frunky
Goto Top

OpenVPN - Server kann Client nicht pingen

Hallo Zusammen,

ich habe auf einem NAS den OpenVPN-Server-Dienst installiert. In dem LAN gibt es einen Windows DC der auch DHCP macht und eine Fritz!Box als Gateway. Der OpenVPN-Server Dienst verfügt über seinen eigenen DHCP-Bereich:

192.168.2.x

Das Windows-Netzwerk liegt im IP-Adressbereich 192.168.1.x

Der Windows-Server hat die IP: 192.168.1.2
Fritz!Box: 192.168.1.1
NAS: 192.168.1.251
OpenVPN-Server-Dienst: 192.168.2.1

Die Einwahl der Clients funktioniert problemlos. Sowohl die Namensauflösung als auch das anpingen einzelner Netzwerkgeräte im 192.168.1.x Bereich funktioniert.
Was nicht möglich ist, ist ein Ping vom Windows Server (192.168.1.2) zu einem VPN-Client der beispielweise die 192.168.2.6 zugewiesen bekommen hat.

Auf dem NAS ist es nicht möglich dem OpenVPN-Server noch mehr Optionen mitzugeben.
Anbei der schematische Netzwerkaufbau

lan

Routing Tabelle des Windows Servers:

routing_table_server

Welche Route müsste ich ggf. wie hinzufügen?

Vielen Dank

Frank

Content-ID: 1806115821

Url: https://administrator.de/contentid/1806115821

Printed on: December 4, 2024 at 05:12 o'clock

lutzhag
lutzhag Feb 01, 2022 at 21:22:56 (UTC)
Goto Top
Vieleicht Firewall auf dem Client an?
Gruß Lutz
frunky
frunky Feb 01, 2022 at 21:35:07 (UTC)
Goto Top
Die Firewall auf dem Client habe ich ausgeschaltet.

Viele Grüße

Frank
ichi1232
ichi1232 Feb 01, 2022 at 23:53:49 (UTC)
Goto Top
Ein Traceroute wird dir zeigen, dass dein Server aktuell versucht den Client im 192.168.2.X über die Fritz! Box zu erreichen (da 192.168.1.1 = default Gateway). Du musst deinem Server schon sagen über welches Gateway er das 2.x erreichen kann. Die Fritz!Box weiß nichts vom Openvpn Server.

route add ist dein Freund.

Microsoft KB - Route

Wenn du mit testen fertig bist, dann /p nicht vergessen.
BirdyB
BirdyB Feb 02, 2022 at 07:47:30 (UTC)
Goto Top
Oder alternativ auf der Fritzbox die passende Route setzen…
aqui
aqui Feb 02, 2022 updated at 08:47:09 (UTC)
Goto Top
Der OpenVPN-Server Dienst verfügt über seinen eigenen DHCP-Bereich:
Keine besonders intelligente Wahl. Siehe dazu auch hier.
Alle Setup Schritte des hiesigen OpenVPN Tutotials hast du wirklich umgesetzt ?? Insbesondere die vom Kollegen @BirdyB richtig angesprochenen statischen Routen ?

Nur nebenbei:
Abgesehen von der fehlerhaften bzw. sinnvollen VPN IP Adressierung sind solche VPN Designs nicht besonders sicher und eher fahrlässig. Ganz besonders nicht auf einem NAS, denn über die Port Forwarding Regel des Routers leitest du komplett ungeschützten Internet Verkehr in dein internes Netz und dann auch noch auf eine solche Schlüsselkomponente wie ein NAS was ggf. sensible Daten speichert. Normalerweise ist das ein absolutes NoGo. In einem Firmennetz ganz sicher und wäre ein Kündigungsgrund so etwas zu realisieren.
VPNs gehören IMMER in die Peripherie.
Die hiesigen VPN Tutorials im Forum zeigen dir wie man so etwas vernünftig löst.

Zudem solltest du immer die lokale Winblows Firewall auf dem Radar haben. Im Default blockt diese bekanntlich das ICMP Protokoll (Ping) !
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Ganz besonders wenn der Ping aus einem fremden IP Absender Netzen kommt denn das blockt die Firewall obendrauf generell auch sofern man es nicht explizit zugelassen hat !
icmp-firewall
frunky
frunky Feb 02, 2022 at 09:42:41 (UTC)
Goto Top
Vielen Dank für die ausführlichen Informationen und Hinweise. Ich werde diesen Dienst von dem NAS entfernen. Sinnvoller wäre sicher in diesem Zusammenhang über eine professionelle Firewall-Lösung mit VPN-Zugang nachzudenken.
aqui
aqui Feb 02, 2022 updated at 09:53:36 (UTC)
Goto Top
frunky
frunky Feb 07, 2022 at 08:50:45 (UTC)
Goto Top
Vielen Dank für die vielen Informationen und Links. Ich sehe mir die an.