OpenVPN virtuelles Netz von LAN erreichen
Guten Morgen zusammen,
ich habe aus Interesse die Nacht mal einen OpenVPN-Server aufgesetzt.
Es handelt sich hierbei nur um eine Bastel-Lösung im Heimbereich zum Experimentieren (mir sind Sachen wie wechselnde öffentliche IP etc. bewusst).
Als OpenVPN-Server wurde ein Debian10 aufgesetzt, welcher sich hinter einem DSL-Router (Speedport) befindet. (UDP öfftl. Port 1194 auf Port 1194 des Debians)
Zur schnellen Installation habe ich das vorgefertigte openvpn-install.sh genutzt.
Die Verbindung von extern (z.B. Handy) funktioniert mit der App wunderbar, ich erhalte eine IP-Adresse im Bereich 10.0.8.x/24
Vom Handy aus ist auch alles erreichbar (Drucker, Speedport, NAS, .....), allerdings kann ich keinen Ping von einem normalen Client im Speedport-LAN (192.168.2.x/24)
auf z.B. das Handy (10.0.8.2/24) schicken.
Zum Testen habe ich auch nochmal auf einem Windows-PC in der cmd "route ADD 10.0.8.0 MASK 255.255.255.0 192.168.2.114" ausgeführt, um den PC das Netz bekannt zu machen. 192.168.2.114 ist dabei der OpenVPN-Server.
Ich vermute mal, dass das 10.0.8.x/24 Netz nicht erreichbar ist, da das Teil NAT oder sowas in der Art macht. Deshalb ist von Handy aus alles erreichbar, umgekehrt aber nicht.
Gibt es eine einfache und schnelle Möglichkeit, das 10.0.8.x vom 192.168.2.x erreichbar zu machen? Ist bestimmt nur eine Zeile in der Config vom OpenVPN-Server....
Ich freue mich auf eure Antworten.
Danke im Voraus!
LG
ich habe aus Interesse die Nacht mal einen OpenVPN-Server aufgesetzt.
Es handelt sich hierbei nur um eine Bastel-Lösung im Heimbereich zum Experimentieren (mir sind Sachen wie wechselnde öffentliche IP etc. bewusst).
Als OpenVPN-Server wurde ein Debian10 aufgesetzt, welcher sich hinter einem DSL-Router (Speedport) befindet. (UDP öfftl. Port 1194 auf Port 1194 des Debians)
Zur schnellen Installation habe ich das vorgefertigte openvpn-install.sh genutzt.
Die Verbindung von extern (z.B. Handy) funktioniert mit der App wunderbar, ich erhalte eine IP-Adresse im Bereich 10.0.8.x/24
Vom Handy aus ist auch alles erreichbar (Drucker, Speedport, NAS, .....), allerdings kann ich keinen Ping von einem normalen Client im Speedport-LAN (192.168.2.x/24)
auf z.B. das Handy (10.0.8.2/24) schicken.
Zum Testen habe ich auch nochmal auf einem Windows-PC in der cmd "route ADD 10.0.8.0 MASK 255.255.255.0 192.168.2.114" ausgeführt, um den PC das Netz bekannt zu machen. 192.168.2.114 ist dabei der OpenVPN-Server.
Ich vermute mal, dass das 10.0.8.x/24 Netz nicht erreichbar ist, da das Teil NAT oder sowas in der Art macht. Deshalb ist von Handy aus alles erreichbar, umgekehrt aber nicht.
Gibt es eine einfache und schnelle Möglichkeit, das 10.0.8.x vom 192.168.2.x erreichbar zu machen? Ist bestimmt nur eine Zeile in der Config vom OpenVPN-Server....
Ich freue mich auf eure Antworten.
Danke im Voraus!
LG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1027836193
Url: https://administrator.de/contentid/1027836193
Ausgedruckt am: 19.12.2024 um 09:12 Uhr
3 Kommentare
Neuester Kommentar
allerdings kann ich keinen Ping von einem normalen Client im Speedport-LAN (192.168.2.x/24) auf z.B. das Handy (10.0.8.2/24) schicken.
Der Client im Speedport LAN wird vermutlich den Speedport Router 192.168.2.1 als Default Gateway eingetragen haben, richtig ?Dann läuft folgendes ab:
- Wenn dieser Client nun einen Ping an das Smartphone mit der Ziel IP 10.0.8.2 senden will schickt er es also an den Router, da es ja nicht in seinem eigenen Netz liegt.
- Der Router sieht jetzt in seine Routing Tabelle ob er dort einen Eintrag hat WIE er das 10.0.8.2er Netz erreichen kann. Nun gibt es 2 Optionen:
- 1.) Er hat keinen Eintrag = Er sendet es an seine Default Route zum Provider wo es dann im Nirwana verschwindet, denn wie jedermann weiss sind private RFC 1918er Netze wie dein 10er Netz im Internet nicht routebar.
- 2.) Er hat einen Routing Eintrag der ihm sagt: Route alles für das 10.0.8er Netz an die OpenVPN Server IP 192.168.2.114
Es hängt also von einer statischen Route am Router ab oder im Endgerät wie du es schon richtig erkannt hast. Übers Endgerät ist natürlich blöd, denn das müsste man an jedem Gerät eintragen, deshalb gehören statische Routen immer auf den Router !
Dein Problem ist aber vermutlich das du sehr wahrscheinlich nicht dran gedacht hast das dein Debian OpenVPN Server ja auch ein Router ist ! Logisch, denn er muss ja zwischen 2 Netzen, dem lokalen LAN und dem internen OpenVPN Netz routen.
IPv4 Forwarding (Routing) ist in Betriebssystemen aber in der Regel immer deaktiviert ! Folglich kann dein Debian nicht routen und das Paket wird gedropt.
Das kann man aber schnell ändern indem du in der Datei /etc/sysctl.conf den Eintrag net.ipv4.ip_forward=1 entkommentierst und deinen Server neu bootest.
Eine andere Möglichkeit ist das du in der Tat fälschlicherweise NAT im OpenVPN Tunnelinterface am OVPN Server machst. Das ist natürlich Blödsinn und solltest du sofort entfernen. NAT in eigenen IP Netzen zu machen ist Unsinn und schafft dir durch die NAT Firewall dann eine Routing Einbahnstrasse.
Eins dieser 3 Fehler Optionen sollte dein Problem sofort lösen.
Übrigens...
All diese Dinge werden haarklein im hiesigen OpenVPN_Tutorial im Kapitel IP Forwarding (Routing) beschrieben !!
Einfach nur mal die Suchfunktion benutzen !! 😉