OpenVpn - Ping geht - RDP Nicht - Firewallproblem ?
Hallo,
Ich bin langsam am verrücktwerden mit dem Openvpn.
Erstmal meine Netzwerkkonfig.
WAN <---> Bintec R1200 (Router) <-----> Cisco 2950 (Switch) <------> PC (RDP Server 192.168.1.10)
|.|.'---------> Laptop (RDP Client 192.168.1.18)
|.'-----------> Fritzbox (REINER Openvpn Server (192.168.1.252)
'-------------> Bintec VPN Acces 25 (192.168.1.254)
Der OpenVpn Server vergibt die Adresse 10.8.0.6 an den Client.
Im Router hab ich die Route NET 10.8.0.0 / 255.255.255.0 gw 192.168.1.252
Mit meinem Android Handy kann ich ohne Probleme eine Openvpn Verbindung zur Fritzbox aufbauen und kann alle Teilnehmer im Lan anpingen. Das Internet läuft auch problemlos über den VPN Tunnel.(Somit bin ich T-com´s Pop3 Sperre schonmal los ^^)
Nur kann ich keine RDP Verbindung zum PC (192.168.1.10) aufbauen. Ich kann auch nur die Konfig Webseite des Routers 192.168.1.1 öffnen. Die Konfig Seite vom VPN Aces 25 (192.168.1.254) kann ich nicht öffen. Kann aber alle Geräte anpingen.
Wenn ich jetzt im Router (192.168.1.1) die Firewall komplett abschalte, dann kann ich die RDP Verbindung aufbauen.Und auch die Konfig Seite des VPN Access 25 erreichen.
Mich wundert aber, warum sich die Firewall im Router überhaupt auf meine RDP Verbindung auswirkt. Der Tunnelendpunkt liegt ja auf der Fritzbox. Diese hängt am Switch und da hängt auch der RDP Server (192.168.1.10) dran. Also gehen die RDP Packets gar nicht mehr durch den Router. Das einzigste was durch den Router geht, ist der Verschlüsselte Tunnel ( Ich habe den Tunnel über TCP 443 laufen, weil der Port mit grösster Wahrscheinlichkeit nirgends geblockt wird und weniger auffällt als ein Tunnel auf Port 80).
Mit dem Laptop (192.168.1.18) geht Rdp innerhalb meines Netzwerkes ohne Probleme, egal ob die FW im Router an oder aus ist.
Kann mir da jemand weiterhelfen ?
Am Routing kanns nicht liegen, weil ich ja alles anpingen kann und bei abgeschalteter Firewall gehts ja auch.
Im Syslog vom Router taucht keine Meldung auf, dass die FW was blockt.
lg
Chris
Ich bin langsam am verrücktwerden mit dem Openvpn.
Erstmal meine Netzwerkkonfig.
WAN <---> Bintec R1200 (Router) <-----> Cisco 2950 (Switch) <------> PC (RDP Server 192.168.1.10)
|.|.'---------> Laptop (RDP Client 192.168.1.18)
|.'-----------> Fritzbox (REINER Openvpn Server (192.168.1.252)
'-------------> Bintec VPN Acces 25 (192.168.1.254)
Der OpenVpn Server vergibt die Adresse 10.8.0.6 an den Client.
Im Router hab ich die Route NET 10.8.0.0 / 255.255.255.0 gw 192.168.1.252
Mit meinem Android Handy kann ich ohne Probleme eine Openvpn Verbindung zur Fritzbox aufbauen und kann alle Teilnehmer im Lan anpingen. Das Internet läuft auch problemlos über den VPN Tunnel.(Somit bin ich T-com´s Pop3 Sperre schonmal los ^^)
Nur kann ich keine RDP Verbindung zum PC (192.168.1.10) aufbauen. Ich kann auch nur die Konfig Webseite des Routers 192.168.1.1 öffnen. Die Konfig Seite vom VPN Aces 25 (192.168.1.254) kann ich nicht öffen. Kann aber alle Geräte anpingen.
Wenn ich jetzt im Router (192.168.1.1) die Firewall komplett abschalte, dann kann ich die RDP Verbindung aufbauen.Und auch die Konfig Seite des VPN Access 25 erreichen.
Mich wundert aber, warum sich die Firewall im Router überhaupt auf meine RDP Verbindung auswirkt. Der Tunnelendpunkt liegt ja auf der Fritzbox. Diese hängt am Switch und da hängt auch der RDP Server (192.168.1.10) dran. Also gehen die RDP Packets gar nicht mehr durch den Router. Das einzigste was durch den Router geht, ist der Verschlüsselte Tunnel ( Ich habe den Tunnel über TCP 443 laufen, weil der Port mit grösster Wahrscheinlichkeit nirgends geblockt wird und weniger auffällt als ein Tunnel auf Port 80).
Mit dem Laptop (192.168.1.18) geht Rdp innerhalb meines Netzwerkes ohne Probleme, egal ob die FW im Router an oder aus ist.
Kann mir da jemand weiterhelfen ?
Am Routing kanns nicht liegen, weil ich ja alles anpingen kann und bei abgeschalteter Firewall gehts ja auch.
Im Syslog vom Router taucht keine Meldung auf, dass die FW was blockt.
lg
Chris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 147608
Url: https://administrator.de/contentid/147608
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
12 Kommentare
Neuester Kommentar
Also gehen die RDP Packets gar nicht mehr durch den Router.
Doch, gehen sie.
Dein VPN-AC kennt die beiden Subnetze 10.8.0.0/24 und 192.168.1.0/24
Wenn jetzt also 10.8.0.6 ein Paket an 192.168.1.10 schickt wirft der AC es einfach auf dem Interface raus - alles ok.
Wenn jetzt aber 192.168.1.10 antworten will (das selbst nur 192.168.1.0/24 kennt) weiß es nicht wohin mit dem Paket und schickt es damit eben zu seinem Default Gateway (192.168.1.1), damit der sich darum kümmert...
Dann hast du am RDP Server vermutlich ein anderes Gateway oder eine andere Route konfiguriert für das Zielnetz. Deshalb nimmt er einen anderen Router was logisch ist. Das müsstest du also mit dem route print Kommando mal checken.
Was deine FW anbetrifft bedenke das RDP TCP basierend ist es also auch Antwortpakete gibt. Die FW muss also zwingend auch eine Accessliste für den Rückweg haben. Vermutlich scheitert die RDP Verbindung deshalb.
Was deine FW anbetrifft bedenke das RDP TCP basierend ist es also auch Antwortpakete gibt. Die FW muss also zwingend auch eine Accessliste für den Rückweg haben. Vermutlich scheitert die RDP Verbindung deshalb.
Es ist möglich das die FW trotzdem noch ICMP Pakete filtert, da ICMP oft separat gehandhabt wird in FWs. Stelle also sicher das auch ICMPs durchlaufen, da diese für Rediects usw. schon sinnvoll sind. Ebenso solltest du beim RDP Server checken ob dort ICMPs insbesondere ICMP redirects erlaubt sind.
Das siehst du in den erweiterten Eigenschaften der FW mit Klick auf ICMP und dann den Haken bei "Umleiten zulassen" setzen !
Das siehst du in den erweiterten Eigenschaften der FW mit Klick auf ICMP und dann den Haken bei "Umleiten zulassen" setzen !
Auch das Problem liesse sich lösen wenn du die Routern richtig vergeben würdest und zwar am zentralen Router den die Clients im lokalen Netzwerk als Default Gateway haben !!
Dort müssen die statischen Routen auf das interne OpenVPN Netz eingetragen werden und fertig ist der Lack !
Dann verschwinden auch diese Fehler, die dir sagen das du immer noch inkorrekte Routen verwendest ! Ein typischer Fehler wenn man Routen direkt auf Endgeräten verwendet was immer kontraproduktiv ist !!
Dort müssen die statischen Routen auf das interne OpenVPN Netz eingetragen werden und fertig ist der Lack !
Dann verschwinden auch diese Fehler, die dir sagen das du immer noch inkorrekte Routen verwendest ! Ein typischer Fehler wenn man Routen direkt auf Endgeräten verwendet was immer kontraproduktiv ist !!
Eine Route muss dort gar nicht hin. In die Server Konfig Datei auf dem OpenVPN Server muss lediglich das Kommando:
push "route 192.168.1.0 255.255.255.0"
hinzugefügt werden, was das zentral erledigt ! Damit "lernt" der OpenVPN Client dann das lokale Netz. Ein route print am Client zeigt dir das auch !
Das folgende Tutorial beschreibt so ein Design im Detail und ist für dein Netzwerk identisch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
push "route 192.168.1.0 255.255.255.0"
hinzugefügt werden, was das zentral erledigt ! Damit "lernt" der OpenVPN Client dann das lokale Netz. Ein route print am Client zeigt dir das auch !
Das folgende Tutorial beschreibt so ein Design im Detail und ist für dein Netzwerk identisch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router