3
OpenVPN virtuelles Netz von LAN erreichen
Guten Morgen zusammen,
ich habe aus Interesse die Nacht mal einen OpenVPN-Server aufgesetzt.
Es handelt sich hierbei nur um eine Bastel-Lösung im Heimbereich zum Experimentieren (mir sind Sachen wie wechselnde öffentliche IP etc. bewusst).
Als OpenVPN-Server wurde ein Debian10 aufgesetzt, welcher sich hinter einem DSL-Router (Speedport) befindet. (UDP öfftl. Port 1194 auf Port 1194 des Debians)
Zur schnellen Installation habe ich das vorgefertigte openvpn-install.sh genutzt.
Die Verbindung von extern (z.B. Handy) funktioniert mit der App wunderbar, ich erhalte eine IP-Adresse im Bereich 10.0.8.x/24
Vom Handy aus ist auch alles erreichbar (Drucker, Speedport, NAS, .....), allerdings kann ich keinen Ping von einem normalen Client im Speedport-LAN (192.168.2.x/24)
auf z.B. das Handy (10.0.8.2/24) schicken.
Zum Testen habe ich auch nochmal auf einem Windows-PC in der cmd "route ADD 10.0.8.0 MASK 255.255.255.0 192.168.2.114" ausgeführt, um den PC das Netz bekannt zu machen. 192.168.2.114 ist dabei der OpenVPN-Server.
Ich vermute mal, dass das 10.0.8.x/24 Netz nicht erreichbar ist, da das Teil NAT oder sowas in der Art macht. Deshalb ist von Handy aus alles erreichbar, umgekehrt aber nicht.
Gibt es eine einfache und schnelle Möglichkeit, das 10.0.8.x vom 192.168.2.x erreichbar zu machen? Ist bestimmt nur eine Zeile in der Config vom OpenVPN-Server....
Ich freue mich auf eure Antworten.
Danke im Voraus!
LG
ich habe aus Interesse die Nacht mal einen OpenVPN-Server aufgesetzt.
Es handelt sich hierbei nur um eine Bastel-Lösung im Heimbereich zum Experimentieren (mir sind Sachen wie wechselnde öffentliche IP etc. bewusst).
Als OpenVPN-Server wurde ein Debian10 aufgesetzt, welcher sich hinter einem DSL-Router (Speedport) befindet. (UDP öfftl. Port 1194 auf Port 1194 des Debians)
Zur schnellen Installation habe ich das vorgefertigte openvpn-install.sh genutzt.
Die Verbindung von extern (z.B. Handy) funktioniert mit der App wunderbar, ich erhalte eine IP-Adresse im Bereich 10.0.8.x/24
Vom Handy aus ist auch alles erreichbar (Drucker, Speedport, NAS, .....), allerdings kann ich keinen Ping von einem normalen Client im Speedport-LAN (192.168.2.x/24)
auf z.B. das Handy (10.0.8.2/24) schicken.
Zum Testen habe ich auch nochmal auf einem Windows-PC in der cmd "route ADD 10.0.8.0 MASK 255.255.255.0 192.168.2.114" ausgeführt, um den PC das Netz bekannt zu machen. 192.168.2.114 ist dabei der OpenVPN-Server.
Ich vermute mal, dass das 10.0.8.x/24 Netz nicht erreichbar ist, da das Teil NAT oder sowas in der Art macht. Deshalb ist von Handy aus alles erreichbar, umgekehrt aber nicht.
Gibt es eine einfache und schnelle Möglichkeit, das 10.0.8.x vom 192.168.2.x erreichbar zu machen? Ist bestimmt nur eine Zeile in der Config vom OpenVPN-Server....
Ich freue mich auf eure Antworten.
Danke im Voraus!
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1027836193
Url: https://administrator.de/contentid/1027836193
Ausgedruckt am: 19.11.2024 um 05:11 Uhr
3 Kommentare
Neuester Kommentar
allerdings kann ich keinen Ping von einem normalen Client im Speedport-LAN (192.168.2.x/24) auf z.B. das Handy (10.0.8.2/24) schicken.
Der Client im Speedport LAN wird vermutlich den Speedport Router 192.168.2.1 als Default Gateway eingetragen haben, richtig ?Dann läuft folgendes ab:
- Wenn dieser Client nun einen Ping an das Smartphone mit der Ziel IP 10.0.8.2 senden will schickt er es also an den Router, da es ja nicht in seinem eigenen Netz liegt.
- Der Router sieht jetzt in seine Routing Tabelle ob er dort einen Eintrag hat WIE er das 10.0.8.2er Netz erreichen kann. Nun gibt es 2 Optionen:
- 1.) Er hat keinen Eintrag = Er sendet es an seine Default Route zum Provider wo es dann im Nirwana verschwindet, denn wie jedermann weiss sind private RFC 1918er Netze wie dein 10er Netz im Internet nicht routebar.
- 2.) Er hat einen Routing Eintrag der ihm sagt: Route alles für das 10.0.8er Netz an die OpenVPN Server IP 192.168.2.114
Es hängt also von einer statischen Route am Router ab oder im Endgerät wie du es schon richtig erkannt hast. Übers Endgerät ist natürlich blöd, denn das müsste man an jedem Gerät eintragen, deshalb gehören statische Routen immer auf den Router !
Dein Problem ist aber vermutlich das du sehr wahrscheinlich nicht dran gedacht hast das dein Debian OpenVPN Server ja auch ein Router ist ! Logisch, denn er muss ja zwischen 2 Netzen, dem lokalen LAN und dem internen OpenVPN Netz routen.
IPv4 Forwarding (Routing) ist in Betriebssystemen aber in der Regel immer deaktiviert ! Folglich kann dein Debian nicht routen und das Paket wird gedropt.
Das kann man aber schnell ändern indem du in der Datei /etc/sysctl.conf den Eintrag net.ipv4.ip_forward=1 entkommentierst und deinen Server neu bootest.
Eine andere Möglichkeit ist das du in der Tat fälschlicherweise NAT im OpenVPN Tunnelinterface am OVPN Server machst. Das ist natürlich Blödsinn und solltest du sofort entfernen. NAT in eigenen IP Netzen zu machen ist Unsinn und schafft dir durch die NAT Firewall dann eine Routing Einbahnstrasse.
Eins dieser 3 Fehler Optionen sollte dein Problem sofort lösen.
Übrigens...
All diese Dinge werden haarklein im hiesigen OpenVPN_Tutorial im Kapitel IP Forwarding (Routing) beschrieben !!
Einfach nur mal die Suchfunktion benutzen !! 😉
Hallo aqui,
danke für deine ausführliche Antwort.
1) Ja, die Clients haben die Speedport-IP als GW drin stehen. Leider kann dieser Speedport keine statischen Routen (Consumerzeug....). Deshalb nur zum Testen die statische Route auf einem Windows-PC für das 10er Netz.
2) Ich hab mich hier beim Beitrag verschrieben, das OpenVPN-Netz heißt 10.8.0.0 und nicht 10.0.8.0, ist aber erstmal nicht weiter relevant.
3) In der Tat funktioniert es jetzt, nachdem ich die Zeile net.ipv4.ip_forward=1 einkommentiert und die Kiste neugestartet habe.
Danke dir!
Zukünftig muss anstelle des Speedports etwas anderes her, fritzbox oder sowas.. zumindest etwas, was mehr Funktionalität bietet.
Vielen Dank für die schön anschauliche Skizze, vor allem auch für andere die den Beitrag sich anschauen, klasse!
Und natürlich auch nochmal für das Tutorial, werde ich mir in einer ruhigen Minute mal komplett reinziehen.
LG
danke für deine ausführliche Antwort.
1) Ja, die Clients haben die Speedport-IP als GW drin stehen. Leider kann dieser Speedport keine statischen Routen (Consumerzeug....). Deshalb nur zum Testen die statische Route auf einem Windows-PC für das 10er Netz.
2) Ich hab mich hier beim Beitrag verschrieben, das OpenVPN-Netz heißt 10.8.0.0 und nicht 10.0.8.0, ist aber erstmal nicht weiter relevant.
3) In der Tat funktioniert es jetzt, nachdem ich die Zeile net.ipv4.ip_forward=1 einkommentiert und die Kiste neugestartet habe.
Danke dir!
Zukünftig muss anstelle des Speedports etwas anderes her, fritzbox oder sowas.. zumindest etwas, was mehr Funktionalität bietet.
Vielen Dank für die schön anschauliche Skizze, vor allem auch für andere die den Beitrag sich anschauen, klasse!
Und natürlich auch nochmal für das Tutorial, werde ich mir in einer ruhigen Minute mal komplett reinziehen.
LG
Zukünftig muss anstelle des Speedports etwas anderes her,
Besser ist das. Der Router taugt wahrlich nicht viel. 
