Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

OpenVPN Routingprobleme

Mitglied: enceee
Hallo Leute,

nach etlichen Versuchen und so manchen grauen Haaren, wende ich mich jetzt an euch. Ich habe mit OpenVPN erfolgreich eine Verbindung zwischen clients und dem server aufgebaut. Ich krieg es einfach nicht, die Routes so zu setzen, das ich auf das LAN hinter dem Server zugreifen kann. Ich habe glaub ich schon so ziemlich alles tuts durchgekämpft, die passen könnten. Ich find den Fehler einfach nicht. Ports auf Serverseite sind auf dem Router zum Server-PC geforwarded und eine statische Route ist ebenfalls vergeben (siehe unten).

Situation wie folgt:

LAN1 (ServerLAN)
IP-Bereich: 192.168.1.0/255.255.255.0 (alles statisch vergeben)
lokale IP Server: 192.168.1.180
VPN IP Server: 10.0.10.1/255.255.255.0
IP Router (Gateway): 192.168.1.1
WAN-IP und DNS des Routers sind statisch vergeben

LAN2
IP-Bereich: 192.168.34.0/255.255.255.0 (via DHCP)
VPN-Clients-Bereich: 10.0.10.0/255.255.255.0 (dynamisch vergeben, siehe server-conf)
IP Router (Gateway): 192.168.34.250
WAN-IP dynamisch über ISP


SERVER-Config
mode server
tls-server
proto udp
port 1194
dev tap
dev-node XXXXX
dh "PFAD"\dh1024.pem
ca "PFAD"\ca.crt
key "PFAD"\server.key
cert "PFAD"\server.crt
ifconfig 10.0.10.1 255.255.255.0
ifconfig-pool 10.0.10.2 10.0.10.10
client-to-client
float
push "route 192.168.1.0 255.255.255.0"
push "route-gateway 10.0.10.1"
tun-mtu 1500
tun-mtu-extra 32
max-clients 6
verb 3
mute 50
keep-alive 10 60
ping-timer-rem
persist-key
persist-tun

CLIENT-Config
remote WWW.XXX.YYY.ZZZ
port 1194
dev tap
dev-node XXXXX
tls-client
ca "PFAD"\ca.crt
key "PFAD"\client.key
cert "PFAD"\client.crt
ns-cert-type server
pull
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun

Die statische Route auf dem Router der Serverseite sieht so aus
Destination IP-Adress: 10.0.10.0
IP Subnet Mask: 255.255.255.0
Gateway IP-Adress: 192.168.1.180


Folgend die Routing-tabelle der Clientseite (interessant ist die schnittstelle des vorletzten eintraese der aktiven routen)

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.34.250 192.168.34.150 25
10.0.10.0 255.255.255.0 10.0.10.2 10.0.10.2 30
10.0.10.2 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.10.2 10.0.10.2 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 192.168.34.150 192.168.34.150 30
192.168.1.0 255.255.255.0 10.0.10.1 10.0.10.2 1
192.168.34.0 255.255.255.0 192.168.34.150 192.168.34.150 25
192.168.34.150 255.255.255.255 127.0.0.1 127.0.0.1 25
192.168.34.255 255.255.255.255 192.168.34.150 192.168.34.150 25
224.0.0.0 240.0.0.0 10.0.10.2 10.0.10.2 30
224.0.0.0 240.0.0.0 192.168.34.150 192.168.34.150 25
255.255.255.255 255.255.255.255 10.0.10.2 10.0.10.2 1
255.255.255.255 255.255.255.255 192.168.34.150 b0004 1
255.255.255.255 255.255.255.255 192.168.34.150 192.168.34.150 1
Standardgateway: 192.168.34.250
Ständige Routen:
Keine





Ich hoffe Ihr könnt mir helfen und meinen Fehler finden. Würde die ganze Sache gerne mal zum Abschluss bringen.

Gruss
enceee

Content-Key: 160177

Url: https://administrator.de/contentid/160177

Ausgedruckt am: 02.08.2021 um 09:08 Uhr

Mitglied: aqui
aqui 04.02.2011, aktualisiert am 18.10.2012 um 18:45:45 Uhr
Goto Top
Dieses Tutorial hast du gelesen...??
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Das steht eigentlich alles um das auf Anhieb zum Fliegen zu bringen !
Die Konfig ist immer identisch, egal welche HW.
Mitglied: enceee
enceee 04.02.2011 um 23:02:06 Uhr
Goto Top
Router ist nicht DD-WRT-fähig.
Mitglied: MiniStrator
MiniStrator 05.02.2011 um 01:55:55 Uhr
Goto Top
Die statische Route auf dem Router der Serverseite sieht so aus
Destination IP-Adress: 10.0.10.0
IP Subnet Mask: 255.255.255.0
Gateway IP-Adress: 192.168.1.180

Hi,

fehlt da vielleicht ne Route 192.168.34.0/24 10.0.10.1?
kenn mich mit openVPN nicht wirklich aus, aber der Router sollte doch erfahren wo er Pakete an 192.168.34.0/24 hinschicken soll?

Ne Routing Tabelle vom Server wär gut und die Ausgabe eines tracert auf beiden Seiten

Gruß
MiniStrator
Mitglied: enceee
enceee 05.02.2011 um 06:59:45 Uhr
Goto Top
Hier die RT der Serverseite

Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.180 10
10.0.10.0 255.255.255.0 10.0.10.1 10.0.10.1 30
10.0.10.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.10.1 10.0.10.1 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.180 192.168.1.180 10
192.168.1.180 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.180 192.168.1.180 10
224.0.0.0 240.0.0.0 10.0.10.1 10.0.10.1 30
224.0.0.0 240.0.0.0 192.168.1.180 192.168.1.180 10
255.255.255.255 255.255.255.255 10.0.10.1 10.0.10.1 1
255.255.255.255 255.255.255.255 10.0.10.1 2 1
255.255.255.255 255.255.255.255 192.168.1.180 192.168.1.180 1
Default Gateway: 192.168.1.1
Persistent Routes:
None




fehlt da vielleicht ne Route 192.168.34.0/24 10.0.10.1?
kenn mich mit openVPN nicht wirklich aus, aber der Router sollte doch erfahren wo er Pakete an 192.168.34.0/24 hinschicken soll?


Meinst du den Route brauche ich? Im Prinzip soll er ja die Pakete an die Clients zurückschicken (10.0.10.0/10). Welche lokale IP die Clients haben ist doch erstmal egel, oder?

Ich habe die Vermutung, dass es mit dem statischen WAN-DNS auf der Serverseite zu tun hat. Ist das möglich?
Mitglied: broecker
broecker 05.02.2011 um 09:05:05 Uhr
Goto Top
fehlt da vielleicht ne Route 192.168.34.0/24 10.0.10.1?
genau!
und noch ein Hinweis, wenn man eh alles anfaßt, vielleicht sollte man 10. als Tunnel meiden, im Zusammenspiel mit UMTS-Adaptern wird häufig "als quasi öffentliche" ein bischen 10. vergeben und scheidet dann komplett (!!!) aus, ich habe gute Erfahrungen mit 172.16-31.x.x in dem Szenario gemacht.
Mitglied: enceee
enceee 05.02.2011 um 09:47:06 Uhr
Goto Top
das versteh ich nicht ganz. Also die o.a. Route soll auf der Serverseite eingerichtet werden? spielt denn die 192.168.34.0 Subnet überhaupt eine rolle? Das würde ja bedeuten, dass die Verbindung dann nur klappt, wenn ich in dem besagten Netzwerk LAN2 bin. Wenn ich jetzt von unterwegs auf das LAN1 zugreifen möchte, dann klappt das ja nicht mehr oder?
Mitglied: aqui
aqui 06.02.2011 um 13:56:44 Uhr
Goto Top
@enceee
.. ."Router ist nicht DD-WRT-fähig." = Diese Aussage ist völlig irrelevant ! Es spielt bei OpenVPN keinerlei Rolle ob das auf DD-WRT oder Debian, SuSE oder Mac OS-X oder was auch immer rennt. Das solltest du als OpenVPN Benutzer eigentlich ja mittlerweile wissen.
Relevant ist einzig die Konfig Datei.
Genau die ist explizit im o.a. Tutorial beschrieben. Wenn du dem also schritt für Schritt folgst und das entsprechend umsetzt wird das in wenigen Minuten genau so funktionieren wie du es willst !!
Das ist eine einfache und simple Standard Konfig !!
Mitglied: MiniStrator
MiniStrator 06.02.2011 um 15:44:46 Uhr
Goto Top
Hi,

DNS glaub ich nicht. Ausser du testest mit 'ping server1' oder sowas. Was geht denn eigentlich genau nicht? Sollte sich der Tunnnel aufbauen lassen, was gibt am Client ein tracert '192.168.1.180' aus?
Wenn du auf das LAN hinter dem VPN-Server zugreifen willst, was haben die für ein Standardgateway? Den Server oder den Router? Funktioniert auf diesen ein 'Ping 10.0.10.1' ?
Ist auf dem Server Routing überhaupt aktiviert?

Gruß
MiniStrator
Mitglied: enceee
enceee 07.02.2011 um 17:52:13 Uhr
Goto Top
also ping vom client auf 192.168.1.180 geht. Die Rechner im LAN hinter dem Server haben die 192.168.1.1 (Router) als Standardgateway. Der wiederum hat ne statische Route auf 192.168.1.180 für Anfragen des 10.0.10.0er Netzes. Ich kann auf keinen der REchner im LAn hinter dem Server zugreifen (kein Ping und auch kein Zugriff). Es befindet sich auch noch ein NAS hinter dem Server. Hab da mal die 192.168.1.180 als Standardgateway definiert. geht auch nicht. Hab dann beim NAS mal ne statische Route eingefügt. 10.0.10.0er Netz auf 192.168.1.180 leiten. Geht auch nicht. Hoffe euch fällt noch was ein.

tracert vom client aus ergibt:

Routenverfolgung zu 192.168.1.180 über maximal 30 Abschnitte

1 83 ms 55 ms 55 ms 192.168.1.180

Ablaufverfolgung beendet.
Mitglied: MiniStrator
MiniStrator 07.02.2011 um 18:09:50 Uhr
Goto Top
Hi!

Was hat auf dem Server in der Registry HKLM/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/IPEnableRouter für einen Wert?
Wenn 0 dann probier mal mit 1.

MiniStrator
Mitglied: enceee
enceee 07.02.2011 um 18:24:37 Uhr
Goto Top
Die Änderung bewirkt auch kein erfolgreiches Resultat.
Mitglied: MiniStrator
MiniStrator 07.02.2011 um 18:31:23 Uhr
Goto Top
Was sagt ein tracert 192.168.1.andererrechner vom Client?
Und ein tracert 10.0.10.1 von nem anderen Rechner im 192.168.1 Netz?
Mitglied: enceee
enceee 07.02.2011 um 19:36:38 Uhr
Goto Top
>Was sagt ein tracert 192.168.1.andererrechner vom Client?

C:\>tracert 192.168.1.254

Routenverfolgung zu 192.168.1.254 über maximal 30 Abschnitte

1 85 ms 56 ms 55 ms 10.0.10.1
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.

usw.

>Und ein tracert 10.0.10.1 von nem anderen Rechner im 192.168.1 Netz?

traceroute to 10.0.10.1 (10.0.10.1), 30 hops max, 40 byte packets
1 10.0.10.1 (10.0.10.1) 164.574 ms

Edit:

Merke gerade, dass ich zugriff auf den Router im 192.168.1.0er LAN habe. Aber komme nicht an die REchner dahinter
Mitglied: MiniStrator
MiniStrator 07.02.2011 um 20:17:30 Uhr
Goto Top
Also ist der Server der Blocker. Von 192.168.1.x geht, nehm ich an, auch kein ping nach 10.0.10.2 aber vom VPN Server aus schon.

Hast du mit den registrysettings mal einen reboot gemacht? Diese Einstellung wäre, falls RAS nicht konfiguriert ist, wichtig.

Merke gerade, dass ich zugriff auf den Router im 192.168.1.0er LAN habe. Aber komme nicht an die REchner dahinter

Gib mal dem Testclient ne hart verdrahtete Route 192.168.1.0/24 gw 10.0.10.1 mit.
Wenns dann immer noch nicht tut, dem Rechner im 1er Netz noch ne Route 10.0.10.0/24 gw 192.168.1.180

Harter Brocken das...
Mitglied: enceee
enceee 07.02.2011 um 20:34:28 Uhr
Goto Top
Zitat von @MiniStrator:
Also ist der Server der Blocker. Von 192.168.1.x geht, nehm ich an, auch kein ping nach 10.0.10.2 aber vom VPN Server aus schon.

ping vom 192.168.1.1 zu 10.0.10.2:

Operation succeeded.
64 bytes from 10.0.10.2: icmp_seq=0 ttl=127
64 bytes from 10.0.10.2: icmp_seq=1 ttl=127
64 bytes from 10.0.10.2: icmp_seq=2 ttl=127
64 bytes from 10.0.10.2: icmp_seq=3 ttl=127

geht also schon


trace route von 192.168.1.1 zu 10.0.10.2:
traceroute to 10.0.10.2 (10.0.10.2), 30 hops max, 40 byte packets
1 192.168.1.180 (192.168.1.180) 144.232 ms
2 10.0.10.2 (10.0.10.2) 66.129 ms

geht auch

also schiebt er die pakete anscheinend doch über den Server (lokal 192.168.1.180->VPN10.0.10.1) auf den Client (10.0.10.2). Irgendwie ist das strange.

Zitat von @MiniStrator:
Hast du mit den registrysettings mal einen reboot gemacht? Diese Einstellung wäre, falls RAS nicht konfiguriert ist,
wichtig.

Hab ich!!!


Zitat von @MiniStrator:
Harter Brocken das....

Du sagst bzw. schreibst es!!!!
Mitglied: MiniStrator
MiniStrator 07.02.2011 um 20:42:53 Uhr
Goto Top
also schiebt er die pakete anscheinend doch über den Server (lokal 192.168.1.180->VPN10.0.10.1) auf den Client (10.0.10.2). Irgendwie ist das strange.

Ja nö, der Server ist ja das einzige wo das 10.0.10.x Netz kennt. Das müss über den gehen.

Also wenn du von 192.168.1.1 nach 10.0.10.2 kommst (und zurück, sonst tät ja kein Ping gehen) was ist es dann wo nicht geht?

Edit: Öhm, nimm mal die 10.0.10.0 Route vom Router raus

Edit2: Ich seh grad, 192.168.1.1 ist ja der Router. Was sagt das tracert von einem anderen Rechner in dem Netz?
Mitglied: MiniStrator
MiniStrator 07.02.2011 um 21:09:33 Uhr
Goto Top
Der Fernseher und der Wein rufen mich gerade, sorry, morgen weiter..

N8
Mitglied: enceee
enceee 07.02.2011 um 21:15:33 Uhr
Goto Top
Kein Ding, jetzt komm ich eh gar nicht mehr auf den Server nach dem ich die Route gelöscht habe.
Muss wohl morgen auch erstmal wieder schauen, was da los ist.

gutes nächtle und lass dir den wein schmecken

EDIT:

Zitat von @MiniStrator:
Edit: Öhm, nimm mal die 10.0.10.0 Route vom Router raus

Ohne die Route kein Ping oder erfolgreicher tracert vom 192.168.1.0er Netz auf 10.0.10.1 möglich

mit Route:

C:\>tracert 10.0.10.1

Routenverfolgung zu 10.0.10.1 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms 192.168.1.1
2 3 ms 2 ms 3 ms 10.0.10.1

Ablaufverfolgung beendet.

Gruss enceee
Mitglied: MiniStrator
MiniStrator 09.02.2011 um 22:15:51 Uhr
Goto Top
Hi,

sorry, edit löst keine Mail aus...

Und was macht ein tracert 10.0.10.2? (wenn ein VPN-Client verbunden ist und diese Adresse hat)

Gruß MiniStrator

Ach ja, danke, Wein war gut ;-) face-wink
Heiß diskutierte Beiträge
question
USB Adapter wie PoE? gelöst HournenharmaVor 1 TagFrageHardware5 Kommentare

Ich habe einen Kunden, der will in seinem Ford mit SYNC2 sein RazerPhone 2 nutzen. Das Problem ist, dass die USB-A Anschlüsse max. 5W geben, ...

question
Hyper-V - verwaiste Snapshots löschenbasdschoVor 1 TagFrageHyper-V26 Kommentare

Hallo, mein Veeam machte bei einer installation Probleme und konnte plötzlich die Snapshots nicht mehr löschen. Kein Problem, Disks konsolidiert, alte Snapshot Dateien gelöscht. Nun ...

question
USB 3 beißt sich mit 2,4Ghz Funkperipherie gelöst O-Two06Vor 1 TagFragePeripheriegeräte3 Kommentare

Hiho, ich habe nun schon einige Artikel über das leidige Thema gelesen, komme aber zu keiner Lösung. Ich habe Mini-PCs, bei denen nun leider mal ...

question
Fritzbox 7590 ersetzten gegen Modem + Router oder Router mit Modemindignus-estVor 1 TagFrageNetzwerke10 Kommentare

Hallo zusammen, nach langer Krankheit und Genesungszeit fasse ich jetzt mal wieder den Mut eine frage zustellen die mir schon seit längeren im Kopf herum ...

question
Ipv6 RouterliodiceVor 15 StundenFrageDSL, VDSL10 Kommentare

Hallo zusammen, ich hoffe ihr könnt mir weiterhelfen, ich benötigen einen ADSL Router (Kabelgebundenen) der IPv4 und IPv6 kann, also Dual Stack (DHCP Extern und ...

question
SSH Login nur möglich bei eingelogtem USERhell.wienVor 19 StundenFrageLinux Netzwerk17 Kommentare

habe einen Server (Debian) mit SSH (nur mit Public Key und auf einem Custom Port) und ufw aktiv. Ich kann mich nicht einlogen. Wenn ich ...

question
Günstiges Open-Source NAS für HeimgebrauchpanguuVor 8 StundenFrageSAN, NAS, DAS8 Kommentare

Hallo, mit NAS-Systemen hatte ich bisher gearbeitet: Synology, QNAP, Buffalo, etc. Dabei kommen proprietäre Betriebssysteme zum Einsatz, die sich natürlich von Hersteller zu Hersteller unterscheiden ...

question
ProLiant DL380p G8 findet HP SAS-Festplatten MB3000FBUCN nicht ?IT-DAUVor 1 TagFrageServer-Hardware5 Kommentare

Hallo liebe Community! Kurz vorweg: ich bin Quereinsteiger in der IT-Branche und möchte nun als Vorbereitung zu meinem Ausbildungskurs bzw. für zu Hause ein bisschen ...