit der FritzBox besser und vor allem erheblich sicherer machen können !
VPN Lösungen mit einem internen VPN Server sind generell nie gut und in der Regel deshalb für verantwortungsvolle Netzwerker immer ein NoGo. Klar, denn man muss, wie bei dir, mit dem Port Forwarding immer völlig ungeschützten Internet Traffic in sein an sonsten sicher abgeschottetes lokales Netzwerk leiten. Bei dir auch noch auf ein so zentrales und gesichertes Gerät wie einen Windows Server der besonders anfällig ist !
Kein gutes Design also und auch der Grund warum VPN Server immer besser in die Peripherie gehören auf Router (wie z.B. deiner FritzBox) oder einer Firewall !
Wer aber mit dem Sicherheitsrisiko leben kann kann es natürlich so umsetzen. Gefährlich und ein Risiko bleibt es dennoch immer ! In manchen Firmen mit entsprechenden Datenschutz Anforderungen wären solche Gruseldesigns ein Abmahngrund ! Solltest du auch mal drüber nachdenken....?!

Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
bOwOr1
bOwOr1 04.03.2020 um 14:49:14 Uhr
Goto Top
Hi aqui,

den openVPN server hatten wir zu Anfang, als der vorige Router noch keine eigene VPN Implementation hatte.
Wir werden wahrscheinlich auch diesen nun nutzen und den openVPN abschalten.
Danke für den Tipp

Viele Grüße
aqui
aqui 04.03.2020 aktualisiert um 15:12:57 Uhr
Goto Top
Der große Nachteil der FritzBox VPN Lösung ist aber die sehr miese Performance des VPNs. Da bekommst du nur max. 2-3 Mbit Durchsatz raus. Gut, man muss aber auch fairerweise sagen das das ein billiger Consumer Router ist dessen primäre Aufgabe natürlich keine VPN Performance ist sondern nur die das Oma Grete mal per VPN auf die Bilder der Enkel sehen kann. In einem Firmennetzwerk haben solche Router deshalb normal auch nichts zu suchen.
Mit gelegentlichen VPN Client Zugriffen kann man aber vermutlich mit der mickrigen Performance leben.
Wenn nicht, brauchst du andere Hardware oder solltest den guten alten OVPN Server belassen wo er ist. face-wink