raxxis990
28.11.2017
view2950
view10
0
Goto Top

OpenVPN kein zugriff auf internes Netz

FrageNetzwerke
Hallo

Auf meinen hinter dem Speedport Hybrid geschalteten DD-WRT Router läuft ein OpenVPN Server um von außerhalb in das LAN Netz zu kommen.
Der Verbindungsaufbau klappt . Zugriff bekomme ich auf den dd-wrt aber z.b. kein Zugriff auf den SP.

Jemand eine Idee warum das nicht klappt?

Ping auf 192.168.2.2 geht
Ping auf 192.168.2.1 geht nicht
Ping auf Geräte im Netzwerk geht nicht

Mein Netz:

SP:

IP: 192.168.2.1
Maske: 255.255.255.0
Gateway: 192.168.2.1
DNS: 192.168.2.1
DHCP: 192.168.2.100-150
DYNDNS

DD-WRT:

IP: 192.168.2.2
Maske: 255.255.255.0
Gateway: 192.168.2.1
DNS: 192.168.2.1

OpenVPN:
Server:
Openvpn.conf

dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
keepalive 10 120
verb 3
mute 3
syslog
writepid /var/run/openvpnd.pid
management 127.0.0.1 14
management-log-cache 100
topology subnet
script-security 2
port 1194
proto udp
cipher aes-128-cbc
auth sha256
client-connect /tmp/openvpn/clcon.sh
client-disconnect /tmp/openvpn/cldiscon.sh
client-config-dir /tmp/openvpn/ccd
comp-lzo adaptive
tls-server
duplicate-cn
client-to-client
fast-io
tun-mtu 1500
mtu-disc yes
server 192.168.2.0 255.255.255.0
dev tun2
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"  
push "dhcp-options DNS 192.168.2.1"  
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Client:

client
dev tun
proto udp
remote DYNDNS.ADRESSE 1194 
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3

Client Log:

Tue Nov 28 12:51:18 2017 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Tue Nov 28 12:51:18 2017 Windows version 6.1 (Windows 7) 64bit
Tue Nov 28 12:51:18 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Tue Nov 28 12:51:18 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Tue Nov 28 12:51:18 2017 Need hold release from management interface, waiting...
Tue Nov 28 12:51:19 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Tue Nov 28 12:51:19 2017 MANAGEMENT: CMD 'state on'  
Tue Nov 28 12:51:19 2017 MANAGEMENT: CMD 'log all on'  
Tue Nov 28 12:51:19 2017 MANAGEMENT: CMD 'echo all on'  
Tue Nov 28 12:51:19 2017 MANAGEMENT: CMD 'hold off'  
Tue Nov 28 12:51:19 2017 MANAGEMENT: CMD 'hold release'  
Tue Nov 28 12:51:19 2017 WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Tue Nov 28 12:51:19 2017 MANAGEMENT: >STATE:1511869879,RESOLVE,,,,,,
Tue Nov 28 12:51:19 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]93.242.197.234:1194
Tue Nov 28 12:51:19 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Nov 28 12:51:19 2017 UDP link local: (not bound)
Tue Nov 28 12:51:19 2017 UDP link remote: [AF_INET]93.242.197.234:1194
Tue Nov 28 12:51:19 2017 MANAGEMENT: >STATE:1511869879,WAIT,,,,,,
Tue Nov 28 12:51:20 2017 MANAGEMENT: >STATE:1511869880,AUTH,,,,,,
Tue Nov 28 12:51:20 2017 TLS: Initial packet from [AF_INET]93.242.197.234:1194, sid=b7c14aea a5ae1e19
Tue Nov 28 12:51:21 2017 VERIFY OK: depth=1, C=DE, ST=Thueringen, L=Sondershausen, O=Privat, OU=OpenVPN, CN=OpenVPN, name=OpenVPN, emailAddress=top40@wb-mail.org
Tue Nov 28 12:51:21 2017 VERIFY OK: nsCertType=SERVER
Tue Nov 28 12:51:21 2017 VERIFY OK: depth=0, C=DE, ST=Thueringen, L=Sondershausen, O=Privat, OU=OpenVPN, CN=OpenVPN, name=OpenVPN, emailAddress=top40@wb-mail.org
Tue Nov 28 12:51:21 2017 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1570'  
Tue Nov 28 12:51:21 2017 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-128-CBC'  
Tue Nov 28 12:51:21 2017 WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth SHA256'  
Tue Nov 28 12:51:21 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Tue Nov 28 12:51:21 2017 [OpenVPN] Peer Connection Initiated with [AF_INET]93.242.197.234:1194
Tue Nov 28 12:51:22 2017 MANAGEMENT: >STATE:1511869882,GET_CONFIG,,,,,,
Tue Nov 28 12:51:22 2017 SENT CONTROL [OpenVPN]: 'PUSH_REQUEST' (status=1)  
Tue Nov 28 12:51:22 2017 PUSH: Received control message: 'PUSH_REPLY,route 192.168.2.0 255.255.255.0,dhcp-options DNS 192.168.2.1,route-gateway 172.16.2.1,topology subnet,ping 10,ping-restart 120,ifconfig 172.16.2.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'  
Tue Nov 28 12:51:22 2017 Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:2: dhcp-options (2.4.4)
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: timers and/or timeouts modified
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: --ifconfig/up options modified
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: route options modified
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: route-related options modified
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: peer-id set
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: adjusting link_mtu to 1625
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: data channel crypto options modified
Tue Nov 28 12:51:22 2017 Data Channel: using negotiated cipher 'AES-256-GCM'  
Tue Nov 28 12:51:22 2017 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key  
Tue Nov 28 12:51:22 2017 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key  
Tue Nov 28 12:51:22 2017 interactive service msg_channel=0
Tue Nov 28 12:51:22 2017 ROUTE_GATEWAY 192.168.178.1/255.255.255.0 I=12 HWADDR=50:e5:49:c2:d1:2a
Tue Nov 28 12:51:22 2017 open_tun
Tue Nov 28 12:51:22 2017 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\{E272887F-4DCD-4AA2-A730-B31C3B055346}.tap
Tue Nov 28 12:51:22 2017 TAP-Windows Driver Version 9.21 
Tue Nov 28 12:51:22 2017 Set TAP-Windows TUN subnet mode network/local/netmask = 172.16.2.0/172.16.2.2/255.255.255.0 [SUCCEEDED]
Tue Nov 28 12:51:22 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 172.16.2.2/255.255.255.0 on interface {E272887F-4DCD-4AA2-A730-B31C3B055346} [DHCP-serv: 172.16.2.254, lease-time: 31536000]
Tue Nov 28 12:51:22 2017 Successful ARP Flush on interface [20] {E272887F-4DCD-4AA2-A730-B31C3B055346}
Tue Nov 28 12:51:22 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Nov 28 12:51:22 2017 MANAGEMENT: >STATE:1511869882,ASSIGN_IP,,172.16.2.2,,,,
Tue Nov 28 12:51:27 2017 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Tue Nov 28 12:51:27 2017 MANAGEMENT: >STATE:1511869887,ADD_ROUTES,,,,,,
Tue Nov 28 12:51:27 2017 C:\Windows\system32\route.exe ADD 192.168.2.0 MASK 255.255.255.0 172.16.2.1
Tue Nov 28 12:51:27 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Nov 28 12:51:27 2017 Route addition via IPAPI succeeded [adaptive]
Tue Nov 28 12:51:27 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Nov 28 12:51:27 2017 Initialization Sequence Completed
Tue Nov 28 12:51:27 2017 MANAGEMENT: >STATE:1511869887,CONNECTED,SUCCESS,172.16.2.2,93.242.197.234,1194,,
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 356360

Url: https://administrator.de/forum/openvpn-kein-zugriff-auf-internes-netz-356360.html

Ausgedruckt am: 12.04.2025 um 08:04 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
em-pie
em-pie 28.11.2017 um 13:16:16 Uhr
Goto Top
Moin,

ich vermute mal, der Speedport weiss nicht, wohin er die Antwortpakete senden soll.
Stichwort statische Route. Da der Speedport das aber auch nicht kann...
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Statische-Route-be ...

Denn dein virtuelles VPN-Netz hat ja sicherliche keine IP aus 192.168.2.0/24, sondern 172.16.2.0.
Der Speedport weiss also nichts mit den Paketen für 172.16.2.0/24 anzufangen und auch nicht, an welches Gateway er die Pakete schicken kann

Defacto wird das so nichts...

Gruß
em-pie
raxxis990
raxxis990 28.11.2017 um 13:20:05 Uhr
Goto Top
Ist es denn Möglich wenn ich das VPN auf das 192.168.2.0/24 ändere und daraus eine IP beziehe?
em-pie
em-pie 28.11.2017 um 13:25:11 Uhr
Goto Top
Das wird noch weniger funktionieren.
Denn dann weiss der DD-WRT ja selbst auch nicht mehr, wohin die Pakete gehören...

Das würde vermutlich funktionieren, wenn du eine Routerkaskade (mit aktiven NAT) am DD-WRT schaltest.
Denn dann fragt der DD-WRT an seinem WAN-Port die Pakete am Speedport an und leitet diese dann an das DD-WRT-interne Netz weiter, somit auch an deinen VPN-Client.
raxxis990
raxxis990 28.11.2017 aktualisiert um 17:52:34 Uhr
Goto Top
Von einer Routerkaskade wurde mir schon oft abgeraten. Gibt es denn keine Möglichkeit?

Dachte wenn ich im Netzwerk bin das ich dort auch hin komme
raxxis990
raxxis990 30.11.2017 um 13:06:58 Uhr
Goto Top
Niemand eine Idee weiter wie ich das ohne doppeltes NAT lösen kann?
em-pie
em-pie 30.11.2017 um 13:18:09 Uhr
Goto Top
Mit der gegebenen Hardware hast du keine andere Möglichkeit.

Und eine Routerkaskade mit Nat ist zwar nicht schön, aber jetzt auch kein Beinbruch...
raxxis990
raxxis990 30.11.2017 um 13:28:44 Uhr
Goto Top
Wie baue ich die in meinem Fall auf?
em-pie
em-pie 30.11.2017 um 13:43:15 Uhr
Goto Top
WAN (SP Hyb) <-> LAN (SP Hyb) <-> WAN(DD-WRT) <LAN (DD-WRT)>

Speedport Hybrid
  • WAN erhält seine öffentliche IP von der DTAG
  • LAN hat eine interne IP, i.d.R. 192.168.2.1 /24


DD-WRT:

Das wars.
Für die weitere Umsetzung hilft dir sicherlich die eine oder andere ANleitung hier im Forum, ansonsten der große Suchmaschienanbeiter deines Vertrauens...
raxxis990
raxxis990 05.12.2017 um 12:00:22 Uhr
Goto Top
Ich werde das heute mal testen und hoffe das es klappt. Den Port 1194 muss ich dann im sp und dd-wrt frei geben oder? Oder im dd-wrt nur die iptables wie in der Anleitung?
raxxis990
raxxis990 05.12.2017 um 20:32:04 Uhr
Goto Top
So em-pie ich habe alles mal umgebaut und es klappt soweit alles. bis auf der zugriff zum SP über den VPN.muss ich vllt noch routen anlegen?

Hier mal noch meine VPN Config:

dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
keepalive 10 120
verb 3
mute 3
syslog
writepid /var/run/openvpnd.pid
management 127.0.0.1 14
management-log-cache 100
topology subnet
script-security 2
port 1194
proto udp
cipher aes-128-cbc
auth sha256
client-connect /tmp/openvpn/clcon.sh
client-disconnect /tmp/openvpn/cldiscon.sh
client-config-dir /tmp/openvpn/ccd
comp-lzo adaptive
tls-server
duplicate-cn
client-to-client
fast-io
tun-mtu 1400
mtu-disc yes
server 172.18.0.0 255.255.255.0
dev tun2
push "route 172.17.0.0 255.255.255.0"  
push "route 192.168.2.0 255.255.255.0"  
push "dhcp-options DNS 192.168.2.1"  
push "dhcp-options DNS 172.17.0.1"
FrageNetzwerke
Mehr von raxxis990raxxis990Szenario für LWL Ausfall Standort zu Standort über VPN?raxxis990 - 6 Kommentareraxxis990Ubiquiti Switche Neuanschaffung im Austausch Netgearraxxis990 - 14 Kommentareraxxis990Sophos SG 135 Rev. 2 startet nichtraxxis990 - 8 Kommentareraxxis990ESXI 7 Nach Installation kein Speicherraxxis990 - 12 Kommentare
Heiß diskutiert
BN2023Windows PC auf Linux umstellen, da Win11 Upgrade nicht möglich?BN2023 - 62 KommentareBN2023Am Verstärker angeschlossene Festplatte über Laptop findenBN2023 - 40 Kommentareds6.euDoppelmoral?ds6.eu - 30 KommentareMysticFoxDEEine alternative Erklärung des Doppler-Effekts durch variable LichtgeschwindigkeitMysticFoxDE - 26 KommentareBitsortiererInformatik Studium Ja oder Nein?Bitsortierer - 25 KommentareFlashLightzKann PC nicht der Domäne hinzufügenFlashLightz - 18 KommentareMysticFoxDEWINDOWS 11 24H2 - CU25-04 - TAGEBUCH - TAG 1MysticFoxDE - 18 KommentareDerWoWussteThunderbird per IMAP an Exchange - Lesebestätigung verhindernDerWoWusste - 17 KommentarekreuzbergerSound-Recording und Sound-Bearbeitungkreuzberger - 16 KommentareAndi-75Zugriff auf NAS-Ordner von VM nicht möglichAndi-75 - 16 KommentarewimaflixMikrotik 7.16 WLAN vs. VLANwimaflix - 14 KommentareAbstrackterSystemimperatorFragen zum bevorstehenden FachgesprächAbstrackterSystemimperator - 13 KommentareinsidERRUSB-Dongle wird in der VirtualBox VM (zweiter Host) nicht richtig erkanntinsidERR - 13 Kommentare