10
OpenVPN kein zugriff auf internes Netz
Hallo
Auf meinen hinter dem Speedport Hybrid geschalteten DD-WRT Router läuft ein OpenVPN Server um von außerhalb in das LAN Netz zu kommen.
Der Verbindungsaufbau klappt . Zugriff bekomme ich auf den dd-wrt aber z.b. kein Zugriff auf den SP.
Jemand eine Idee warum das nicht klappt?
Ping auf 192.168.2.2 geht
Ping auf 192.168.2.1 geht nicht
Ping auf Geräte im Netzwerk geht nicht
Mein Netz:
SP:
IP: 192.168.2.1
Maske: 255.255.255.0
Gateway: 192.168.2.1
DNS: 192.168.2.1
DHCP: 192.168.2.100-150
DYNDNS
DD-WRT:
IP: 192.168.2.2
Maske: 255.255.255.0
Gateway: 192.168.2.1
DNS: 192.168.2.1
OpenVPN:
Server:
Openvpn.conf
Client:
Client Log:
Auf meinen hinter dem Speedport Hybrid geschalteten DD-WRT Router läuft ein OpenVPN Server um von außerhalb in das LAN Netz zu kommen.
Der Verbindungsaufbau klappt . Zugriff bekomme ich auf den dd-wrt aber z.b. kein Zugriff auf den SP.
Jemand eine Idee warum das nicht klappt?
Ping auf 192.168.2.2 geht
Ping auf 192.168.2.1 geht nicht
Ping auf Geräte im Netzwerk geht nicht
Mein Netz:
SP:
IP: 192.168.2.1
Maske: 255.255.255.0
Gateway: 192.168.2.1
DNS: 192.168.2.1
DHCP: 192.168.2.100-150
DYNDNS
DD-WRT:
IP: 192.168.2.2
Maske: 255.255.255.0
Gateway: 192.168.2.1
DNS: 192.168.2.1
OpenVPN:
Server:
Openvpn.conf
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
keepalive 10 120
verb 3
mute 3
syslog
writepid /var/run/openvpnd.pid
management 127.0.0.1 14
management-log-cache 100
topology subnet
script-security 2
port 1194
proto udp
cipher aes-128-cbc
auth sha256
client-connect /tmp/openvpn/clcon.sh
client-disconnect /tmp/openvpn/cldiscon.sh
client-config-dir /tmp/openvpn/ccd
comp-lzo adaptive
tls-server
duplicate-cn
client-to-client
fast-io
tun-mtu 1500
mtu-disc yes
server 192.168.2.0 255.255.255.0
dev tun2
port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"
push "dhcp-options DNS 192.168.2.1"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3Client:
client
dev tun
proto udp
remote DYNDNS.ADRESSE 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3 Client Log:
Tue Nov 28 12:51:18 2017 OpenVPN 2.4.4 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Sep 26 2017
Tue Nov 28 12:51:18 2017 Windows version 6.1 (Windows 7) 64bit
Tue Nov 28 12:51:18 2017 library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.10
Tue Nov 28 12:51:18 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Tue Nov 28 12:51:18 2017 Need hold release from management interface, waiting...
Tue Nov 28 12:51:19 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Tue Nov 28 12:51:19 2017 MANAGEMENT: CMD 'state on'
Tue Nov 28 12:51:19 2017 MANAGEMENT: CMD 'log all on'
Tue Nov 28 12:51:19 2017 MANAGEMENT: CMD 'echo all on'
Tue Nov 28 12:51:19 2017 MANAGEMENT: CMD 'hold off'
Tue Nov 28 12:51:19 2017 MANAGEMENT: CMD 'hold release'
Tue Nov 28 12:51:19 2017 WARNING: --ns-cert-type is DEPRECATED. Use --remote-cert-tls instead.
Tue Nov 28 12:51:19 2017 MANAGEMENT: >STATE:1511869879,RESOLVE,,,,,,
Tue Nov 28 12:51:19 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]93.242.197.234:1194
Tue Nov 28 12:51:19 2017 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Nov 28 12:51:19 2017 UDP link local: (not bound)
Tue Nov 28 12:51:19 2017 UDP link remote: [AF_INET]93.242.197.234:1194
Tue Nov 28 12:51:19 2017 MANAGEMENT: >STATE:1511869879,WAIT,,,,,,
Tue Nov 28 12:51:20 2017 MANAGEMENT: >STATE:1511869880,AUTH,,,,,,
Tue Nov 28 12:51:20 2017 TLS: Initial packet from [AF_INET]93.242.197.234:1194, sid=b7c14aea a5ae1e19
Tue Nov 28 12:51:21 2017 VERIFY OK: depth=1, C=DE, ST=Thueringen, L=Sondershausen, O=Privat, OU=OpenVPN, CN=OpenVPN, name=OpenVPN, emailAddress=top40@wb-mail.org
Tue Nov 28 12:51:21 2017 VERIFY OK: nsCertType=SERVER
Tue Nov 28 12:51:21 2017 VERIFY OK: depth=0, C=DE, ST=Thueringen, L=Sondershausen, O=Privat, OU=OpenVPN, CN=OpenVPN, name=OpenVPN, emailAddress=top40@wb-mail.org
Tue Nov 28 12:51:21 2017 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1542', remote='link-mtu 1570'
Tue Nov 28 12:51:21 2017 WARNING: 'cipher' is used inconsistently, local='cipher BF-CBC', remote='cipher AES-128-CBC'
Tue Nov 28 12:51:21 2017 WARNING: 'auth' is used inconsistently, local='auth SHA1', remote='auth SHA256'
Tue Nov 28 12:51:21 2017 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Tue Nov 28 12:51:21 2017 [OpenVPN] Peer Connection Initiated with [AF_INET]93.242.197.234:1194
Tue Nov 28 12:51:22 2017 MANAGEMENT: >STATE:1511869882,GET_CONFIG,,,,,,
Tue Nov 28 12:51:22 2017 SENT CONTROL [OpenVPN]: 'PUSH_REQUEST' (status=1)
Tue Nov 28 12:51:22 2017 PUSH: Received control message: 'PUSH_REPLY,route 192.168.2.0 255.255.255.0,dhcp-options DNS 192.168.2.1,route-gateway 172.16.2.1,topology subnet,ping 10,ping-restart 120,ifconfig 172.16.2.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
Tue Nov 28 12:51:22 2017 Options error: Unrecognized option or missing or extra parameter(s) in [PUSH-OPTIONS]:2: dhcp-options (2.4.4)
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: timers and/or timeouts modified
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: --ifconfig/up options modified
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: route options modified
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: route-related options modified
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: peer-id set
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: adjusting link_mtu to 1625
Tue Nov 28 12:51:22 2017 OPTIONS IMPORT: data channel crypto options modified
Tue Nov 28 12:51:22 2017 Data Channel: using negotiated cipher 'AES-256-GCM'
Tue Nov 28 12:51:22 2017 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Nov 28 12:51:22 2017 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Tue Nov 28 12:51:22 2017 interactive service msg_channel=0
Tue Nov 28 12:51:22 2017 ROUTE_GATEWAY 192.168.178.1/255.255.255.0 I=12 HWADDR=50:e5:49:c2:d1:2a
Tue Nov 28 12:51:22 2017 open_tun
Tue Nov 28 12:51:22 2017 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\{E272887F-4DCD-4AA2-A730-B31C3B055346}.tap
Tue Nov 28 12:51:22 2017 TAP-Windows Driver Version 9.21
Tue Nov 28 12:51:22 2017 Set TAP-Windows TUN subnet mode network/local/netmask = 172.16.2.0/172.16.2.2/255.255.255.0 [SUCCEEDED]
Tue Nov 28 12:51:22 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 172.16.2.2/255.255.255.0 on interface {E272887F-4DCD-4AA2-A730-B31C3B055346} [DHCP-serv: 172.16.2.254, lease-time: 31536000]
Tue Nov 28 12:51:22 2017 Successful ARP Flush on interface [20] {E272887F-4DCD-4AA2-A730-B31C3B055346}
Tue Nov 28 12:51:22 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Tue Nov 28 12:51:22 2017 MANAGEMENT: >STATE:1511869882,ASSIGN_IP,,172.16.2.2,,,,
Tue Nov 28 12:51:27 2017 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Tue Nov 28 12:51:27 2017 MANAGEMENT: >STATE:1511869887,ADD_ROUTES,,,,,,
Tue Nov 28 12:51:27 2017 C:\Windows\system32\route.exe ADD 192.168.2.0 MASK 255.255.255.0 172.16.2.1
Tue Nov 28 12:51:27 2017 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=20 and dwForwardType=4
Tue Nov 28 12:51:27 2017 Route addition via IPAPI succeeded [adaptive]
Tue Nov 28 12:51:27 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Nov 28 12:51:27 2017 Initialization Sequence Completed
Tue Nov 28 12:51:27 2017 MANAGEMENT: >STATE:1511869887,CONNECTED,SUCCESS,172.16.2.2,93.242.197.234,1194,,
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 356360
Url: https://administrator.de/contentid/356360
Printed on: April 18, 2024 at 01:04 o'clock
10 Comments
Latest comment
Moin,
ich vermute mal, der Speedport weiss nicht, wohin er die Antwortpakete senden soll.
Stichwort statische Route. Da der Speedport das aber auch nicht kann...
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Statische-Route-be ...
Denn dein virtuelles VPN-Netz hat ja sicherliche keine IP aus 192.168.2.0/24, sondern 172.16.2.0.
Der Speedport weiss also nichts mit den Paketen für 172.16.2.0/24 anzufangen und auch nicht, an welches Gateway er die Pakete schicken kann
Defacto wird das so nichts...
Gruß
em-pie
ich vermute mal, der Speedport weiss nicht, wohin er die Antwortpakete senden soll.
Stichwort statische Route. Da der Speedport das aber auch nicht kann...
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Statische-Route-be ...
Denn dein virtuelles VPN-Netz hat ja sicherliche keine IP aus 192.168.2.0/24, sondern 172.16.2.0.
Der Speedport weiss also nichts mit den Paketen für 172.16.2.0/24 anzufangen und auch nicht, an welches Gateway er die Pakete schicken kann
Defacto wird das so nichts...
Gruß
em-pie
Ist es denn Möglich wenn ich das VPN auf das 192.168.2.0/24 ändere und daraus eine IP beziehe?
Das wird noch weniger funktionieren.
Denn dann weiss der DD-WRT ja selbst auch nicht mehr, wohin die Pakete gehören...
Das würde vermutlich funktionieren, wenn du eine Routerkaskade (mit aktiven NAT) am DD-WRT schaltest.
Denn dann fragt der DD-WRT an seinem WAN-Port die Pakete am Speedport an und leitet diese dann an das DD-WRT-interne Netz weiter, somit auch an deinen VPN-Client.
Denn dann weiss der DD-WRT ja selbst auch nicht mehr, wohin die Pakete gehören...
Das würde vermutlich funktionieren, wenn du eine Routerkaskade (mit aktiven NAT) am DD-WRT schaltest.
Denn dann fragt der DD-WRT an seinem WAN-Port die Pakete am Speedport an und leitet diese dann an das DD-WRT-interne Netz weiter, somit auch an deinen VPN-Client.
Von einer Routerkaskade wurde mir schon oft abgeraten. Gibt es denn keine Möglichkeit?
Dachte wenn ich im Netzwerk bin das ich dort auch hin komme
Dachte wenn ich im Netzwerk bin das ich dort auch hin komme
Niemand eine Idee weiter wie ich das ohne doppeltes NAT lösen kann?
Mit der gegebenen Hardware hast du keine andere Möglichkeit.
Und eine Routerkaskade mit Nat ist zwar nicht schön, aber jetzt auch kein Beinbruch...
Und eine Routerkaskade mit Nat ist zwar nicht schön, aber jetzt auch kein Beinbruch...
Wie baue ich die in meinem Fall auf?
WAN (SP Hyb) <-> LAN (SP Hyb) <-> WAN(DD-WRT) <LAN (DD-WRT)>
Speedport Hybrid
DD-WRT:
Das wars.
Für die weitere Umsetzung hilft dir sicherlich die eine oder andere ANleitung hier im Forum, ansonsten der große Suchmaschienanbeiter deines Vertrauens...
Speedport Hybrid
- WAN erhält seine öffentliche IP von der DTAG
- LAN hat eine interne IP, i.d.R. 192.168.2.1 /24
DD-WRT:
- WAN erhält die 192.168.2.254/ 24, als GW 192.168.2.1
- LAN erhält die IP 172.17.0.1/ 24
- DHCP-aktivieren (Range: 172.16.17.0.101 - 172.17.0.199 | Gateway: 172.16.17.1 | DNS: 172.17.0.1)
- NAT aktivieren
- Netz für VPN: z.B. 172.18.0.0/ 24, Hilfe siehe hier: https://blog.doenselmann.com/openvpn-server-auf-dd-wrt-router-betreiben/
Das wars.
Für die weitere Umsetzung hilft dir sicherlich die eine oder andere ANleitung hier im Forum, ansonsten der große Suchmaschienanbeiter deines Vertrauens...
Ich werde das heute mal testen und hoffe das es klappt. Den Port 1194 muss ich dann im sp und dd-wrt frei geben oder? Oder im dd-wrt nur die iptables wie in der Anleitung?
So em-pie ich habe alles mal umgebaut und es klappt soweit alles. bis auf der zugriff zum SP über den VPN.muss ich vllt noch routen anlegen?
Hier mal noch meine VPN Config:
Hier mal noch meine VPN Config:
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
keepalive 10 120
verb 3
mute 3
syslog
writepid /var/run/openvpnd.pid
management 127.0.0.1 14
management-log-cache 100
topology subnet
script-security 2
port 1194
proto udp
cipher aes-128-cbc
auth sha256
client-connect /tmp/openvpn/clcon.sh
client-disconnect /tmp/openvpn/cldiscon.sh
client-config-dir /tmp/openvpn/ccd
comp-lzo adaptive
tls-server
duplicate-cn
client-to-client
fast-io
tun-mtu 1400
mtu-disc yes
server 172.18.0.0 255.255.255.0
dev tun2
push "route 172.17.0.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"
push "dhcp-options DNS 192.168.2.1"
push "dhcp-options DNS 172.17.0.1" 
