exchange
Goto Top

openvpn Win2003 SBS Routing ins Heimnetz

OpenVPN Routing ins Heimnetz

erstmal Hallo an alle, bin hier schon seit jahren ein stiller leser und habe viel dadurch lösen können.

Nun habe ich aber ein Problem bei dem ich nicht weiterkomme.

Auf der Server Seite ist ein Windows 2003 SBS Server (Firewall deaktiviert, DNS, RAS, eingeschaltetem IP Forwarding), Netzwerk: 192.168.178.0 (Server .100)
Auf der Client Seite ist ein Windows XP SP2 Client ohne Firewall., Netzwerk: 192.168.0.0 (Client .50)
Beide Netze besitzen die Subnetmask 255.255.255.0

Ich möchte gerne eine VPN Verbindung (mit openvpn) vom Client zum Server aufbauen. Die Verbindung funktioniert auch bestens. Ich kann folgende Sachen anpingen:
vom Client zum Server:
192.168.179.1 (IP vom VPN Server)
192.168.178.100 (IP vom SBS Server)

vom Server zum Client
192.168.179.2 (IP vom VPN Client)

wenn ich jetzt einen ping an 192.168.178.1 (Hardware Router auf SBS Seite) starte, funktioniert dies nicht. Wenn ich vom Client aus, bei bestehneder VPN Verbindung) ins Internet möchte (ping google.de) geht dies auch nicht. Der DNS Server löst google.de auf, jedoch erhalte ich keine Pakete.

Ich hoffe mal, dass ich das exakt genug erklärt habe. Alle Client Pakete sollen später über die VPN Verbindung geroutet werden.

hier die Konfiguration des VPN Servers:
port 9000

proto udp
mode server
tls-server

dev tap

ifconfig 192.168.179.1 255.255.255.0

ifconfig-pool 192.168.179.2 192.168.179.254

mssfix

dh certs/dh1024.pem
ca certs/ca.crt
cert certs/server.crt
key certs/server.key

ifconfig-pool-persist ipp.txt
keepalive 10 120
auth SHA1
comp-lzo
persist-key
persist-tun
verb 0

push "route 192.168.178.0 255.255.255.0"
push "dhcp-option DNS 192.168.178.100"
hier die Konfiguration des clients:
client
float
dev tap
mssfix
proto udp
remote # 9000
resolv-retry infinite
tls-remote #-Server
ca certs/ca.crt
cert certs/client1.crt
key certs/client1.key
auth SHA1
nobind
comp-lzo
persist-key
persist-tun
verb 5

route-gateway 192.168.179.1
redirect-gateway
route 0.0.0.0 0.0.0.0

ich hoffe, dass mir einer helfen kann face-smile

Wünsche allen ein frohes Weihnachtsfest....

Content-ID: 76587

Url: https://administrator.de/forum/openvpn-win2003-sbs-routing-ins-heimnetz-76587.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

datasearch
datasearch 24.12.2007 um 12:23:35 Uhr
Goto Top
Schau doch mal bitte in die Routingtable am client, ob der push-befehl funktioniert hat. Das kann vorkommen, das das nicht 1A klappt. Du kannst die Route am client in der ovpn config oder per route add -p ... statisch eintragen.
Sind die Routen vorhanden, hat dein Router auf SBS Seite warscheinlich keine Route für das 192.168.179.0/24 Netzwerk über den SBS.

Deine Tabellen sollten in etwa so aussehen:

Table Client:
192.168.0.0 255.255.255.0 192.168.0.50 0
192.168.179.0 255.255.255.0 192.168.179.2 0
192.168.178.0 255.255.255.0 192.168.179.1 10

Table Server:
192.168.178.0 255.255.255.0 192.168.178.100 0
192.168.179.0 255.255.255.0 192.168.179.1 0
0.0.0.0 0.0.0.0 1 192.168.178.1 1

Table Router:
0.0.0.0 0.0.0.0 216.217.218.219 1 ISP-Gateway
192.168.178.0 255.255.255.0 192.168.178.1 0
Lokales Netz
192.168.179.0 255.255.255.0 192.168.178.100 1 // VPN-Netz über SBS-Server

Prüfe das bitte und melde dich wieder. Deine OpenVPN config ist soweit OK.
exchange
exchange 24.12.2007 um 12:41:23 Uhr
Goto Top
Hallo,
danke für die schnelle Antwort.


Log vom Client:
Mon Dec 24 12:32:29 2007 us=245248 Route addition via IPAPI succeeded
Mon Dec 24 12:32:29 2007 us=245472 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.0.1

Mon Dec 24 12:32:29 2007 us=256345 Route deletion via IPAPI succeeded
Mon Dec 24 12:32:29 2007 us=256565 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.179.1
Mon Dec 24 12:32:29 2007 us=263031 Route addition via IPAPI succeeded
Mon Dec 24 12:32:29 2007 us=263253 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.179.1
Mon Dec 24 12:32:29 2007 us=268292 Route addition via IPAPI succeeded
Mon Dec 24 12:32:29 2007 us=268502 route ADD 192.168.178.0 MASK 255.255.255.0 19
2.168.179.1
Mon Dec 24 12:32:29 2007 us=270857 Route addition via IPAPI succeeded

Route print vom Client:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.179.1 192.168.179.2 1
72.14.221.104 255.255.255.255 192.168.0.1 192.168.0.50 1
82.149.225.22 255.255.255.255 192.168.0.1 192.168.0.50 1
91.0.71.55 255.255.255.255 192.168.0.10 192.168.0.50 1
91.0.71.55 255.255.255.255 192.168.0.1 192.168.0.50 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.50 192.168.0.50 20
192.168.0.50 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.50 192.168.0.50 20
192.168.178.0 255.255.255.0 192.168.179.1 192.168.179.2 1
192.168.179.0 255.255.255.0 192.168.179.2 192.168.179.2 30
192.168.179.2 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.179.255 255.255.255.255 192.168.179.2 192.168.179.2 30
193.189.137.205 255.255.255.255 192.168.0.1 192.168.0.50 1
194.129.79.23 255.255.255.255 192.168.0.1 192.168.0.50 1
209.62.177.57 255.255.255.255 192.168.0.1 192.168.0.50 1
209.85.129.104 255.255.255.255 192.168.0.1 192.168.0.50 1
209.85.129.147 255.255.255.255 192.168.0.1 192.168.0.50 1
209.85.135.165 255.255.255.255 192.168.0.1 192.168.0.50 1
213.61.112.191 255.255.255.255 192.168.0.1 192.168.0.50 1
213.203.217.105 255.255.255.255 192.168.0.1 192.168.0.50 1
224.0.0.0 240.0.0.0 192.168.0.50 192.168.0.50 20
224.0.0.0 240.0.0.0 192.168.179.2 192.168.179.2 30
255.255.255.255 255.255.255.255 192.168.0.50 192.168.0.50 1
255.255.255.255 255.255.255.255 192.168.179.2 192.168.179.2 1
Standardgateway: 192.168.179.1
Ständige Routen:
Keine

Route print vom Server:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.100 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.178.0 255.255.255.0 192.168.178.100 192.168.178.100 20
192.168.178.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.178.255 255.255.255.255 192.168.178.100 192.168.178.100 20
192.168.179.0 255.255.255.0 192.168.179.1 192.168.179.1 30
192.168.179.1 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.179.255 255.255.255.255 192.168.179.1 192.168.179.1 30
224.0.0.0 240.0.0.0 192.168.178.100 192.168.178.100 20
224.0.0.0 240.0.0.0 192.168.179.1 192.168.179.1 30
255.255.255.255 255.255.255.255 192.168.178.100 192.168.178.100 1
255.255.255.255 255.255.255.255 192.168.179.1 192.168.179.1 1
Standardgateway: 192.168.178.1
Ständige Routen:
Keine

Ich glaube, du hast recht. Habe vieleicht einen Denkfehler drin.
Meine Überlegung:

Netzwerk mit ca. 10 Rechnern + Server
2 VPN Clients für administrativen Zugriff via Laptop

Die VPN Client müssten dann im selben IP Bereich hängen wie das Netz oder? Momentan geben ich ja via openvpn "dhcp" ein neuen Bereich für die Clients aus.

Oder muss ich die NAT funktionalität des SBS für meine momentane Konfiguration im zusammenspiel mit meiner Überlegung nutzen? Die VPN Clients sollen ja später im Netzwerk genau so hängen, als ob sie am lokalen Switch sein würden.
datasearch
datasearch 24.12.2007 um 13:08:40 Uhr
Goto Top
Die Routen sind OK. Ich würde allerdings nicht das DefaultGW über die VPN umleiten wenn es ein admin-zugang sein soll. Das kann man machen wenn in der Firma ein ISA steht den die user ihn mitnutzen müssen. Die VPN-Clients dürfen sich bei dieser Konfig nicht im selben netz befinden. Dein Prob scheint nur zu sein, das die Hosts im SBS-Netz nicht wissen wie sie das VPN-Netzwerk erreichen sollen. Schau dir bitte mal die routen am gateway an (192.168.178.1). Dort musst du eine route hinzufügen, die in das Netz der VPN-clients über den SBS zeigt. Dann sollte das Gate pingbar sein.

Um das schnell zu testen, füge auf einem PC in deinem internem Netz eine route zu 192.168.179.0 über 192.168.178.100 hinzu.
exchange
exchange 24.12.2007 um 14:46:31 Uhr
Goto Top
Hallo,
danke für deine Hilfe. Ist erledigt.

Das Problem bei meiner Konstellation war, dass ich die Rückroute, wie vermutet, vergessen hatte.

Nun habe ich noch das kleine Problem, dass ich über das VPN nicht ins Internet komme. Ich denke aber, dass das das identische Problem ist.

Server hat nun folgende Routen:
0.0.0.0. 0.0.0.0 über 192.168.178.1 Router
192.168.179.0 255.255.255.0 über 192.168.179.1 SBS Server

Clients bekommen nun als Standard Gateway den SBS Server.

Um ins Internet zu kommen, benötige ich dann wahrscheinlich eine Route auf dem Hardware Router 192.168.178.1.

Damit sollte dann alles bestens sein oder? ich danke Dir für deine Hilfe und wünsche allen im Forum ein Frohes Fest und einen guten Rutsch ins neue Jahr ....

MFG Heiko