04.02.2011, aktualisiert am 18.10.2012

4826

OpenVPN Routingprobleme

Hallo Leute,

nach etlichen Versuchen und so manchen grauen Haaren, wende ich mich jetzt an euch. Ich habe mit OpenVPN erfolgreich eine Verbindung zwischen clients und dem server aufgebaut. Ich krieg es einfach nicht, die Routes so zu setzen, das ich auf das LAN hinter dem Server zugreifen kann. Ich habe glaub ich schon so ziemlich alles tuts durchgekämpft, die passen könnten. Ich find den Fehler einfach nicht. Ports auf Serverseite sind auf dem Router zum Server-PC geforwarded und eine statische Route ist ebenfalls vergeben (siehe unten).

Situation wie folgt:

LAN1 (ServerLAN)
IP-Bereich: 192.168.1.0/255.255.255.0 (alles statisch vergeben)
lokale IP Server: 192.168.1.180
VPN IP Server: 10.0.10.1/255.255.255.0
IP Router (Gateway): 192.168.1.1
WAN-IP und DNS des Routers sind statisch vergeben

LAN2
IP-Bereich: 192.168.34.0/255.255.255.0 (via DHCP)
VPN-Clients-Bereich: 10.0.10.0/255.255.255.0 (dynamisch vergeben, siehe server-conf)
IP Router (Gateway): 192.168.34.250
WAN-IP dynamisch über ISP

SERVER-Config

mode server
tls-server
proto udp
port 1194
dev tap
dev-node XXXXX
dh "PFAD"\dh1024.pem
ca "PFAD"\ca.crt
key "PFAD"\server.key
cert "PFAD"\server.crt
ifconfig 10.0.10.1 255.255.255.0
ifconfig-pool 10.0.10.2 10.0.10.10
client-to-client
float
push "route 192.168.1.0 255.255.255.0"
push "route-gateway 10.0.10.1"
tun-mtu 1500
tun-mtu-extra 32
max-clients 6
verb 3
mute 50
keep-alive 10 60
ping-timer-rem
persist-key
persist-tun

CLIENT-Config

remote WWW.XXX.YYY.ZZZ
port 1194
dev tap
dev-node XXXXX
tls-client
ca "PFAD"\ca.crt
key "PFAD"\client.key
cert "PFAD"\client.crt
ns-cert-type server
pull
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun

Die statische Route auf dem Router der Serverseite sieht so aus
Destination IP-Adress: 10.0.10.0
IP Subnet Mask: 255.255.255.0
Gateway IP-Adress: 192.168.1.180

Folgend die Routing-tabelle der Clientseite (interessant ist die schnittstelle des vorletzten eintraese der aktiven routen)

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.34.250 192.168.34.150 25
10.0.10.0 255.255.255.0 10.0.10.2 10.0.10.2 30
10.0.10.2 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.10.2 10.0.10.2 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 192.168.34.150 192.168.34.150 30
192.168.1.0 255.255.255.0 10.0.10.1 10.0.10.2 1
192.168.34.0 255.255.255.0 192.168.34.150 192.168.34.150 25
192.168.34.150 255.255.255.255 127.0.0.1 127.0.0.1 25
192.168.34.255 255.255.255.255 192.168.34.150 192.168.34.150 25
224.0.0.0 240.0.0.0 10.0.10.2 10.0.10.2 30
224.0.0.0 240.0.0.0 192.168.34.150 192.168.34.150 25
255.255.255.255 255.255.255.255 10.0.10.2 10.0.10.2 1
255.255.255.255 255.255.255.255 192.168.34.150 b0004 1
255.255.255.255 255.255.255.255 192.168.34.150 192.168.34.150 1
Standardgateway: 192.168.34.250

Ständige Routen:
Keine

Ich hoffe Ihr könnt mir helfen und meinen Fehler finden. Würde die ganze Sache gerne mal zum Abschluss bringen.

Gruss
enceee

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 160177

Url: https://administrator.de/forum/openvpn-routingprobleme-160177.html

Ausgedruckt am: 23.04.2025 um 03:04 Uhr

19 Kommentare

Neuester Kommentar

Dieses Tutorial hast du gelesen...??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das steht eigentlich alles um das auf Anhieb zum Fliegen zu bringen !
Die Konfig ist immer identisch, egal welche HW.

Router ist nicht DD-WRT-fähig.

Die statische Route auf dem Router der Serverseite sieht so aus
Destination IP-Adress: 10.0.10.0
IP Subnet Mask: 255.255.255.0
Gateway IP-Adress: 192.168.1.180

Hi,

fehlt da vielleicht ne Route 192.168.34.0/24 10.0.10.1?
kenn mich mit openVPN nicht wirklich aus, aber der Router sollte doch erfahren wo er Pakete an 192.168.34.0/24 hinschicken soll?

Ne Routing Tabelle vom Server wär gut und die Ausgabe eines tracert auf beiden Seiten

Gruß
MiniStrator

Hier die RT der Serverseite

Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.180 10
10.0.10.0 255.255.255.0 10.0.10.1 10.0.10.1 30
10.0.10.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.10.1 10.0.10.1 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.180 192.168.1.180 10
192.168.1.180 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.180 192.168.1.180 10
224.0.0.0 240.0.0.0 10.0.10.1 10.0.10.1 30
224.0.0.0 240.0.0.0 192.168.1.180 192.168.1.180 10
255.255.255.255 255.255.255.255 10.0.10.1 10.0.10.1 1
255.255.255.255 255.255.255.255 10.0.10.1 2 1
255.255.255.255 255.255.255.255 192.168.1.180 192.168.1.180 1
Default Gateway: 192.168.1.1

Persistent Routes:
None

fehlt da vielleicht ne Route 192.168.34.0/24 10.0.10.1?
kenn mich mit openVPN nicht wirklich aus, aber der Router sollte doch erfahren wo er Pakete an 192.168.34.0/24 hinschicken soll?

Meinst du den Route brauche ich? Im Prinzip soll er ja die Pakete an die Clients zurückschicken (10.0.10.0/10). Welche lokale IP die Clients haben ist doch erstmal egel, oder?

Ich habe die Vermutung, dass es mit dem statischen WAN-DNS auf der Serverseite zu tun hat. Ist das möglich?

fehlt da vielleicht ne Route 192.168.34.0/24 10.0.10.1?

genau!
und noch ein Hinweis, wenn man eh alles anfaßt, vielleicht sollte man 10. als Tunnel meiden, im Zusammenspiel mit UMTS-Adaptern wird häufig "als quasi öffentliche" ein bischen 10. vergeben und scheidet dann komplett (!!!) aus, ich habe gute Erfahrungen mit 172.16-31.x.x in dem Szenario gemacht.

das versteh ich nicht ganz. Also die o.a. Route soll auf der Serverseite eingerichtet werden? spielt denn die 192.168.34.0 Subnet überhaupt eine rolle? Das würde ja bedeuten, dass die Verbindung dann nur klappt, wenn ich in dem besagten Netzwerk LAN2 bin. Wenn ich jetzt von unterwegs auf das LAN1 zugreifen möchte, dann klappt das ja nicht mehr oder?

@enceee
..."Router ist nicht DD-WRT-fähig." = Diese Aussage ist völlig irrelevant ! Es spielt bei OpenVPN keinerlei Rolle ob das auf DD-WRT oder Debian, SuSE oder Mac OS-X oder was auch immer rennt. Das solltest du als OpenVPN Benutzer eigentlich ja mittlerweile wissen.
Relevant ist einzig die Konfig Datei.
Genau die ist explizit im o.a. Tutorial beschrieben. Wenn du dem also schritt für Schritt folgst und das entsprechend umsetzt wird das in wenigen Minuten genau so funktionieren wie du es willst !!
Das ist eine einfache und simple Standard Konfig !!

Hi,

DNS glaub ich nicht. Ausser du testest mit 'ping server1' oder sowas. Was geht denn eigentlich genau nicht? Sollte sich der Tunnnel aufbauen lassen, was gibt am Client ein tracert '192.168.1.180' aus?
Wenn du auf das LAN hinter dem VPN-Server zugreifen willst, was haben die für ein Standardgateway? Den Server oder den Router? Funktioniert auf diesen ein 'Ping 10.0.10.1' ?
Ist auf dem Server Routing überhaupt aktiviert?

Gruß
MiniStrator

also ping vom client auf 192.168.1.180 geht. Die Rechner im LAN hinter dem Server haben die 192.168.1.1 (Router) als Standardgateway. Der wiederum hat ne statische Route auf 192.168.1.180 für Anfragen des 10.0.10.0er Netzes. Ich kann auf keinen der REchner im LAn hinter dem Server zugreifen (kein Ping und auch kein Zugriff). Es befindet sich auch noch ein NAS hinter dem Server. Hab da mal die 192.168.1.180 als Standardgateway definiert. geht auch nicht. Hab dann beim NAS mal ne statische Route eingefügt. 10.0.10.0er Netz auf 192.168.1.180 leiten. Geht auch nicht. Hoffe euch fällt noch was ein.

tracert vom client aus ergibt:

Routenverfolgung zu 192.168.1.180 über maximal 30 Abschnitte

1 83 ms 55 ms 55 ms 192.168.1.180

Ablaufverfolgung beendet.

Hi!

Was hat auf dem Server in der Registry HKLM/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/IPEnableRouter für einen Wert?
Wenn 0 dann probier mal mit 1.

MiniStrator

Die Änderung bewirkt auch kein erfolgreiches Resultat.

Was sagt ein tracert 192.168.1.andererrechner vom Client?
Und ein tracert 10.0.10.1 von nem anderen Rechner im 192.168.1 Netz?

Was sagt ein tracert 192.168.1.andererrechner vom Client?

C:\>tracert 192.168.1.254

Routenverfolgung zu 192.168.1.254 über maximal 30 Abschnitte

1 85 ms 56 ms 55 ms 10.0.10.1
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.

usw.

Und ein tracert 10.0.10.1 von nem anderen Rechner im 192.168.1 Netz?

traceroute to 10.0.10.1 (10.0.10.1), 30 hops max, 40 byte packets
1 10.0.10.1 (10.0.10.1) 164.574 ms

Edit:

Merke gerade, dass ich zugriff auf den Router im 192.168.1.0er LAN habe. Aber komme nicht an die REchner dahinter

Also ist der Server der Blocker. Von 192.168.1.x geht, nehm ich an, auch kein ping nach 10.0.10.2 aber vom VPN Server aus schon.

Hast du mit den registrysettings mal einen reboot gemacht? Diese Einstellung wäre, falls RAS nicht konfiguriert ist, wichtig.

Merke gerade, dass ich zugriff auf den Router im 192.168.1.0er LAN habe. Aber komme nicht an die REchner dahinter

Gib mal dem Testclient ne hart verdrahtete Route 192.168.1.0/24 gw 10.0.10.1 mit.
Wenns dann immer noch nicht tut, dem Rechner im 1er Netz noch ne Route 10.0.10.0/24 gw 192.168.1.180

Harter Brocken das...

Zitat von @MiniStrator:

Also ist der Server der Blocker. Von 192.168.1.x geht, nehm ich an, auch kein ping nach 10.0.10.2 aber vom VPN Server aus schon.

ping vom 192.168.1.1 zu 10.0.10.2:

Operation succeeded.
64 bytes from 10.0.10.2: icmp_seq=0 ttl=127
64 bytes from 10.0.10.2: icmp_seq=1 ttl=127
64 bytes from 10.0.10.2: icmp_seq=2 ttl=127
64 bytes from 10.0.10.2: icmp_seq=3 ttl=127

geht also schon

trace route von 192.168.1.1 zu 10.0.10.2:
traceroute to 10.0.10.2 (10.0.10.2), 30 hops max, 40 byte packets
1 192.168.1.180 (192.168.1.180) 144.232 ms
2 10.0.10.2 (10.0.10.2) 66.129 ms

geht auch

also schiebt er die pakete anscheinend doch über den Server (lokal 192.168.1.180->VPN10.0.10.1) auf den Client (10.0.10.2). Irgendwie ist das strange.

Zitat von @MiniStrator:

Hast du mit den registrysettings mal einen reboot gemacht? Diese Einstellung wäre, falls RAS nicht konfiguriert ist,
wichtig.

Hab ich!!!

Zitat von @MiniStrator:

Harter Brocken das....

Du sagst bzw. schreibst es!!!!

also schiebt er die pakete anscheinend doch über den Server (lokal 192.168.1.180->VPN10.0.10.1) auf den Client (10.0.10.2). Irgendwie ist das strange.

Ja nö, der Server ist ja das einzige wo das 10.0.10.x Netz kennt. Das müss über den gehen.

Also wenn du von 192.168.1.1 nach 10.0.10.2 kommst (und zurück, sonst tät ja kein Ping gehen) was ist es dann wo nicht geht?

Edit: Öhm, nimm mal die 10.0.10.0 Route vom Router raus

Edit2: Ich seh grad, 192.168.1.1 ist ja der Router. Was sagt das tracert von einem anderen Rechner in dem Netz?

Der Fernseher und der Wein rufen mich gerade, sorry, morgen weiter..

N8

Kein Ding, jetzt komm ich eh gar nicht mehr auf den Server nach dem ich die Route gelöscht habe.
Muss wohl morgen auch erstmal wieder schauen, was da los ist.

gutes nächtle und lass dir den wein schmecken

EDIT:

Zitat von @MiniStrator:

Edit: Öhm, nimm mal die 10.0.10.0 Route vom Router raus

Ohne die Route kein Ping oder erfolgreicher tracert vom 192.168.1.0er Netz auf 10.0.10.1 möglich

mit Route:

C:\>tracert 10.0.10.1

Routenverfolgung zu 10.0.10.1 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms 192.168.1.1
2 3 ms 2 ms 3 ms 10.0.10.1

Ablaufverfolgung beendet.

Gruss enceee

Hi,

sorry, edit löst keine Mail aus...

Und was macht ein tracert 10.0.10.2? (wenn ein VPN-Client verbunden ist und diese Adresse hat)

Gruß MiniStrator

Ach ja, danke, Wein war gut