8
OpenVPN - Server kann Client nicht pingen
Hallo Zusammen,
ich habe auf einem NAS den OpenVPN-Server-Dienst installiert. In dem LAN gibt es einen Windows DC der auch DHCP macht und eine Fritz!Box als Gateway. Der OpenVPN-Server Dienst verfügt über seinen eigenen DHCP-Bereich:
192.168.2.x
Das Windows-Netzwerk liegt im IP-Adressbereich 192.168.1.x
Der Windows-Server hat die IP: 192.168.1.2
Fritz!Box: 192.168.1.1
NAS: 192.168.1.251
OpenVPN-Server-Dienst: 192.168.2.1
Die Einwahl der Clients funktioniert problemlos. Sowohl die Namensauflösung als auch das anpingen einzelner Netzwerkgeräte im 192.168.1.x Bereich funktioniert.
Was nicht möglich ist, ist ein Ping vom Windows Server (192.168.1.2) zu einem VPN-Client der beispielweise die 192.168.2.6 zugewiesen bekommen hat.
Auf dem NAS ist es nicht möglich dem OpenVPN-Server noch mehr Optionen mitzugeben.
Anbei der schematische Netzwerkaufbau
Routing Tabelle des Windows Servers:
Welche Route müsste ich ggf. wie hinzufügen?
Vielen Dank
Frank
ich habe auf einem NAS den OpenVPN-Server-Dienst installiert. In dem LAN gibt es einen Windows DC der auch DHCP macht und eine Fritz!Box als Gateway. Der OpenVPN-Server Dienst verfügt über seinen eigenen DHCP-Bereich:
192.168.2.x
Das Windows-Netzwerk liegt im IP-Adressbereich 192.168.1.x
Der Windows-Server hat die IP: 192.168.1.2
Fritz!Box: 192.168.1.1
NAS: 192.168.1.251
OpenVPN-Server-Dienst: 192.168.2.1
Die Einwahl der Clients funktioniert problemlos. Sowohl die Namensauflösung als auch das anpingen einzelner Netzwerkgeräte im 192.168.1.x Bereich funktioniert.
Was nicht möglich ist, ist ein Ping vom Windows Server (192.168.1.2) zu einem VPN-Client der beispielweise die 192.168.2.6 zugewiesen bekommen hat.
Auf dem NAS ist es nicht möglich dem OpenVPN-Server noch mehr Optionen mitzugeben.
Anbei der schematische Netzwerkaufbau
Routing Tabelle des Windows Servers:
Welche Route müsste ich ggf. wie hinzufügen?
Vielen Dank
Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1806115821
Url: https://administrator.de/contentid/1806115821
Printed on: May 10, 2024 at 05:05 o'clock
8 Comments
Latest comment
Vieleicht Firewall auf dem Client an?
Gruß Lutz
Gruß Lutz
Die Firewall auf dem Client habe ich ausgeschaltet.
Viele Grüße
Frank
Viele Grüße
Frank
Ein Traceroute wird dir zeigen, dass dein Server aktuell versucht den Client im 192.168.2.X über die Fritz! Box zu erreichen (da 192.168.1.1 = default Gateway). Du musst deinem Server schon sagen über welches Gateway er das 2.x erreichen kann. Die Fritz!Box weiß nichts vom Openvpn Server.
route add ist dein Freund.
Microsoft KB - Route
Wenn du mit testen fertig bist, dann /p nicht vergessen.
route add ist dein Freund.
Microsoft KB - Route
Wenn du mit testen fertig bist, dann /p nicht vergessen.
Oder alternativ auf der Fritzbox die passende Route setzen…
Der OpenVPN-Server Dienst verfügt über seinen eigenen DHCP-Bereich:
Keine besonders intelligente Wahl. Siehe dazu auch hier.Alle Setup Schritte des hiesigen OpenVPN Tutotials hast du wirklich umgesetzt ?? Insbesondere die vom Kollegen @BirdyB richtig angesprochenen statischen Routen ?
Nur nebenbei:
Abgesehen von der fehlerhaften bzw. sinnvollen VPN IP Adressierung sind solche VPN Designs nicht besonders sicher und eher fahrlässig. Ganz besonders nicht auf einem NAS, denn über die Port Forwarding Regel des Routers leitest du komplett ungeschützten Internet Verkehr in dein internes Netz und dann auch noch auf eine solche Schlüsselkomponente wie ein NAS was ggf. sensible Daten speichert. Normalerweise ist das ein absolutes NoGo. In einem Firmennetz ganz sicher und wäre ein Kündigungsgrund so etwas zu realisieren.
VPNs gehören IMMER in die Peripherie.
Die hiesigen VPN Tutorials im Forum zeigen dir wie man so etwas vernünftig löst.
Zudem solltest du immer die lokale Winblows Firewall auf dem Radar haben. Im Default blockt diese bekanntlich das ICMP Protokoll (Ping) !
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Ganz besonders wenn der Ping aus einem fremden IP Absender Netzen kommt denn das blockt die Firewall obendrauf generell auch sofern man es nicht explizit zugelassen hat !
Vielen Dank für die ausführlichen Informationen und Hinweise. Ich werde diesen Dienst von dem NAS entfernen. Sinnvoller wäre sicher in diesem Zusammenhang über eine professionelle Firewall-Lösung mit VPN-Zugang nachzudenken.
Dazu findest du diverse Anregungen hier: 😉
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Usw. usw. Und etwas außer Konkurrenz...
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Usw. usw. Und etwas außer Konkurrenz...
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Vielen Dank für die vielen Informationen und Links. Ich sehe mir die an.
