Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Openvpn Routing Problem

Mitglied: Luciver1981

Luciver1981 (Level 1) - Jetzt verbinden

16.11.2015, aktualisiert 09:27 Uhr, 955 Aufrufe, 6 Kommentare

Hallo und guten Morgen,

ich habe ein Problem mit dem Routing von meinen Openvpn Site to Site.

Haupstandort:
Server Debian in VM
lokales Netzwerk 192.168.0.0/24

Server Config
01.
server 10.10.10.0 255.255.255.0
02.
port 55603
03.
  proto udp
04.
  dev tun
05.
  client-to-client
06.
  float
07.
  ca /etc/openvpn/easy-rsa2/keys/ca.crt
08.
  dh /etc/openvpn/easy-rsa2/keys/dh2048.pem
09.
  cert /etc/openvpn/easy-rsa2/keys/VPN_SERVER.crt
10.
  key /etc/openvpn/easy-rsa2/keys/VPN_SERVER.key
11.
  tls-auth /etc/openvpn/easy-rsa2/keys/ta.key 0
12.
#route 172.17.0.0 255.255.0.0
13.
#push "route 10.10.10.0 255.255.255.0"
14.
push "route 192.168.0.0 255.255.255.0"
15.
  push "route 172.17.0.0 255.255.0.0"
16.
  log-append /etc/openvpn/openvpn2.log
17.
  push "dhcp-option DNS 192.168.0.7"
18.
  cipher AES-256-CBC
19.
  resolv-retry infinite
20.
  persist-key
21.
  persist-tun
22.
  keepalive 10 120
23.
  comp-lzo
24.
  verb 3  
25.
status openvpn-status.log
Aussenstelle
Pfsense
lokales Netzerk ziwschen Router und PFSense 192.168.2.0/24
lokales Netwerk für Clients (hinter Pfsense) 172.17.0.0/24

01.
client
02.
dev tun
03.

04.
proto udp
05.
remote server 55603
06.
resolv-retry infinite
07.
nobind
08.
persist-key
09.
persist-tun
10.
ca CA.crt
11.
cert client.crt
12.
key client.key
13.
;ns-cert-type server
14.
tls-auth ta.key 1 
15.
cipher AES-256-CBC 
16.
comp-lzo
17.
verb 3
PFsense Config:
remote Netzwerk 192.168.0.0/24

Ich kann vom Client bis zur eth0 192.168.0.140 des Servers pingen aber nur diese Adresse, der Rest des Netzwerkes ist vom Client aus nicht erreichbar, jemand eine Idee?

Gruß Luciver
Mitglied: djfflow
16.11.2015 um 10:25 Uhr
Hallo,

sind denn am Hauptstandort die Routen für die Aussenstelle am Router eingetragen? Kennen also die Geräte am Hauptstandort die Route zur Aussenstelle?
Bitte warten ..
Mitglied: Luciver1981
16.11.2015 um 12:22 Uhr
Ja denke schon

1. Route 10.10.10.0/24 (Transfernetz) GW 192.168.0.140(VPN Server)
2. Route 172.17.0.0/24(LAN Aussenstelle)GW 192.168.0.140(VPN Server)
Bitte warten ..
Mitglied: aqui
16.11.2015 um 12:27 Uhr
der Rest des Netzwerkes ist vom Client aus nicht erreichbar, jemand eine Idee?
Welches Default Gateway hat denn dieser "Rest" konfiguriert ??
Ist das evtl. ein Router im Netzwerk wo auch der Server steht. ? Wenn ja ist es dann klar, das es nicht klappt, denn die Clients kommen ja mit einer anderen Absender IP (192.168.0.0 /24) an diesen Geräten an.
Rückpakete gehen dann dirkt auf den Router der als Default Gateway dort konfiguriert ist und hat dieser keine spezifische Route eingetragen auf den OVPN Server, der ja Gateway in dieses Netz ist), dann gehen diese Pakete zum Provider und damit ins Nirwana !
Du musst also eine statische Route ins 192.168.0.0er Netz auf diesem Router eintragen, die als next Hop Gateway IP die lokale IP des OVPN Servers hat.
Traceroute oder Pathping ist hier wie immer dein bester Freund das zu troubleshooten !!!
Ist der OVPN Server und der Router ein und dasselbe Gerät also z.B. eine pfSense FW, dann hast du vermutlich falsche FW Regeln auf dem OVPN Virtual Interface installiert die den Zugriff blocken. Ping ist das ICMP protokoll, was du explizit freigeben musst um pingen zu können !
Weitere Details erklärt dir das hiesige Tutorial:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
Bitte warten ..
Mitglied: Luciver1981
16.11.2015, aktualisiert um 13:26 Uhr
Also der Standart Gateway für das Haupstandort Netz ist 192.168.0.250, dieses hat auch der eth0 Anschluss des OpenVPN Server, also ja es ist ein Router in dem Netzwerk in dem der Openvpn Server steht. Nein der Server ist ein anderes Gerät als der Router.
Wie ich soll in den Router eine Route eintragen für das 192.168.0.0er Netz? der Router ist doch für das Netzwerk zuständig?
Ich sehe den Weg wie folgt
LAN-Client 172.17.0.0 GW 172.17.1 -> Openvpn Tunnel 10.10.10.6 GW 10.10.10.1 ->10.10.10.1 GW 192.168.0.140(VPN SERVER) -> VPN Server GW eth0 192.168.0.140 GW 192.168.0.250

Oder denke ich da Falsch?
Bitte warten ..
Mitglied: Luciver1981
17.11.2015 um 09:13 Uhr
Hat einer eine Idee?
Bitte warten ..
Mitglied: aqui
17.11.2015, aktualisiert um 09:34 Uhr
Also der Standart Gateway für das Haupstandort Netz ist 192.168.0.250, dieses hat auch der eth0 Anschluss des OpenVPN Server,
OK, damit hält der Server ja dann dein OpenVPN Netz 10.10.10.0 /24
Auf diesem zentralen Router mit der 192.168.0.250er IP müssen dann zwingend zwei statische Routen eingetragen sein:
  • Zielnetz: 172.17.0.0 Maske: 255.255.255.0 Gateway: <OVPN-Server IP eth0>
  • Zielnetz: 192.168.2.0 Maske: 255.255.255.0 Gateway: <OVPN-Server IP eth0>
Hast du diese Konfiguriert ??
Und.... hast du das virtuelle OVPN Interface der pfSense so konfiguriert das diese beiden IP Netze passieren dürfen ?
Nochmal nachgefragt:
lokales Netzerk ziwschen Router und PFSense 192.168.2.0/24
Das bedeutet das der Router VOR der pfSense zwingend ein Port Forwarding für UDP 1194 konfiguriert haben muss um die VPN Pakete über dessen NAT Firewall an die pfSense forzuwarden !
Ist das entsprechend konfiguriert ? Vermutlich aber wohl ja, da du ja selber schreibst das der Tunnel sauber aufgebaut wird und wenigstens die pfSensen sich untereinander pingen können.

Ein weiterer gravierender Fehler ist da noch !!!
Du schreibst oben:
lokales Netwerk für Clients (hinter Pfsense) 172.17.0.0/24
In der Server Konfig steht dann aber push "route 172.17.0.0 255.255.0.0" ??!!
2 gravierende Fehler hier:
  • Oben gibst du eine /24 Maske des Client Netzes an, das Push Kommando ist aber mit einer /16 Maske definiert ! Das kann so natürlich nicht funktionieren
  • Abgesehen davon ist noch viel schlimmer das das ja das IP Netz auf der Client Seite ist, wenn man deine Ausführungen oben richtig deutet. Du aber propagierst dieses IP Netz von der Server ! Seite, sagst also dem Client mit dem push route Kommando das das IP Netz auf Server Seite erreichbar ist.
Das führt natürlich zu einem fatalen Routing Problem, denn der der Client sieht das 172er Netz ja nun doppelt. Als lokales Netz und es wird ihm zusätzlich noch als Route über den VPN Tunnel bekannt gemacht.
Wenn, dann musst du mit dem ip route Kommando in der Client Konfig der Server Seite sagen das HIER das 172er Netz ist !!! So wird dann ein Schuh draus !
Das push route Kommando des 172er Netzes auf der Server Seite ist also grundlegend falsch und sollte zwingend entfernt werden und mit dem ip route Kommando auf der Client Seite ersetzt werden.
Sieh unter Diagnosis im pfSense Menü immer in die Routing Tabelle !!! Dort sollten die Zielnetze immer über die richtigen Interfaces anounced werden. Das kannst du da immer sauber prüfen !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
OpenVPN Routing
gelöst Frage von sebastian2608Router & Routing2 Kommentare

Seid gegrüßt, würde gerne mal euren Input zu einem OpenVPN Routing "Problem" hören. Zur Situation: Privates Netzwerk; 10.0.0.0/24 Firmennetzwerk ...

Router & Routing
OpenVPN Routing Probleme
gelöst Frage von achim222Router & Routing7 Kommentare

Hallo, ich möchte gerne das Netzwerk hinter einem Client erreichen. Der Client verbindet sich per OpenVPN mit einem Windowsserver, ...

Router & Routing
OpenVPN Installation Routing Problem
Frage von intaneRouter & Routing48 Kommentare

Huhu, ich habe Schwierigkeiten bei der Installation von OpenVPN auf einen Win10 Rechner. Auf dem Rechner ist eine Software ...

Router & Routing
OpenVPN Routing - zwei Interfaces
gelöst Frage von Steffen.MRouter & Routing1 Kommentar

Hallo Leute, ich habe ein Problem. Ich nutze Ubuntu testweise als VPN Gateway. ens38 hängt am Router. Darüber wird ...

Neue Wissensbeiträge
Administrator.de Feedback
Entwicklertagebuch: Die nächste Version
Information von admtech vor 11 StundenAdministrator.de Feedback4 Kommentare

Hallo Administrator User, vielleicht haben es einige User schon mitbekommen: Wir arbeiten aktuell an einer komplett neuen Version von ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 4 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 4 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 4 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Heiß diskutierte Inhalte
Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

DNS
DNS Probleme nach Umstellung auf IPv6
Frage von thunderbird304DNS16 Kommentare

Hi Leute! Folgende Problematik: Umstieg von Glasfaser auf Telekom Buisiness DSL. Durch die Umstellung ist die FritzBox nun Gateway. ...

Netzwerkgrundlagen
Zukunftsicheres Heimnetzwerk aufbauen
Frage von CRO-WarriorNetzwerkgrundlagen15 Kommentare

Hallo Leute. Ich bin dabei das Haus in Kroatien zu renovieren. Da hab ich jetzt die Möglichkeit alles so ...

Speicherkarten
Multi USB Stick erstellen
Frage von Ghost108Speicherkarten15 Kommentare

Guten Morgen zusammen, ich würde gerne einen Multi USB Stick erstellen (bootmöglichkeit mehrer ISOs), welcher sowohl Legacy als auch ...