martin-ffm
Goto Top

OpenVPN: Server2012R2 - Lokales Netzwerk (in zwei Richtungen)

Hallo zusammen,

ich habe in einem Rechenzentrum einen Server 2012R2 mit fester IP und einem OpenVPN-Server mit privater IP 10.10.10.1. Bridging mag ich nicht sonderlich, daher ist OpenVPN mit TUN eingerichtet.

Im Büro steht ein OpenWRT-Router als Client, der sich auch ordentlich verbindet, er hat die IP 10.10.10.20 im VPN-Netzwerk, sowie die 192.168.2.2 im privaten Netzwerk. Im DSL-Router mit der IP 192.168.2.1 ist eine Routing-Regel eingetragen: 10.10.10.0/24 => 192.168.2.2 Aus dem privaten Netzwerk kann ich damit ohne Probleme den Server erreichen.

Nun habe ich einen Netzwerkdrucker im privaten Netzwerk mit der IP 192.168.2.3. Dieser soll vom Server aus erreichbar sein. Nach meiner Logik muss ich dem Server eine Routing-Regel verpassen, die so aussieht:
"route add 192.168.2.0 mask 255.255.255.0 10.10.10.1" (erst mal nicht permanent)

Wenn ich das mache, bleibt das private Netzwerk mit PING und anderen Arten des Zugriffs unerreichbar. Auch der Drucker zeigt sich nicht. Das auch mit abgeschalteter Firewall. Vorher wie nachher kann ich allerdings den VPN-Client unter 10.10.10.20 anpingen. Unter seiner privaten IP (192.168.2.2) allerdings nicht.

Zugegeben, ich arbeite nicht so oft mit OpenVPN, daher frage ich mich, ob ich da was wesentliches vergesse oder übersehe... Nach Lösungen gesucht habe ich schon ausgiebig und hoffe, dass ich keine Antworten übersehen habe. Vielleicht hat jemand eine Idee?

Jetzt schon danke fürs Lesen und vielleicht auch Antworten
Martin

Content-ID: 352698

Url: https://administrator.de/forum/openvpn-server2012r2-lokales-netzwerk-in-zwei-richtungen-352698.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

aqui
aqui 24.10.2017 aktualisiert um 14:58:26 Uhr
Goto Top
Bridging mag ich nicht sonderlich, daher ist OpenVPN mit TUN eingerichtet.
Sollte man auch immer wenn möglich bevorzugen. OpenVPN rät selber vom Bridging Mode ab wenn man es nicht wirklich zwingend muss. (Route where you can, bridge where you must !)
Nach meiner Logik muss ich dem Server eine Routing-Regel verpassen
Nein !
Pushe einfach vom Client die Route automatisch auf den OVPN Server indem du in der OVPN Client Setup Datei eine ip Route definierst ala:
route 192.168.2.0 255.255.255.0
iroute 192.168.2.0 255.255.255.0

Dann "lernt" der Server automatisch diese Route beim Client VPN Dialin.
Wie immer zeigt dir ein route print auf der Winblows Gurke dann die dann hoffentlich richtige Routing Tabelle bei aktivem VPN Tunnel.
Traceroute und Pathping sind deine besten Freunde das zu verifizieren. face-wink
Martin-FfM
Martin-FfM 25.10.2017 um 13:58:21 Uhr
Goto Top
Hallo aqui, danke dir für die Antwort.

Nicht in die Host Routing Table eintragen, sondern in die server.ovpn, bzw. die client.ovpn. *MitderHandgegendieStirnschlag* - ja, da war mal was.

Leider pushed der Client die Route nicht, warum auch immer. Also trage ich in den Client ein: "route 10.10.10.0 255.255.255.0" und in den Server: "route 192.168.2.0 255.255.255.0".

Anschließend kann ich vom Client per Ping den Server sehen, tracert und pathping zeigen den richtigen Pfad. Die Regel ist auch in der Routingtabelle von Windows eingetragen.

Beim Server ist die Regel auch in der Routingtabelle zu finden, allerdings gehen ping, tracert und pathping auf die private Adresse immernoch ins Leere, auch bei abgeschalteter Firewall. Wobei pathping schon als erste Station die interne IP des VPN verwendet. Auf die VPN-IP kann ich ohne Probleme pingen, tracert und pathping ausführen.

Ich frage mich gerade, was da an der Route nicht stimmen mag, oder was da noch fehlt...
aqui
aqui 26.10.2017 um 10:43:21 Uhr
Goto Top
Deinen Route stimmt wenn sie richtig in der Routing Tabelle zu sehen ist. Daran liegt es auch nicht. Es ist wie immer die lokale Firewall !!
allerdings gehen ping, tracert und pathping auf die private Adresse immernoch ins Leere,
Ist bei Winblows auch normal, da die lokale Firewall ICMP Pakete generell blockiert.
Wenn sie von fremden IP Netzen kommen (Absender IP nicht aus dem lokalen Netz) dann sowieso.
Du musst also zwingend die lokale Winblows Firewall anpassen.
Guckst du hier:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Martin-FfM
Martin-FfM 26.10.2017 um 12:41:24 Uhr
Goto Top
Das war letztlich der Punkt... Habe es mit wenigen Änderungen komplett hin bekommen. Wobei, die Conf habe ich letztlich auf dem Server gemacht und lasse das auf die Clients pushen, das ist zentraler zu managen.

Danke dir für deine Hilfe, das war zum einen der Hinweis in welche Richtung ich noch mehr lernen muss und zum anderen, wie der Lösungsweg ist.