Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Probleme beim Routing

Mitglied: Xoroles

Xoroles (Level 1) - Jetzt verbinden

20.09.2013, aktualisiert 21.09.2013, 2091 Aufrufe, 6 Kommentare

Hallo zusammen,

bei einem Kunden habe ich das folgende Szenario, dieses hat bisher auch weites gehend Funktioniert.

Haupt Standort: IP Netz 192.168.1.0 Läuft OpenVPN als Server (ehemaliger Haus Router TP-Link R460) neuer Haus Router TP-Link TL-WR1043N
Zweigstelle 1: IP Netz 192.168.20.0 Läuft OpenVPN als Client, Haus Router TP-Link R460
Büro (anderer Standort) 192.168.0.0 Läuft OpenVPN als Client (FritzBox Cable)

VPN Tunnel Netz: 192.168.200.0

an keinem Standort ist open VPN direkt auf einem Rechner Installiert, welcher mit dem Internet verbunden ist. Der Hausrouter, routet entsprechend
1194 an den Rechner mit dem Server weiter.
Verbindungsaufbau und so klappt auch alles, bzw früher gab es nur das Problem, dass Zweigstelle 1 nicht Büro anpingen konnte und umgekehrt. Das war
aber zu diesem Zeitpunkt kein MustHave sondern wäre nur NiceToHave.

Vor kurzem wurde dann am Hauptstandort der Router ausgetauscht, der neue Router wurde aber mit den gleichen Statischen Routen ausgestattet wie vorher auch.
Jedoch gibt es seit dem das Problem, dass die Zweigstellen nur noch den Rechner mit dem OpenVPN Server erreichen können, und den Router in der Hauptstelle, alle anderen Rechner in dem Netz sind nicht Pingbar. Egal ob ich es von einem Client innerhalb des Netzes versuche, oder direkt von der Maschine, auf dem der OpenVPN Client läuft, bei allem das gleiche ergebnis.

Folgene Routen sind vorhanden
Zweigstelle 1 : 192.168.20.0 Netz OpenVPN Client 192.168.20.11
Aktive Routen:
01.
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
02.
          0.0.0.0          0.0.0.0     192.168.20.1    192.168.20.11    266
03.
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
04.
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
05.
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
06.
      192.168.0.0    255.255.255.0   192.168.200.10    192.168.200.9     31
07.
      192.168.1.0    255.255.255.0   192.168.200.10    192.168.200.9     31
08.
     192.168.20.0    255.255.255.0   Auf Verbindung     192.168.20.11    266
09.
    192.168.20.11  255.255.255.255   Auf Verbindung     192.168.20.11    266
10.
   192.168.20.255  255.255.255.255   Auf Verbindung     192.168.20.11    266
11.
    192.168.200.0    255.255.255.0   192.168.200.10    192.168.200.9     31
12.
    192.168.200.8  255.255.255.252   Auf Verbindung     192.168.200.9    286
13.
    192.168.200.9  255.255.255.255   Auf Verbindung     192.168.200.9    286
14.
   192.168.200.11  255.255.255.255   Auf Verbindung     192.168.200.9    286
15.
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
16.
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.20.11    266
17.
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.200.9    286
18.
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
19.
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.20.11    266
20.
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.200.9    286	
Die Routen am Router in der Zweigstelle sind wie folgt:
01.
1	 192.168.200.0	 255.255.255.0	 192.168.20.11	 Enabled
02.
2	 192.168.1.0	 255.255.255.0	 192.168.20.11	 Enabled	
03.
3	 192.168.0.0	 255.255.255.0	 192.168.20.11	 Enabled	
openvpn Config
01.
client
02.
dev tun
03.
 
04.
proto udp
05.
remote xx.xx.xx.xxx 1194
06.
resolv-retry infinite
07.
route-delay 2
08.
route-method exe
09.
nobind
10.
persist-key
11.
persist-tun
12.
 
13.
ca "C:\\Program Files (x86)\\OpenVPN\\config\\ca.crt"
14.
cert "C:\\Program Files (x86)\\OpenVPN\\config\\rd.crt"
15.
key "C:\\Program Files (x86)\\OpenVPN\\config\\rd.key"
16.
 
17.
comp-lzo
18.
verb 3
Wie man sehen kann Windows Client, leider noch kein Linux Maschine vorhanden ;)

Standort 2 Büro

OpenVPN Client
01.
192.168.200.5   *               255.255.255.255 UH    0      0        0 tun0
02.
192.168.20.0    192.168.200.5   255.255.255.0   UG    0      0        0 tun0
03.
192.168.1.0     192.168.200.5   255.255.255.0   UG    0      0        0 tun0
04.
localnet        *               255.255.255.0   U     0      0        0 eth0
05.
192.168.200.0   192.168.200.5   255.255.255.0   UG    0      0        0 tun0
06.
default         fritz.box       0.0.0.0         UG    0      0        0 eth0
FritzBox
01.
	192.168.1.0	255.255.255.0	192.168.0.18		
02.
	192.168.200.0	255.255.255.0	192.168.0.18		
03.
	192.168.20.0	255.255.255.0	192.168.0.18		
04.
	192.168.30.0	255.255.255.0	192.168.0.18
und die Config

01.
client
02.
dev tun
03.
proto udp
04.
remote xxxx.de 1194
05.
 
06.
resolv-retry infinite
07.
 
08.
nobind
09.
 
10.
user nobody
11.
group nogroup
12.
 
13.
persist-key
14.
persist-tun
15.
 
16.
ca ...
17.
cert ...
18.
key ...
19.
 
20.
ns-cert-type server
21.
 
22.
com-lzo
23.
verb 4
24.
 
25.
daemon
Hauptstelle
01.
192.168.200.2   *               255.255.255.255 UH    0      0        0 tun0
02.
192.168.20.0    192.168.200.2   255.255.255.0   UG    0      0        0 tun0
03.
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
04.
192.168.0.0     192.168.200.2   255.255.255.0   UG    0      0        0 tun0
05.
192.168.200.0   192.168.200.2   255.255.255.0   UG    0      0        0 tun0
06.
192.168.30.0    192.168.200.2   255.255.255.0   UG    0      0        0 tun0
07.
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
08.
 
Router:
01.
1       192.168.200.0	 255.255.255.0	 192.168.1.4	Enabled	
02.
2	 192.168.0.0	 255.255.255.0	 192.168.1.4	Enabled	
03.
3	 192.168.20.0	 255.255.255.0  	 192.168.1.4	Enabled
Config:
01.
local 192.168.1.4
02.
port 1194
03.
proto udp
04.
dev tun0
05.
ca ./easy-rsa2/keys/ca.crt
06.
cert ./easy-rsa2/keys/server.crt
07.
key ./easy-rsa2/keys/server.key
08.
dh ./easy-rsa2/keys/dh1024.pem
09.
server 192.168.200.0 255.255.255.0
10.
ifconfig-pool-persist ipp.txt
11.
 
12.
push "route 192.168.1.0 255.255.255.0"
13.
push "route 192.168.0.0 255.255.255.0"
14.
push "route 192.168.20.0 255.255.255.0"
15.
push "iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE"
16.
 
17.
client-config-dir ccd
18.
route 192.168.0.0 255.255.255.0 # Büro
19.
route 192.168.20.0 255.255.255.0 # Zweigstelle 1
20.
;route 192.168.30.0 255.255.255.0 # Für die Zukunft
21.
 
22.
 
23.
client-to-client
24.
duplicate-cn
25.
keepalive 10 120
26.
comp-lzo
27.
user openvpn
28.
group openvpn
29.
persist-key
30.
persist-tun
31.
status /var/log/openvpn-status.log
32.
log         openvpn.log
33.
verb 5
So das sollten alle Daten sein, wie gesagt das Problem kamm erst als der Router in der Hauptstelle ausgetauscht wurde, dieser ist auch nur ein Vorübergehender, da der alte keine Bandbreite mehr durch lies, und den Ping Hoch trieb.

Liebe Grüße

Xoroles

P.S.
Ein beispiel Routert von Büro auf drei systeme im Hauptsitz
Fall 1: Router Hauptsitz Erfolreich
01.
1    <1 ms    <1 ms     1 ms  fritz.box [192.168.0.13]
02.
2    <1 ms    <1 ms     1 ms  Telefonanlage.fritz.box [192.168.0.18]
03.
3    16 ms    16 ms    17 ms  PBX [192.168.200.1]
04.
4    16 ms    15 ms    17 ms  192.168.1.1
Fall 2: OpenVPN Server
01.
1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.0.13]
02.
2     2 ms     1 ms    <1 ms  Telefonanlage.fritz.box [192.168.0.18]
03.
3    17 ms    18 ms    17 ms  PBX [192.168.1.4]
Fall 3: Windows Server
01.
1    <1 ms    <1 ms     1 ms  fritz.box [192.168.0.13]
02.
2    <1 ms    <1 ms    <1 ms  Telefonanlage.fritz.box [192.168.0.18]
03.
3    17 ms    17 ms    17 ms  PBX [192.168.200.1]
04.
4     *        *        *     Zeitüberschreitung der Anforderung.
05.
5     *        *        *     Zeitüberschreitung der Anforderung.
usw...

Genauso sieht es natürlich von Zweigstelle 1 aus

Anbei noch ein tracert von Büro zu Zweigstelle 1
01.
   1 ms     1 ms    <1 ms  fritz.box [192.168.0.13]
02.
   1 ms    <1 ms     1 ms  Telefonanlage.fritz.box [192.168.0.18]
03.
   *        *        *     Zeitüberschreitung der Anforderung.
04.
 577 ms   457 ms   639 ms  SERV-0004 [192.168.20.11]
Dieser funktioniert neuer Dings, das war früher nicht der fall.
Wie bereits erwähnt, ausser der Austausch des Routers wurde nichts verändert.

Danke
Mitglied: 108012
20.09.2013 um 22:55 Uhr
Hallo,

Haupt Standort: IP Netz 192.168.1.0 Läuft OpenVPN als Server (ehemaliger Haus Router TP-Link R460) neuer Haus Router TP-Link TL-WR1043N
Ich gehe einmal davon aus dass sich auf diesen Routern DD-WRT installiert wurde, ist das richtig?

Zweigstelle 1: IP Netz 192.168.20.0 Läuft OpenVPN als Client, Haus Router TP-Link R460
Hier wird wohl auch DD-WRT auf dem Router installiert sein, ist das richtig?

Büro (anderer Standort) 192.168.0.0 Läuft OpenVPN als Client (FritzBox Cable)
Und wo bitte ist hier der OpenVPN Klient drauf installiert oder das DD-WRT oder was auch immer,
doch wohl eher weniger auf der Fritz!Box Cable, oder?

Denn sonst wäre die Aussage im nächsten Satz leider nicht richtig!
an keinem Standort ist open VPN direkt auf einem Rechner Installiert, welcher mit dem Internet verbunden ist.
Also wo ist denn nun hier der OpenVPN Klient installiert? Etwa doch auf einem Rechner bzw. PC der hinter einem
SPI/NAT Router sitzt?

Der Hausrouter, routet entsprechend 1194 an den Rechner mit dem Server weiter.
Mittels einer Portweiterleitung an den Port 1194 meinst Du damit sicherlich, oder?

Verbindungsaufbau und so klappt auch alles, bzw früher gab es nur das Problem, dass Zweigstelle 1 nicht Büro
anpingen konnte und umgekehrt. Das war aber zu diesem Zeitpunkt kein MustHave sondern wäre nur NiceToHave.

In der Regel sieht es doch wohl aber eher so aus, dass man wenn man zwischen zwei Routern eine VPN Verbindung
aufgebaut hat, dann das dahinter liegende Netzwerk voll und ganz angesprochen bzw. erreicht werden kann.

Ich persönlich denke das Ihr den einen Router ausgetauscht habt und dann sich natürlich auch die MAC Adresse des
WAN Ports bzw. WAN Interfaces geändert hat und es nun zu Problemen kommt, weil irgend wo IP / MAC Bindungen
(IP/MAC Bindings) noch vorhanden sind! Kann das sein?

Gruß
Dobby

P.S.
1. Bitte sage nicht immer Haus Router denn das ihr die Dinger nicht im Straßengraben aufgestellt habt ist doch wohl klar.
2. Bitte benutze die Code Tags hier im Forum das ließt sich besser und bleibt auch alles in Reihe und Glied.

< code > Hier steht Dein Code drin geschrieben </code>
Hinweis
Die ersten beiden Pfeilzeichen müssen dann nur noch wieder an das Wort code herangerückt werden dann sieht es so aus:
01.
Hier steht Dein Code drin geschrieben
Bitte warten ..
Mitglied: Xoroles
21.09.2013 um 08:49 Uhr
Hallo D.o.o.b.y

Alle OpenVPN Installationen sind auf normalen Computern Installiert 2x Debian Installation 1x Win2k8R2, die Router laufen alle mit Standard Firmware und stellen nur die Verbindung zwischen WAN-LAN her.
Und haben entsprechend am Hauptstandort eine Portweiterleitung für 1194 eingerichtet.

Liebe Grüße

Marc
Bitte warten ..
Mitglied: orcape
22.09.2013 um 07:43 Uhr
Hi Xoroles,

was mir bei Deiner Serverconfig fehlt, ist ein iroute Befehl auf das oder die remoten Netze.
Hat bei mir zumindest dazu geführt, das ich zwar die Tunnel-IP des Clienten erreichen konnte, aber nicht das remote Netz.
Solltest Du hier mal mit einfügen...
client-config-dir ccd
route 192.168.0.0 255.255.255.0 # Büro
route 192.168.20.0 255.255.255.0 # Zweigstelle 1
;route 192.168.30.0 255.255.255.0 # Für die Zukunft
Wobei das von @108012 erwähnte....
Ich persönlich denke das Ihr den einen Router ausgetauscht habt und dann sich natürlich auch die MAC Adresse des
WAN Ports bzw. WAN Interfaces geändert hat und es nun zu Problemen kommt, weil irgend wo IP / MAC Bindungen
(IP/MAC Bindings) noch vorhanden sind! Kann das sein?
wohl auch eine Möglichkeit wäre.

Gruß orcape
Bitte warten ..
Mitglied: aqui
22.09.2013 um 12:05 Uhr
Richtig, denn die Push Route Kommandos oben sind Unsinn, denn der Server kann ja niemals Routen "pushen" die nicht an ihm direkt angeschlossen sind.
Das VPN Routing ist so totaler Murks und auch absehbar das es so nicht funktionieren kann.
Orcapes Lösung sollte das fixen.
Tip: Traceroute (tracert) und Pathping) sind bei sowas immer deine besten Freunde. Da wo es kneift, also kein Next Hop angezeigt werden ist auch meist das Routing Problem !
Bitte warten ..
Mitglied: 108012
22.09.2013 um 14:30 Uhr
.....an keinem Standort ist open VPN direkt auf einem Rechner Installiert, welcher.......

Alle OpenVPN Installationen sind auf normalen Computern Installiert 2x Debian Installation 1x Win2k8R2, die Router laufen alle mit Standard Firmware und stellen nur die Verbindung zwischen WAN-LAN her.

Irgend wie passen doch die beiden Aussagen gar nicht zusammen, oder täusche ich mich jetzt!?
Das hat mich zuerst und persönlich eben ein wenig verwirrt!

Gruß
Dobby
Bitte warten ..
Mitglied: Xoroles
22.09.2013 um 18:15 Uhr
Hallo,

die aussage ist leicht Irreführend,

sollte nur bedeuten, dass keine Maschine auf dem OpenVPN installiert ist direkt mit dem Internet verbunden ist, sondern jeweils hinter dem Router sind.

Ich danke für die Hilfe, die Geschäftsleitung hat aber gestern einen anderen Router genehmigt, und seit dem dieser Installiert ist, hat sich das Problem wieder in Luft aufgelöst.

Auch dieses mal Ohne eine Konfiguration anzufassen. Jetzt funktioniert alles wie es sein soll. Alle Standorte können sich gegenseitig erreichen. Es erklärt zwar noch nicht, woran der Fehler genau liegt aber es läuft.

das pushen der Routen war damals ein nötiger schritt, ohne klappte es nicht, gut möglich das nun natürlich einige Einstellungen Überflüssig sind, oder auch zu Fehlern führen könnten. Es funktioniert aber.

Folgendes hab ich noch gefunden im Verzeichnis ccd liegen auch noch Konfigurationen

für Zweigstelle
01.
iroute 192.168.20.0 255.255.255.0
02.
ifconfig-push 192.168.200.9 192.168.200.10
Für Büro
01.
iroute 192.168.0.0 255.255.255.0
Natürlich genau so bezeichnet, wie die Zertifikate auf der anderen Seite lauten.

Gruß

Xoroles
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Openvpn Routing Problem
Frage von Luciver1981Router & Routing6 Kommentare

Hallo und guten Morgen, ich habe ein Problem mit dem Routing von meinen Openvpn Site to Site. Haupstandort: Server ...

Router & Routing
OpenVPN Installation Routing Problem
Frage von intaneRouter & Routing48 Kommentare

Huhu, ich habe Schwierigkeiten bei der Installation von OpenVPN auf einen Win10 Rechner. Auf dem Rechner ist eine Software ...

Router & Routing
OpenVPN Routing
gelöst Frage von sebastian2608Router & Routing2 Kommentare

Seid gegrüßt, würde gerne mal euren Input zu einem OpenVPN Routing "Problem" hören. Zur Situation: Privates Netzwerk; 10.0.0.0/24 Firmennetzwerk ...

Router & Routing
OpenVPN Routing Probleme
gelöst Frage von achim222Router & Routing7 Kommentare

Hallo, ich möchte gerne das Netzwerk hinter einem Client erreichen. Der Client verbindet sich per OpenVPN mit einem Windowsserver, ...

Neue Wissensbeiträge
iOS
WatchChat für Whatsapp
Tipp von Criemo vor 1 TagiOS3 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor !!!
Tipp von Criemo vor 2 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Off Topic
Avengers 4: Endgame - Erster Trailer
Information von Frank vor 4 TagenOff Topic2 Kommentare

Ich weiß es ist Off Topic, aber ich freue mich auf diesen Film und vielleicht geht es anderen hier ...

Webbrowser
Microsoft bestätigt Edge mit Chromium-Kern
Information von Frank vor 4 TagenWebbrowser5 Kommentare

Microsoft hat nun in seinem Blog bestätigt, dass die nächste Edge Version kein EdgeHTML mehr für die Darstellung benutzen ...

Heiß diskutierte Inhalte
Windows Netzwerk
Kerio. Kann keine Mails empfangen aber senden. Wer ist schuld. Kerio oder Windows domäne?
gelöst Frage von frosch2Windows Netzwerk33 Kommentare

Hallo, es existiert ein Problem bei uns mit dem mailen. Alle bestehenden Nutzer können mailen. Raus wie rein. Neuen ...

LAN, WAN, Wireless
WLAN und Ausmessung - Eine Glaubensfrage?
Frage von ptr2brainLAN, WAN, Wireless23 Kommentare

Liebe Experten, als Sys-Admin habe ich mir schon öfter die Frage gestellt, ob es sich beim Thema WLAN und ...

Hosting & Housing
VMware VM mit über 1TB RAM für S4HANA
Frage von Leo-leHosting & Housing22 Kommentare

Hallo zusammen, wer hat Erfahrng und kann mir einen Tipp zum sizing von S4HANA Systemen geben? Wir möchten, zunächst ...

Virtualisierung
Gebrauchte Server Hardware als Virtualisierungs-"Spielwiese"?
Frage von NixVerstehenVirtualisierung19 Kommentare

Einen wunderschönen guten Morgen zusammen, ich möchte mich gerne etwas tiefer mit dem Thema Virtualisierung beschäftigen und dazu ein ...