chr2002
Goto Top

OpenVpn - Ping geht - RDP Nicht - Firewallproblem ?

Hallo,

Ich bin langsam am verrücktwerden mit dem Openvpn.
Erstmal meine Netzwerkkonfig.


WAN <---> Bintec R1200 (Router) <-----> Cisco 2950 (Switch) <------> PC (RDP Server 192.168.1.10)
|.|.'---------> Laptop (RDP Client 192.168.1.18)
|.'-----------> Fritzbox (REINER Openvpn Server (192.168.1.252)
'-------------> Bintec VPN Acces 25 (192.168.1.254)


Der OpenVpn Server vergibt die Adresse 10.8.0.6 an den Client.
Im Router hab ich die Route NET 10.8.0.0 / 255.255.255.0 gw 192.168.1.252


Mit meinem Android Handy kann ich ohne Probleme eine Openvpn Verbindung zur Fritzbox aufbauen und kann alle Teilnehmer im Lan anpingen. Das Internet läuft auch problemlos über den VPN Tunnel.(Somit bin ich T-com´s Pop3 Sperre schonmal los ^^)
Nur kann ich keine RDP Verbindung zum PC (192.168.1.10) aufbauen. Ich kann auch nur die Konfig Webseite des Routers 192.168.1.1 öffnen. Die Konfig Seite vom VPN Aces 25 (192.168.1.254) kann ich nicht öffen. Kann aber alle Geräte anpingen.

Wenn ich jetzt im Router (192.168.1.1) die Firewall komplett abschalte, dann kann ich die RDP Verbindung aufbauen.Und auch die Konfig Seite des VPN Access 25 erreichen.
Mich wundert aber, warum sich die Firewall im Router überhaupt auf meine RDP Verbindung auswirkt. Der Tunnelendpunkt liegt ja auf der Fritzbox. Diese hängt am Switch und da hängt auch der RDP Server (192.168.1.10) dran. Also gehen die RDP Packets gar nicht mehr durch den Router. Das einzigste was durch den Router geht, ist der Verschlüsselte Tunnel ( Ich habe den Tunnel über TCP 443 laufen, weil der Port mit grösster Wahrscheinlichkeit nirgends geblockt wird und weniger auffällt als ein Tunnel auf Port 80).


Mit dem Laptop (192.168.1.18) geht Rdp innerhalb meines Netzwerkes ohne Probleme, egal ob die FW im Router an oder aus ist.

Kann mir da jemand weiterhelfen ?

Am Routing kanns nicht liegen, weil ich ja alles anpingen kann und bei abgeschalteter Firewall gehts ja auch.
Im Syslog vom Router taucht keine Meldung auf, dass die FW was blockt.

lg

Chris

Content-ID: 147608

Url: https://administrator.de/contentid/147608

Ausgedruckt am: 22.11.2024 um 13:11 Uhr

dog
dog 25.07.2010 um 18:53:29 Uhr
Goto Top
Also gehen die RDP Packets gar nicht mehr durch den Router.

Doch, gehen sie.

Dein VPN-AC kennt die beiden Subnetze 10.8.0.0/24 und 192.168.1.0/24
Wenn jetzt also 10.8.0.6 ein Paket an 192.168.1.10 schickt wirft der AC es einfach auf dem Interface raus - alles ok.
Wenn jetzt aber 192.168.1.10 antworten will (das selbst nur 192.168.1.0/24 kennt) weiß es nicht wohin mit dem Paket und schickt es damit eben zu seinem Default Gateway (192.168.1.1), damit der sich darum kümmert...
chr2002
chr2002 25.07.2010 um 22:25:16 Uhr
Goto Top
Ok, das ist natürlich klar. Der Router kümmert sich dann drum, wohin die Packets gehen müssen.

Aber es ist seltsam, dass die Pings in alle Richtungen ohne Probleme gehen.

Ich habe in der FW testweiese eine Rule erstellt, die jeden Traffic von Jedem Interface und jeder Ip Adresse (ANY) zulässt. Trotzdem geht es nicht.
Was noch seltsamer ist, dass im Syslog nichts steht, dass was geblockt wurde,
Der-Phil
Der-Phil 26.07.2010 um 10:00:21 Uhr
Goto Top
Hallo,

Du kannst auf dem RDP-Server auch eine statische Route zum Open-VPN-Server einrichten, dann ist der Bintec-Router wirklich außen vor.

Phil
chr2002
chr2002 26.07.2010 um 19:04:34 Uhr
Goto Top
Das hab ich gestern noch gemacht, und es funktioniert auch.

Es geht zwar jetzt ohne Probleme, aber warum gehts nicht über den Router ? Wie gesagt, das Routing stimmt ja, weil es bei deaktivierter Firewall im Bintec Router ohne Probleme funktioniert. Ich frage mich, warum die Firewall was blockt, was gar nicht geblockt werden soll. Habe es mit mehreren Rules probiert, die FW blockt trotzdem. Habe folgende Rule erstellt :

10.8.0.0/24 ------> ANY (Services ANY) Accept (Interface LAN_EN1-0) (das ist das IF, welches mit dem Switch verbunden ist)
dann hab ich noch folgende Rule erstellt

192.168.1.0/24 ----> 10.8.0.0/24 (Services ANY) Accept (Interface LAN_EN1-0)
Klar, dass diese Rule eigentlich sinnlos ist, weil ich bei der Ersteinrichtung des Routers folgende Rule längst erstellt hab.

LAN_EN1-0 ---------> ANY (Services ANY) Accept (Alles was von meinem Lan kommt, darf überall hin.)

Was richtig seltsam ist, dass ich über den VPN Tunnel ohne Probleme Surfen kann, egal ob die FW an ist oder aus. Der Internettraffic vom VPN Tunnel geht ja dann über den Router und wird nicht geblockt. Nur alles was ins LAN geht, wirft der Router an der Firewall raus, ohne dass was im Syslog steht. Sonst steht jeder geblockte Traffic in der Firewall. (Ich blocke einige Werbeserver in der Firewall, das wird auch im Syslog angezeigt)

Mir ist am RDP Server auch noch aufgefallen, dass die RDP Pakete ankommen und der PC auch welche verschickt. Die ankommenden kommen direkt von der Fritzbox (OpenVpn Server), die abgehenden gehen zum Bintec Router (Hab mir mit Wireshark mal die MAC Adressen angesehen).


Echt seltsam

Theoretisch könnte ich die FW einfach aus lassen und mich mit dem Schutz vom NAT begnügen. Aber dann hätte ich mir auch so nen "Home Router" holen können und net nen Bintec Router ^^
aqui
aqui 30.07.2010 um 13:38:42 Uhr
Goto Top
Dann hast du am RDP Server vermutlich ein anderes Gateway oder eine andere Route konfiguriert für das Zielnetz. Deshalb nimmt er einen anderen Router was logisch ist. Das müsstest du also mit dem route print Kommando mal checken.
Was deine FW anbetrifft bedenke das RDP TCP basierend ist es also auch Antwortpakete gibt. Die FW muss also zwingend auch eine Accessliste für den Rückweg haben. Vermutlich scheitert die RDP Verbindung deshalb.
chr2002
chr2002 31.07.2010 um 15:29:59 Uhr
Goto Top
Am RDP Server ist nur das Standard Gateway konfiguriert. Also mein Bintec R1200 Router, der auch für den DSL Zugang zuständig ist. Im Router hab ich eine Route zur Fritzbox für das Zielnetz vom Handy. Das Routing passt eigentlich, der RDP Server schickt seine Anzwortpakete an den Router und der leitet sie an die Fritzbox weiter, die die Packets dann in den Openvpn Tunnel packt und ans Handy zurückschickt. Das ganze funktioniert problemlos, wenn die Firewall im Router aus ist.

Ich habe in der Firewall jeden Traffic, der vom LAN Interface kommt erlaubt. Egal wohin der geht. ( LAN_EN1-0 --> ANY)
Habe auch zusätzlich noch jeden Traffic der ins Zielnetz vom Handy geht auch erlaubt. (ANY --> 10.8.0.0/24)

Mit der Statischen Route am RDP Server gehts zwar jetzt auch bei eingeschalterer FW, weil der Router umgangen wird. Aber ich würde es gerne ohne Konfiguration an den PCs schaffen, weil es einfach "sauberer" ist. Und wenn ich z.B. meine PS3 oder meinen Netzwerkdrucker vom Handy aus erreichen will, hab ich schon ein Problem, weil ich bei den Geräten keine Route konfigurieren kann.
aqui
aqui 01.08.2010 um 10:36:50 Uhr
Goto Top
Es ist möglich das die FW trotzdem noch ICMP Pakete filtert, da ICMP oft separat gehandhabt wird in FWs. Stelle also sicher das auch ICMPs durchlaufen, da diese für Rediects usw. schon sinnvoll sind. Ebenso solltest du beim RDP Server checken ob dort ICMPs insbesondere ICMP redirects erlaubt sind.
Das siehst du in den erweiterten Eigenschaften der FW mit Klick auf ICMP und dann den Haken bei "Umleiten zulassen" setzen !
chr2002
chr2002 12.08.2011 um 23:59:53 Uhr
Goto Top
Bitte nicht schimpfen jetzt. Hab dieses Problem hier total aus den Augen verloren wegen Arbeit und Umzug. Und zu allem Überfluss gab meine Fritzbox auch noch den Geist auf.

Aber dieses Problem besteht weiterhin.

Das Problem ist nicht das ICMP, das geht ja bei eingeschalteter Firewall. Das ist das einzigste was geht. Was nicht geht ist HTTP, RDP und eigentlich alles andere. ICMP geht.

Die Sache mit den statischen Routen geht leider nicht überall. Mein Server hat ein IMPI Interface und da kann man keine statische Route festlegen.

Seltsamerweise zeigt die Firewall im Router auch nichts an, dass was geblockt wurde ....

EDIT :

Habe jetzt mal die SIF im Bintec abgeschaltet. Die "normale" Firewall ist noch an. Jetzt gehts, ist aber auch nicht der Sinn der Sache. Möchte die SIF Firewall lieber an lassen.

Es könnte evtl daran liegen, dass der VPN Client über den Openvpn Server direkt den Ziel Rechner anspricht, der kennt die IP vom VPN Client (10.8.0.6) aber nicht und schickt seine Antwort brav an den Router, die SIF weis aber nichts von der Anfrage des VPN Clients, weil diese direkt an den Zielrechner ( ohne über den Router und somit auch die SIF) gegangen ist. Dann wirft die SIF das Antwortpacket einfach raus. (Leider auch ohne Eintrag im Syslog)

Könnte das ein richtiger Ansatz sein ? Dann muss die Openvpn Konfigs nur noch dazu bewegen alles über den Router abzuwickeln und dann müsste es ja gehen. Weis nur leider nicht, wie ich den Openvpn Client dazu bringe face-sad

EDIT :

Oh Mann, befasst man sich mit dem Mist fast ein Jahr lang nicht, fällt es einem wie Schuppen von den Augen. Jetzt gehts, auch mit SIF.

Die SIF hat mich erst drauf gebracht. Wohl logisch dass es nicht geht, warum war ich vor nem Jahr nicht soweit ? ^^
Hab im Openvpn Server eine Route auf meinen den Bintec Router im selben Subnetz gesetzt. Fritzbox Openvpn Server und Bintec hängen am selben Switch.

Das ist ne einigermassen saubere Lösung für mich, obwohl Omnipeek ständig mit "IP Local Routing" mault. Aber besser gehts leider nicht. Ich setze im Openvpn Server einfach eine Host Route auf die Geräte, bei denen man keine statischen Routen festlegen kann. Bei PCs kann man ne Netzwerk Route setzen. Bei der PS3 und dem IPMI Server geht das nicht und dann muss ne Route im Openvpn Server her. Ne Netzwerk Route im Openvpn Server ist noch unsauberer, man muss ja nicht den gesamten Traffic vom Tunnel doppelt über den Router schicken.

Hiermit ist dieses Problem GELÖST face-smile
aqui
aqui 13.08.2011 um 11:00:36 Uhr
Goto Top
Auch das Problem liesse sich lösen wenn du die Routern richtig vergeben würdest und zwar am zentralen Router den die Clients im lokalen Netzwerk als Default Gateway haben !!
Dort müssen die statischen Routen auf das interne OpenVPN Netz eingetragen werden und fertig ist der Lack !
Dann verschwinden auch diese Fehler, die dir sagen das du immer noch inkorrekte Routen verwendest ! Ein typischer Fehler wenn man Routen direkt auf Endgeräten verwendet was immer kontraproduktiv ist !!
chr2002
chr2002 13.08.2011 um 12:44:20 Uhr
Goto Top
Am zentralen Router (R1200) hab ich eine Network Route vergeben. 10.8.0.0 255.255.255.0 GW 192.168.1.252.
192.168.1.252 ist die Fritzbox mit dem Openvpn Server. In der Openvpn server.conf hab ich eine Route für den RDP PC. 192.168.1.10 255.255.255.0 GW 192.168.1.1.

Ohne die Route im Openvpn Server, wirft mir die SIF im zentralen Router die Antwork Pakete von 192.168.1.10 immer raus, weil die Anfrage dann direkt vom VPN Client über die Fritzbox direkt zum PC (192.168.1.10) geht.

Wenn ich die Route im Openvpn Server und im Zentralen Router weglasse und stattdessen ein statische Route auf dem PC festlege (10.8.0.0 255.255.255.0 GW 192.168.1.252) dann läuft es sauber und Omnipeek mault nicht.
Das Problem bei mir könnte sein, weil ich die Fritzbox nicht als zentralen Router verwende, sondern nur als Openvpn Server. Aber das wird auch so bleiben, weil ein R1200 doch was anderes ist als eine uralte FB ^^

Wenn es einen anderen, saubereren Weg gibt, währe ich über jeden Tip dankbar. Vielleicht übersehe ich irgend ein kleines Detail bei den Routen.
aqui
aqui 13.08.2011, aktualisiert am 18.10.2012 um 18:47:53 Uhr
Goto Top
Eine Route muss dort gar nicht hin. In die Server Konfig Datei auf dem OpenVPN Server muss lediglich das Kommando:
push "route 192.168.1.0 255.255.255.0"
hinzugefügt werden, was das zentral erledigt ! Damit "lernt" der OpenVPN Client dann das lokale Netz. Ein route print am Client zeigt dir das auch !
Das folgende Tutorial beschreibt so ein Design im Detail und ist für dein Netzwerk identisch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
chr2002
chr2002 13.08.2011 um 16:39:37 Uhr
Goto Top
Das push Route habe ich auch drin. Aber es geht dann nicht. Ohne die 2. Route auf dem openvpn Server läuft es nicht face-sad

Das Tutorial passt leider nicht ganz zu meinem Netzwerk. Der VPN Tunnel wird HINTER meinem Router terminiert. Die Fritzbox läuft nicht als zentrales Gateway.