OpenVPN - Fritz Box 7590 - Routing Probleme
Hallo miteinander,
ich habe ein Problem, ein Routing vom openVPN Subnet in mein Fritzbox Subnet hin zu bekommen.
Der VPN Tunnel funktioniert. Ich kann auch alles im 10.19.15.0 Subnet anpingen, aber leider keinen Ping ins 192.168.2.0 Subnet.
Mein Fritzbox Subnet ist 192.168.2.0
Die IP Adresse der Fritzbox ist 192.168.2.1
Die IP Adresse des openVPN Server im Fritzbox Subnet ist 192.168.2.5
Mein openVPN Subnet ist 10.19.15.0
Die IP Adresse vom openVPN Server ist 10.19.15.1 DHCP 10.19.15.5
Auf der Fritzbox 7590 habe ich eine statische route 10.0.0.0 Subnetmask 255.255.255.0 Gateway 192.168.2.5 eingerichtet.
Von einem Client im 192.168.2.0 Subnet ist ein ping ins 10.19.15.0 Subnet ebenfalls nicht möglich. Die route ist aber in der Fritzbox gesetzt?!
Die IP Adresse des openVPN Clients ist 10.19.15.6
Habe ich irgendeinen Denkfehler in der config eventuell?
Auf dem client habe ich folgende routing tabelle:
Auf dem openVPN Server habe ich folgende routing tabelle:
Meine openVPN Server config ist wie folgt:
Meine openVPN Client config ist wie folgt:
Vielen Dank für eure Hilfe
ich habe ein Problem, ein Routing vom openVPN Subnet in mein Fritzbox Subnet hin zu bekommen.
Der VPN Tunnel funktioniert. Ich kann auch alles im 10.19.15.0 Subnet anpingen, aber leider keinen Ping ins 192.168.2.0 Subnet.
Mein Fritzbox Subnet ist 192.168.2.0
Die IP Adresse der Fritzbox ist 192.168.2.1
Die IP Adresse des openVPN Server im Fritzbox Subnet ist 192.168.2.5
Mein openVPN Subnet ist 10.19.15.0
Die IP Adresse vom openVPN Server ist 10.19.15.1 DHCP 10.19.15.5
Auf der Fritzbox 7590 habe ich eine statische route 10.0.0.0 Subnetmask 255.255.255.0 Gateway 192.168.2.5 eingerichtet.
Von einem Client im 192.168.2.0 Subnet ist ein ping ins 10.19.15.0 Subnet ebenfalls nicht möglich. Die route ist aber in der Fritzbox gesetzt?!
Die IP Adresse des openVPN Clients ist 10.19.15.6
Habe ich irgendeinen Denkfehler in der config eventuell?
Auf dem client habe ich folgende routing tabelle:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
10.19.15.0 255.255.255.0 10.19.15.5 10.19.15.6 30
10.19.15.4 255.255.255.252 Auf Verbindung 10.19.15.6 286
10.19.15.6 255.255.255.255 Auf Verbindung 10.19.15.6 286
10.19.15.7 255.255.255.255 Auf Verbindung 10.19.15.6 286
192.168.2.0 255.255.255.0 10.19.15.5 10.19.15.6 30
Auf dem openVPN Server habe ich folgende routing tabelle:
192.168.2.0 255.255.255.0 Auf Verbindung 192.168.2.6 261
192.168.2.0 255.255.255.0 Auf Verbindung 192.168.2.5 266
192.168.2.0 255.255.255.0 Auf Verbindung 10.19.15.1 21
Meine openVPN Server config ist wie folgt:
local 192.168.2.5
port 1194
proto udp
dev tun
# ----------------------------------------------
# Zertifikate
# ----------------------------------------------
dh "C:\\Program Files\\OpenVPN\\server-keys\\dh2048.pem"
ca "C:\\Program Files\\OpenVPN\\server-keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\server-keys\\Server01.crt"
key "C:\\Program Files\\OpenVPN\\server-keys\\Server01.key"
# ----------------------------------------------
# Server-Setup
# ----------------------------------------------
server 10.19.15.0 255.255.255.0
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\ipp.txt"
client-to-client
route "192.168.2.0 255.255.255.0"
# ----------------------------------------------
# Client-Settings (inkl Special Dir)Files
# ----------------------------------------------
client-config-dir "C:\\Program Files\\OpenVPN\\ccd"
push "route 192.168.2.0 255.255.255.0"
push "dhcp-option DNS 192.168.2.11"
# ----------------------------------------------
# Defaults
# ----------------------------------------------
keepalive 10 120
comp-lzo
persist-key
persist-tun
# ----------------------------------------------
# Logging
# ----------------------------------------------
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
Meine openVPN Client config ist wie folgt:
client
dev tun
proto udp
remote server_address 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth-nocache
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\cert.crt"
key "C:\\Program Files\\OpenVPN\\config\\key.key"
comp-lzo
verb 1
Vielen Dank für eure Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 554090
Url: https://administrator.de/forum/openvpn-fritz-box-7590-routing-probleme-554090.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
9 Kommentare
Neuester Kommentar
Hi bOwOr1,
ich gehe mal davon aus, das Du Deinen OpenVPN-Server auf einem Windows-Client laufen hast.
- Die Windows-Firewall hast Du natürlich entsprechend angepasst.
- Die Fritzbox hat eine Portfreischaltung für 1194.
Der Routing-Tabelle des Clients entnehme ich, das es ein Multiclienttunnel ist und kein Point-to-Point, so das hier wohl keine CCD notwendig ist, da Du ja in kein remotes Netz musst.
Gruß orcape
ich gehe mal davon aus, das Du Deinen OpenVPN-Server auf einem Windows-Client laufen hast.
- Die Windows-Firewall hast Du natürlich entsprechend angepasst.
- Die Fritzbox hat eine Portfreischaltung für 1194.
Ein Ping von den anderen Clients im Fritzbox Subnet 192.168.2.0 in das openVPN Subnet 10.19.15.0 ist nicht möglich.
Dann sollte Dein Windows-Client als Router fungieren müssen und dazu möchtest Du das Routing aktivieren.Der Routing-Tabelle des Clients entnehme ich, das es ein Multiclienttunnel ist und kein Point-to-Point, so das hier wohl keine CCD notwendig ist, da Du ja in kein remotes Netz musst.
Gruß orcape
Auf der Fritzbox 7590 habe ich eine statische route 10.0.0.0 Subnetmask 255.255.255.0 Gateway 192.168.2.5 eingerichtet.
Das ist natürlich Routing technisch komplett FALSCH !!Erkennt man auch sofort selber denn das routet ja das IP Netz 10.0.0.0 an deinen OVPN Server was es dort ja gar nicht gibt ! Logisch also das das ins Nirwana geht.
Richtig wäre wie oben ja auch schon mehrfach gesagt wurde:
10.19.15.0 Subnetmask 255.255.255.0 Gateway 192.168.2.5
Wie immer scheiterst du bei Winblows als OVPN Server vermutlich daran das entweder die Windows Firewall für das virtuelle OVPN Tunnel Interface nicht richtig konfiguriert ist (muss auf Private Profil stehen !) oder das das IPv4 Forwarding (Routing) nicht aktiviert wurde. Worst Case ist das du beides falsch gemacht hast. Die Tücken von Winblows eben...
Mit einem Raspberry Pi oder OVPN_Router von der Stange als OVPN Server wär das nicht passiert..
Du solltest diese Tutorials lesen und verstehen. Die beschreiben dein Problem und die einfache Lösung ganz genau:
OpenVPN - Erreiche Netzwerk hinter Client nicht
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Clientverbindung OpenVPN Mikrotik
OpenVPN - Einrichtungsprobleme
Es lag tatsächlich nur am fehlenden laufenden Dienst "Routing und RAS" auf dem Windows Server 2012 R2
Wie vermutet und wie immer der klassische Anfänger Fehler ! Gut wenns nun rennt wie es soll !
Vielleicht noch ein wichtiger Hinweis zum Schluß !
Das Kommando route "192.168.2.0 255.255.255.0" in der Server Konfig ist bei einer Client Konfig unsinnig und auch überflüssig und zudem ist es auch noch völlig falsch, denn das ist ja dein lokales Server LAN. Das hat in einem Kernel Route Kommando nichts zu suchen.
Das solltest du also besser entfernen aus der Server Konfig !
Generell fragt man sich noch warum du mit einer FritzBox die ja selber VPN Server ist dann noch überflüssigerweise ein internes VPN zusätzlich machst obwohl man es hätte mit der FritzBox besser und vor allem erheblich sicherer machen können !
VPN Lösungen mit einem internen VPN Server sind generell nie gut und in der Regel deshalb für verantwortungsvolle Netzwerker immer ein NoGo. Klar, denn man muss, wie bei dir, mit dem Port Forwarding immer völlig ungeschützten Internet Traffic in sein an sonsten sicher abgeschottetes lokales Netzwerk leiten. Bei dir auch noch auf ein so zentrales und gesichertes Gerät wie einen Windows Server der besonders anfällig ist !
Kein gutes Design also und auch der Grund warum VPN Server immer besser in die Peripherie gehören auf Router (wie z.B. deiner FritzBox) oder einer Firewall !
Wer aber mit dem Sicherheitsrisiko leben kann kann es natürlich so umsetzen. Gefährlich und ein Risiko bleibt es dennoch immer ! In manchen Firmen mit entsprechenden Datenschutz Anforderungen wären solche Gruseldesigns ein Abmahngrund ! Solltest du auch mal drüber nachdenken....?!
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Der große Nachteil der FritzBox VPN Lösung ist aber die sehr miese Performance des VPNs. Da bekommst du nur max. 2-3 Mbit Durchsatz raus. Gut, man muss aber auch fairerweise sagen das das ein billiger Consumer Router ist dessen primäre Aufgabe natürlich keine VPN Performance ist sondern nur die das Oma Grete mal per VPN auf die Bilder der Enkel sehen kann. In einem Firmennetzwerk haben solche Router deshalb normal auch nichts zu suchen.
Mit gelegentlichen VPN Client Zugriffen kann man aber vermutlich mit der mickrigen Performance leben.
Wenn nicht, brauchst du andere Hardware oder solltest den guten alten OVPN Server belassen wo er ist.
Mit gelegentlichen VPN Client Zugriffen kann man aber vermutlich mit der mickrigen Performance leben.
Wenn nicht, brauchst du andere Hardware oder solltest den guten alten OVPN Server belassen wo er ist.