(OpenWrt-Lede) Vpnserver und Vpnclient auf einem Router, Vpnclient IP nicht erreichbar über Vpn tunnel

Mitglied: trohn-javolta

trohn-javolta (Level 1) - Jetzt verbinden

01.12.2018 um 11:29 Uhr, 1234 Aufrufe, 42 Kommentare

Hallo an alle, ich kämpfe mit diesem Problem schon seit über einem Jahr, vllt. gibt es hier jemanden der mir helfen kann.
Folgende Situation:

Ich habe auf meinem Linksys Router (Openwrt/Lede läuft darauf) sowohl einen Vpnclient als auch einen Vpnserver aufgesetzt.
Der Vpnclient verbindet sich mit meinem Vpn provider torguard, allerdings wollte ich nicht, dass alle IP's in meinem Netzwerk durch den Vpn Tunnel zum Provider gehen, nur eine IP/Gerät. In der Folge bezeichne ich diese IP/Gerät als odroid-hc2.

Deshalb nutze ich eine vpn-policy-routing app gemeinsam mit den Vpnclient Optionen
und
.
Ich weiß nicht genau was diese vpn-policy-routing app macht, denke es wird eine neue Routing Tabelle erstellt. Hier die Einstellungen der vpn-policy-routing app:


Soweit funktioniert das auch tadellos: Alle IP's gehen ganz normal raus, nur odroid-hc2 geht durch den Tunnel zum Vpn Provider.

Nun kommt der Vpnserver ins Spiel: Da ich mich aus der Ferne erfolgreich zum Vpnserver verbinden kann, nehme ich an, dass grundsätzlich alles korrekt eingestellt ist.
Ich kann so alle IP's erreichen AUßER! eben die odroid-hc2 IP :( face-sad

Im Lan kann ich die odroid-hc2 IP ohne Probleme erreichen.
Kann mir wer helfen, die odroid-hc2 IP auch aus der Ferne zu erreichen?

Mein Routing wissen ist recht begrenzt, vllt. gibt es hier einen Routing Guru der mir weiterhelfen kann.

Zum Schluss möchte poste ich noch die Config files zur firewall, zum Vpnserver und client:



42 Antworten
Mitglied: Spirit-of-Eli
01.12.2018 um 12:48 Uhr
Moin,

du hast nur einen Gedanklichen break.
Die Rückroute vom Odroid scheint durch diese VPN APP Geschichte zu fehlen.
Oder der Zugriff ist nicht mehr erlaubt, da dieser ja eigentlich nur noch in den Tunnel gehen soll.

Gruß
Spirit
Bitte warten ..
Mitglied: aqui
01.12.2018, aktualisiert um 14:01 Uhr
sowohl einen Vpnclient als auch einen Vpnserver aufgesetzt.
Wie immer die Frage WELCHES der zahllosen VPN Protokolle nutzt du ?? Leider dazu kein Wort :-( face-sad
Der Konfig nach zu urteilen ist das OpenVPN also SSL ?!
allerdings wollte ich nicht, dass alle IP's in meinem Netzwerk durch den Vpn Tunnel zum Provider gehen
Dann darfst du KEIN Gateway Redirect machen in der OVPN Server Konfig !
https://openvpn.net/community-resources/how-to/#redirect
Ich kann so alle IP's erreichen AUßER! eben die odroid-hc2 IP
Dem fehlt ganz sicher die Route in das interne OVPN IP Netz des Clients !
Sieh dir auf dem Rechner die Routing Tabelle an (route print = Winblows, netstat -r -n = unixoide OS) !
Beim Odroid MUSS dort eine Route in das interne OVPN IP Netz des Clients sichtbar sein via VPN Server IP.
Ohne diese Route kein Odroid...logisch !
Routing Tabelle und Traceroute Tool sind hier wie immer deine besten Freunde !
Bitte warten ..
Mitglied: trohn-javolta
01.12.2018, aktualisiert um 15:01 Uhr
Zitat von @Spirit-of-Eli:

Moin,

du hast nur einen Gedanklichen break.
Die Rückroute vom Odroid scheint durch diese VPN APP Geschichte zu fehlen.
Oder der Zugriff ist nicht mehr erlaubt, da dieser ja eigentlich nur noch in den Tunnel gehen soll.

Gruß
Spirit

Ok. Und wie könnte ich diese Rückroute nun konkret schaffen?
Bitte warten ..
Mitglied: trohn-javolta
01.12.2018, aktualisiert um 15:01 Uhr
Zitat von @aqui:

Der Konfig nach zu urteilen ist das OpenVPN also SSL ?!
Openvpn ja.

Dann darfst du KEIN Gateway Redirect machen in der OVPN Server Konfig !
https://openvpn.net/community-resources/how-to/#redirect
Sry das versteh ich nicht. Der redirect gateway Eintrag in meiner server conf betriff ja clients die sich auf meinen Vpnserver verbinden.
Hier hab ich ja IP's aus meinem Lan gemeint, die rausgehen.
Dem fehlt ganz sicher die Route in das interne OVPN IP Netz des Clients !
Leider hab ich keine Ahnung wie ich dies ändern kann. Könntest du mir da helfen? Hab mir alles soweit angelesen um Server u. Client so aufzusetzen, dass alles soweit funktioniert aber wenns dann um irgendwelche Routen oder Tabellen geht steig ich aus :( face-sad
Sieh dir auf dem Rechner die Routing Tabelle an (route print = Winblows, netstat -r -n = unixoide OS) !
Beim Odroid MUSS dort eine Route in das interne OVPN IP Netz des Clients sichtbar sein via VPN Server IP.
Ohne diese Route kein Odroid...logisch !
Ok, wenn ich auf einer anderen IP netstat -r -n laufen lasse bekomm ich diesen Output:

Und der output der Odroid IP ist dieser:

Bitte warten ..
Mitglied: Spirit-of-Eli
01.12.2018 um 15:01 Uhr
In dem du dir erstmal die Routing table anschaust.
Wenn dort keine Route vom Subnetz des Odroid zum entsprechenden Ziel ist, solltest du diese händisch ergänzen.
Bitte warten ..
Mitglied: aqui
01.12.2018, aktualisiert um 15:12 Uhr
Und der output der Odroid IP ist dieser:
Siehst du ja dann wohl (hoffentlich) selber, oder ??!!
Fairerweise müsste man natürlich noch die Routing Tabelle des Routers 192.168.1.1 mal sehen ob es dort eine spezifische Route ins 192.168.200.0 /24er Netz gibt ?!

Der VPN Server hat intern das 192.168.200.0 /24er Netz mit dem der VPN Client am Server ankommt !
Wenn der Odroid nun das IP Paket bekommt will er das an den Client mit der 192.168.200.x zurücksenden.
Da ihm die spezifische Route auf die VPN Server IP fehlt, sendet er es dann an sein Default Gateway 192.168.1.1 was vermutlich der Internet Router ist und der sendet es OHNE spezifische Route 192.168.200er Route dann ins (Provider) Nirwana (Private RFC 1918 IP).
Klar also das das nicht geht sollte diese Route im .1.1er Router fehlen...?!
Füge also am Router 192.168.1.1 eine statische Route ins 192.168.200.0 /24 Netz hinzu mit Next Hop VPN Server IP.
Das sollte das Problem fixen !
Kann der keine statischen Routen dann direkt auf dem Odroid mit route add 192.168.200.0 mask....
Bitte warten ..
Mitglied: trohn-javolta
01.12.2018 um 15:52 Uhr
Zitat von @aqui:

Fairerweise müsste man natürlich noch die Routing Tabelle des Routers 192.168.1.1 mal sehen ob es dort eine spezifische Route ins 192.168.200.0 /24er Netz gibt ?!
Hier der Output vom Router (192.168.1.1):

Der VPN Server hat intern das 192.168.200.0 /24er Netz mit dem der VPN Client am Server ankommt !
Wenn der Odroid nun das IP Paket bekommt will er das an den Client mit der 192.168.200.x zurücksenden.
Da ihm die spezifische Route auf die VPN Server IP fehlt, sendet er es dann an sein Default Gateway 192.168.1.1 was vermutlich der Internet Router ist und der sendet es OHNE spezifische Route 192.168.200er Route dann ins (Provider) Nirwana (Private RFC 1918 IP).
Super erklärt, hab sogar ich als noob verstanden. Wusst bis jz gar nicht dass die odroid IP überhaupt was bekommt u. "nur" das zurücksenden das Problem ist.
Füge also am Router 192.168.1.1 eine statische Route ins 192.168.200.0 /24 Netz hinzu mit Next Hop VPN Server IP.
Das sollte das Problem fixen !
Kann der keine statischen Routen dann direkt auf dem Odroid mit route add 192.168.200.0 mask....

Also am Router gibt's die Option statische Routern hinzuzufügen, aber ich steh schon beim ersten Punkt an: Schnittstelle...lan oder?
Kannst du mir da noch helfen? Hier ein Bild von den Optionen:
unbenannt - Klicke auf das Bild, um es zu vergrößern

Auswählen kann bei Schnittstellen zw. Lan, Wan ,Wan6, torguardvpn, gastwlan, vpnserver.
Bei Routen Typ: unicast, local, broadcast, multicast, unreachable, prohibit, blackhole, anycast.
Bitte warten ..
Mitglied: trohn-javolta
06.12.2018 um 13:43 Uhr
Wird meine Frage hier absichtlich nicht weiterbehandelt? Schaffe es nicht diese Rückroute einzutragen u. wäre für jede konkrete Antwort um das Problem zu lösen dankbar.
Bitte warten ..
Mitglied: aqui
06.12.2018, aktualisiert um 14:00 Uhr
Schaffe es nicht diese Rückroute einzutragen
Warum nicht ??
Gaaanz langsam mit der Tastatur eingeben und die <Return> Taste nicht vergessen zu drücken !
Danach die Routing Tabelle ansehen und checken ob sie eingetragen wurde.
Fertsch.
Was ist so schwer daran ? Das hätte auch Johnny Travo seinerzeit geschafft ;-) face-wink
Bitte warten ..
Mitglied: trohn-javolta
06.12.2018, aktualisiert um 14:25 Uhr
Zitat von @aqui:

Schaffe es nicht diese Rückroute einzutragen
Warum nicht ??
Gaaanz langsam mit der Tastatur eingeben und die <Return> Taste nicht vergessen zu drücken !
Danach die Routing Tabelle ansehen und checken ob sie eingetragen wurde.
Fertsch.
Was ist so schwer daran ? Das hätte auch Johnny Travo seinerzeit geschafft ;-) face-wink

Wie gesagt, ich weiß nicht was ich eingeben müss. Und ob ich hier in den Routereinstellungen überhaupt richtig bin.
Fängt bei der Schnittstelle schon an: Muss ich nicht von der vpnclient Schnittstelle zur vpnserver Schnittstelle routen?
Diese Option hab ich in dem Dialog gar nicht. Ziel ist in dem Fall das Vpnserver Subnetz 192.168.200.0 oder? Und was dann bei Gateway und Routentyp?
Bitte warten ..
Mitglied: aqui
06.12.2018 um 14:31 Uhr
Ja, der Odroid hat ja als Default Router den Internet Router angegeben.
Die Route muss also auf dem Router eingestellt werden und da es sich rein komplett auf dem LAN Port abspielt ist "LAN" dort logischerweise auch richtig.
Dort gibst du das Zielnetz an, sprich das interne OVPN Netz und den Next Hop um dahin zu kommen. Letzteres ist der OVPN Server bzw. seine LAN IP Adresse im LAN Netz des Routers.
Da das Netz am OVPN Server selber direkt dran ist "kennt" der das also. Dessen Default Gateway zeigt auch auf den Router.
Fertsch ! ;-) face-wink
Bitte warten ..
Mitglied: trohn-javolta
06.12.2018 um 15:13 Uhr
Zitat von @aqui:

Ja, der Odroid hat ja als Default Router den Internet Router angegeben.
Die Route muss also auf dem Router eingestellt werden und da es sich rein komplett auf dem LAN Port abspielt ist "LAN" dort logischerweise auch richtig.
Dort gibst du das Zielnetz an, sprich das interne OVPN Netz und den Next Hop um dahin zu kommen. Letzteres ist der OVPN Server bzw. seine LAN IP Adresse im LAN Netz des Routers.
Da das Netz am OVPN Server selber direkt dran ist "kennt" der das also. Dessen Default Gateway zeigt auch auf den Router.
Fertsch ! ;-) face-wink

Meinst du mit next hop das gateway?..
Würds so funktionieren:
img_041 - Klicke auf das Bild, um es zu vergrößern

Bei Routen Typ local?
Bitte warten ..
Mitglied: trohn-javolta
06.12.2018 um 15:34 Uhr
Funktioniert leider nicht :( face-sad
Bitte warten ..
Mitglied: aqui
06.12.2018 um 18:26 Uhr
Sorry, aber diese Route ist doch Schwachsinn !!!
Siehst du doch auch selber !!
Du sagst ihm wie der Router ein ihm unbekanntes Netzwerk .200.0 erreichen kann und gibst ihm dann als Gateway um dahin zu kommen eine IP Adresse die auch in dem ihm unbekannten Netzwerk liegt.
Wie soll der arme Router da also jemals hinkommen...??
Den Blödsinn siehst du wohl auch selber, oder ? Kannst du gleich wieder löschen !

Welche LAN IP hat denn dein OVPN Server im lokalen LAN am Router ? Das muss ja eine 192.168.1.x Adresse sein, richtig ? Gleiches IP Netz wie der LAN Port des Routers.
Die Route muss also lauten:
Ziel: 192.168.200.0, Maske: 255.255.255.0, Gateway: 192.168.1.x

Wobei x die OVPN LAN IP ist.

In der OVPN Server Konfig oben ist auch noch ein ziemlicher Fehler:
Der OVPN Server hat ja am LAN Port eine 192.168.1.x IP und sein internes IP Netz ist 192.168.200.0
In der Konfig steht aber: "push 'route 192.168.200.0 255.255.255.0' " und damit ein völlig falsches Push Route Kommando !
Hier muss das Netzwerk des lokalen LANs stehen und nicht das des internen OVPN Netzes was ja so oder so alle Clients kennen. Das LAN was sie nicht kennen muss er per push route Kommando an die Clients propagieren.
Also "push 'route 192.168.1.0 255.255.255.0' "
Steht auch immer so in allen OVPN Dokus wie z.B. hier:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
Vermutlich funktioniert es wenn du diese beiden Fehler noch beseitigst.
Bitte warten ..
Mitglied: trohn-javolta
06.12.2018 um 18:50 Uhr
Sry ich kenn mich nun immer weniger aus. Wie kann man diese LAN IP des Ovpn Servers im lokalen Lan herausfinden? Kann mich beim aufsetzten des Ovpn Servers nicht erinnern eine solche irgendwo angeg. zu haben.

Habe zum Aufsetzten des Ovpn Servers dieses Tutorial befolgt: https://oldwiki.archive.openwrt.org/doc/howto/openvpn-streamlined-server ...
Bitte warten ..
Mitglied: aqui
07.12.2018, aktualisiert um 14:43 Uhr
Wie kann man diese LAN IP des Ovpn Servers im lokalen Lan herausfinden?
Sorry, aber die hast DU doch selber installiert und konfiguriert.
Das ist der LAN Port auf dem Gerät wo der OVPN Server rennt, ist doch logisch !
Bei dir also (vermutlich) deine OpenWRT Gurke wohl. Oder wenn nicht wodrauf rennt denn der OVPN Server ?

Der OVPN bzw. sein Setup braucht das auch nicht aber du musst ihm doch das lokale LAN was er an seinem LAN Port hat nach außen propagieren lassen.
Niemals das interne IP Netz (.200.0) das kennt er doch selber !

Wenn das dein OpenWRT ist und die CLI Zugang hast gibst du mal ifconfig ein oder siehst im Web GUI nach welche IP dort am LAN Port von dir konfiguriert wurde.
Bitte warten ..
Mitglied: trohn-javolta
14.12.2018 um 13:26 Uhr
Sry für die späte Antwort, hab nun den gewünschten Output von ifconfig.
Sorry, aber die hast DU doch selber installiert und konfiguriert.
Das ist der LAN Port auf dem Gerät wo der OVPN Server rennt, ist doch logisch !
Verstehe was du meinst, kann mich aber nicht erinnern das irgendwo festgelegt zu haben. Das Tutorial nach dem vorgegangen bin hab ich ja schon verlinkt.
Bei dir also (vermutlich) deine OpenWRT Gurke wohl. Oder wenn nicht wodrauf rennt denn der OVPN Server ?
Genau, wie gesagt: OVPN Server und OVPN Client laufen auf dem selben Router, einem Linksys 1900acs auf welchem OpenWRT läuft.
Wenn das dein OpenWRT ist und die CLI Zugang hast gibst du mal ifconfig ein oder siehst im Web GUI nach welche IP dort am LAN Port von dir konfiguriert wurde.
Hier also der Output von ifconfig:
img_042 - Klicke auf das Bild, um es zu vergrößern
img_043 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
15.12.2018 um 16:09 Uhr
Arbeitest du mit VLANs ? Nich nachgefragt wegen der Interfaces eth 1.2 und eth 0.1. Das isnd in der Regel VLAN Interfaces ?
Wichtig fürs Routing sind aber die beiden Tunnel interfaces !
Die IP Netze 10.22.0.0 /24 und 192.168.200.0 /24 MUSST du auf dem Internet Router statisch auf das br-lan interface als next Hop routen.
Bitte warten ..
Mitglied: trohn-javolta
15.12.2018 um 16:37 Uhr
Kenn mich nun gar nicht mehr aus. Was ist nun die LAN IP des Ovpn Servers?
Die IP Netze 10.22.0.0 /24 und 192.168.200.0 /24 MUSST du auf dem Internet Router statisch auf das br-lan interface als next Hop routen.
Wie stelle ich das an?? Kannst du mir nicht einfach sagen, was bei der statischen Route einzutragen ist?

Hier: https://administrator.de/images/c/1/5/e04ed6a1ecb07f13e8622119c49cbb66.j ...

Was soll ich wo eintragen? Mehr möchte ich nicht wissen.
Bitte warten ..
Mitglied: aqui
16.12.2018 um 14:37 Uhr
Was ist nun die LAN IP des Ovpn Servers?
Das ist das Interface mit der dein OpenVPN Server im lokalen LAN Heimnetz) angeschlossen.
Wenn das also dein OpenWRT ist, dann ist es die IP Adresse die der OpenVPN Router (daruf läuft ja der OpenVPN Server !) im lokalen Heimnetz hat !
Ganz einfach....
Kannst du mir nicht einfach sagen, was bei der statischen Route einzutragen ist?
Klar, es kommt immer auf die Syntax dieser Routen im Internet Router an das ist Hersteller spezifisch. Es folgt aber immer einem gleichen Muster.
Du musst dort ins Routing Setup und dann dort eingeben:
Zielnetz: 10.22.0.0 Maske: 255.255.255.0 Gateway: <LAN_IP_OVPN-Sewrver>
Zielnetz: 192.168.200.0 Maske: 255.255.255.0 Gateway: <LAN_IP_OVPN-Sewrver>

Fertisch !
Auf "hinzufügen" klicken, beide Routen eingeben, Metrik lässt du auf 1 und MTU default ebenso Routen Typ.
Fertisch !
Am Ende sollten dann da beide Routen drinstehen ! Ggf. Screenshot zum Prüfen posten hier...
Bitte warten ..
Mitglied: trohn-javolta
16.12.2018, aktualisiert um 18:51 Uhr
Du musst dort ins Routing Setup und dann dort eingeben:
Zielnetz: 10.22.0.0 Maske: 255.255.255.0 Gateway: <LAN_IP_OVPN-Sewrver>
Zielnetz: 192.168.200.0 Maske: 255.255.255.0 Gateway: <LAN_IP_OVPN-Sewrver>

Fertisch !
Auf "hinzufügen" klicken, beide Routen eingeben, Metrik lässt du auf 1 und MTU default ebenso Routen Typ.
Fertisch !
Am Ende sollten dann da beide Routen drinstehen ! Ggf. Screenshot zum Prüfen posten hier...

Nö, so funktioniert's mal definitiv nicht.
laskjfaöklfjdsalk - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
17.12.2018 um 13:53 Uhr
Aber das Bild zeigt doch DAS es funktioniert ??
Oder meinst du die Gesamtfunktion ??
Bedenke auch wenn dein Router ein Firewall Router ist das du die Firewall Regeln entsprechend für diese netze anpasst. Sonst wird es natürlich trotz richter Routen weiterhin nicht klappen wenn die den Traffic blocken.
Bitte warten ..
Mitglied: trohn-javolta
17.12.2018, aktualisiert um 18:09 Uhr
Aber das Bild zeigt doch DAS es funktioniert ??
Oder meinst du die Gesamtfunktion ??

Meine natürlich das das Erreichen des Odroid via Vpn Verbindung.
Warum ich jetzt überhaupt 2 Routen brauche versteh ich schon nicht. Lt. einem älteren Kommentar von dir fehlt die Rückroute vom Odroid ins Ovpn Server Netz. Warum nun 2 Routen?
Bedenke auch wenn dein Router ein Firewall Router ist das du die Firewall Regeln entsprechend für diese netze anpasst. Sonst wird es natürlich trotz richter Routen weiterhin nicht klappen wenn die den Traffic blocken.
Wie soll ich das bedenken, wenn ich keine Ahnung von der Materie hab? :D
Ok, also braucht es Änderungen an der Firewall auch noch. Sagst du mir auch welche? Da lässt sich ziemlich viel einstellen:
Das sieht man unter allgemeine Einstellungen:
laskjfaöklfjdsalk - Klicke auf das Bild, um es zu vergrößern
dann gibts noch den Punkt Portweiterleitungen..brauche ich denke ich nicht?..
und dann gibt's noch Verkehrsregeln:
verkehrsreg1 - Klicke auf das Bild, um es zu vergrößern


verkehrsreg2 - Klicke auf das Bild, um es zu vergrößern
und zu guter Letzt benutzerdefinierte Regeln:
benutzerdefinierte regeln - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
18.12.2018 um 12:31 Uhr
Nur mal blöd nachgefragt:
Ist dein Openwrt/Lede Router auch gleichzeitig dein Internet Router ??
Wenn ja:
Ist der direkt ans Internet angeschlossen via integriertem Modem oder bedtreibst du den in einer Router Kaskade mit einem weiteren NAT Router davor ??
Nur um mal eine L3 Zeichnung hier zu posten wie das Routing dann läuft ! Oder laufen soll....
Bitte warten ..
Mitglied: trohn-javolta
18.12.2018, aktualisiert um 12:50 Uhr
Ist dein Openwrt/Lede Router auch gleichzeitig dein Internet Router ??
Ja ist er. Hier ein Bild (nur die Geräte+IP Adressen darauf sind nicht mehr ganz aktuell. Und das vpn client interface ist tun0, vpn server tun1):
https://administrator.de/images/c/1/4/21aefab0bdf81478ead19de791f9de4e.j ...
Homeserver= Odroid
Wenn ja:
Ist der direkt ans Internet angeschlossen via integriertem Modem oder bedtreibst du den in einer Router Kaskade mit einem weiteren NAT Router davor ??
Davor ist nur das Modem vom ISP.
Bitte warten ..
Mitglied: aqui
18.12.2018, aktualisiert um 13:10 Uhr
Nochmal nachgefragt...
Ist das "Modem" wirklich ein reines NUR Modem ?? Also ein passiver Medienwandler der KEIN IP Forwarding macht ?
Sprich du hast am WAN/Internat Port des Openwrt/Lede Router eine öffentliche Provider IP ??
Oder ist das ein aktiver NAT Router ?
Zu befürchten ist das der Ciusco im Router Mode arbeitet. Meist sind das Kabel TV Router.
Kann man immer sehen ob man am Kaskade Port (LAN Port Cisco) eine private RFC 1918 IP bekommt oder hat.
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Genau dann ist es ein Router und kein Modem.
Bitte warten ..
Mitglied: trohn-javolta
18.12.2018 um 13:34 Uhr
Nochmal nachgefragt...
Ist das "Modem" wirklich ein reines NUR Modem ?? Also ein passiver Medienwandler der KEIN IP Forwarding macht ?
Sprich du hast am WAN/Internat Port des Openwrt/Lede Router eine öffentliche Provider IP ??
Ja, konkret handelt es sich um dieses Modem: Cisco EPC3212
Ja, am Openwrt Router sehe ich unter der WAN Schnittstelle die öffentliche Provider IP.
Bitte warten ..
Mitglied: aqui
18.12.2018, aktualisiert um 13:46 Uhr
OK, damit ist es dann wirklich ein reines Modem ;-) face-wink

Damit ist dann natürlich die gesamte obige Routen Diskussion obsolet ! :-( face-sad
Klar, denn diese ging von einer Router Kaskade aus. OK, vergessen das Ganze...
Wenn aber nun der Openwrt/Lede Router die Komponente ist die zentral ALLE IP Netze direkt an sich selbst angeschlossen hat, dann sind die o.a. Routern natürlich vollkommen überflüssig und auch gefährlich.
Die solltest du also schnellstens wieder entfernen !

Der Homeserver wie auch generell ALLE anderen Endgeräte im lokalen LAN 192.168.1.0 /24 haben dann den Openwrt/Lede Router ja als Default Gateway.
Alle IP Netze sind da also zentral beheimatet und so "kennt" der auch alles an lokalen IP Netzen und VPN Netzen und was er eben nicht kennt geht zum Provider.
Also Fazit:
Alle Statischen Routen wieder weg !
Openwrt/Lede Router hat nur eine einzige Default Route zum Provider.

Der Fehler liegt woanders....
Deine lokale IP LAN Adressierung mit 192.168.1.0 /24 ist nicht gerade sehr intelligent wenn man ein VPN nutzt.
Hast du dir hier DAS mal zu dem Thema durchgelesen:
https://administrator.de/wissen/vpns-einrichten-pptp-117700.html#toc-7
Könnte das ein mögliches Problem sein wenn du von remote zugreifst ??
Ansonsten bleibt nur das Firewall Regeln dir da einen Streich spielen.
Bitte warten ..
Mitglied: trohn-javolta
18.12.2018 um 14:10 Uhr
Lol, nach 28 Antworten sind wir wieder komplett bei 0 :( face-sad
Hilft dir vllt. der Output der von mir verwendeten, eingangs erwähnten vpn-policy-routing app weiter?



Deine lokale IP LAN Adressierung mit 192.168.1.0 /24 ist nicht gerade sehr intelligent wenn man ein VPN nutzt.
Hast du dir hier DAS mal zu dem Thema durchgelesen:
https://administrator.de/wissen/vpns-einrichten-pptp-117700.html#toc-7
Könnte das ein mögliches Problem sein wenn du von remote zugreifst ??
Das lokale IP Netz möchte ich ungern komplett umstellen.
Ansonsten bleibt nur das Firewall Regeln dir da einen Streich spielen.
Fragt sich welche Regeln konkret...oder vllt. fehlt eine Regel?
Bitte warten ..
Mitglied: trohn-javolta
18.12.2018 um 14:15 Uhr
...Müsste nicht eine Weiterleitung von der Firewall Zone vom vpn client (vpnclientfw) zur lan Zone erlaubt sein?
Aktuell steht neben der vpn client fw Zone nur Reject:
https://administrator.de/images/c/1/5/dd29e10eb588f2bdbc4b139fcf0b41a8.j ...
...Vllt. liegts daran. Eingangs meinte ja jemand, dass ich schon zum Odroid "hinkomme" aber dann nicht mehr zurück?.... Ich hab keine Ahnung, denk mir immer nur: Für jemanden, der sich auskennt müsste das doch ein Klacks sein, wenn da vllt. irgendwo eine Route und/oder eine Firewall regel fehlt.
Schade, dass ich nach über einem Jahr herumprobieren und herumfragen noch immer keinen Millimeter weiter bin :( face-sad
Bitte warten ..
Mitglied: aqui
18.12.2018 um 14:17 Uhr
Hilft dir vllt. der Output der von mir verwendeten, eingangs erwähnten vpn-policy-routing app weiter?
Ja, hilft.
Noch hilfreicher wäre aber die Routing Tabelle des OpenWRT bei aktiven VPNs sprich ein netstat -r -n.
Aber nur wenn die Routen wieder komplett bereinigt wurden.
Das lokale IP Netz möchte ich ungern komplett umstellen.
Na ja sofern nur irgendeine deiner remoten Sessions sei es auf Client Seite oder auch Server Seite deines OpenVPNs auch ein 192.168.1er Netz betreibt ist es gleich komplett aus mit allen deinen VPN Verbindungen.
Ist dir vermutlich auch klar, oder ?
Die .1.0 ist mit großem Abstand das am meisten benutzte lokale Heimnetz aus Adress Sicht. Deshalb die Anmerkung das das nun wahrlich nicht besonders intelligent ist im VPN Umfeld.
Aber nungut. Wenn du ausschliessen kannst das kein einziger deiner remoten VPN Partner so ein netz benutzt dann ist das OK und wird dann klappen. Das muss aber wasserdicht sein !
Fragt sich welche Regeln konkret...oder vllt. fehlt eine Regel?
Möglich ist sowohl als auch...?!
Gibt es auf der Kiste ein Firewall Log was das ggf. anzeigt was geblockt wird ?
Bitte warten ..
Mitglied: trohn-javolta
18.12.2018, aktualisiert um 14:30 Uhr
Noch hilfreicher wäre aber die Routing Tabelle des OpenWRT bei aktiven VPNs sprich ein netstat -r -n.
Aber nur wenn die Routen wieder komplett bereinigt wurden.
Routen wurden bereinigt, hier der Output:


Bitte warten ..
Mitglied: aqui
18.12.2018 um 15:26 Uhr
Das sieht gut aus !
Der Fehler kann jetzt einzig und allein nur in den Firewall Regeln liegen.
Sowas wie NAT auf den VPN Tunneladapter tun0 und tun1 machst du (hoffentlich) nicht, oder !?
Bitte warten ..
Mitglied: trohn-javolta
18.12.2018 um 15:36 Uhr
Zitat von @aqui:

Das sieht gut aus !
Der Fehler kann jetzt einzig und allein nur in den Firewall Regeln liegen.
Sowas wie NAT auf den VPN Tunneladapter tun0 und tun1 machst du (hoffentlich) nicht, oder !?
Weiß ich nicht, kann ich dir nicht beantworten.

Hilft dir die /etc/config/firewall vom 1. Betrag irgendwie weiter?
Bitte warten ..
Mitglied: aqui
18.12.2018 um 15:41 Uhr
Müsste über die iptables realisiert werden. Kannst du die Regeln dort mal mit iptables -S anzeigen lassen ?
Ggf. kann man das auch über das GUI machen.
Bitte warten ..
Mitglied: trohn-javolta
18.12.2018 um 15:53 Uhr
Hier der Output, die Namen sind ggf. etwas verwirrend, versuche mal anzuführen was wie heißt:

Schnittstellennamen:
gastwlan = br-gastwlan
lan = br-lan
torguardvpn = tun0
vpnserver = tun1
wan = eth1.2

Firewallzonen-namen:
wan
lan
gastwlanfw = Zone vom gastwlan/ br-gastwlan
vpnserver = Zone vom vpnserver/ tun1
vpnclientfw = Zone vom torguardvpn/tun0




Bitte warten ..
Mitglied: trohn-javolta
03.01.2019 um 14:23 Uhr
Zitat von @aqui:

Müsste über die iptables realisiert werden. Kannst du die Regeln dort mal mit iptables -S anzeigen lassen ?
Ggf. kann man das auch über das GUI machen.

Hi, wollte nur kurz an meinen Beitrag hier erinnern. Lt. deiner letzten Antwort kann das Problem eig. nur an fehlenden iptables Regeln liegen. Kannst du mir da weiterhelfen, welche iptables Regel(n) ich ergänzen muss?
Bitte warten ..
Mitglied: trohn-javolta
26.01.2019 um 09:40 Uhr
Wirklich schade, dass meine Frage hier nach so langem Verlauf nicht weiter beantwortet wird, vor allem wenn es vllt. nur an irgendeiner simplen firewall regel scheitert. :( face-sad
Bitte warten ..
Mitglied: aqui
26.01.2019 um 18:53 Uhr
Dann schmeiss doch mal den Firewall Debugger an sieh dir an was genau dort dann gedropt wird !
Oder benutze eine Hardware die das entsprechend besser kann..
Bitte warten ..
Mitglied: trohn-javolta
28.01.2019 um 06:55 Uhr
:D Das wär ca. So als würdest du jemanden, der fragt wie etwas in einem Programm funktioniert, sagst: Schau mal in den Quellcode vom Programm rein, dann kommst du schon drauf, zur not schmeiß halt einen Kompiler an. XD
Ich kenn mich damit nicht aus, drum frag ich ja hier nach. Oder wird hier d-von ausgeg. Dass man Netzerkkentnisse hat?...dann brauch ich ja die Frage funktion hier gar nicht :D
Bitte warten ..
Mitglied: Spirit-of-Eli
28.01.2019 um 06:57 Uhr
Also Basiswissen sollte schon da sein.
Bitte warten ..
Mitglied: trohn-javolta
28.01.2019 um 08:32 Uhr
Ok, das hab ich dann wohl nicht.
Kennt ihr zufällig ein anderes Forum wo man so eine Frage ohne Basiswissen stellen kann u. diese auch noch präzise Beantwortet bekommt?

Ich bin hier wirklich am Ende meines Lateins. Die Frage umfasst jz schon 41 Beträge in welchen ich etliche Informationen gepostet habe und immer andere Antworten gekommen sind.
Mir kam es zwischendurch so vor, als würde der Beantworter @aqui stellenweise gar nicht mehr wissen, wie die ursprüngliche Frage eigentlich war.

So, nun will ich wieder etwas zurückrudern: Ist mir natürlich klar, dass ich hier nicht erwarten kann, dass auf alle Fragen sofort eine Antwort kommt die mir auch weiterhilft. Ich weiß auch, dass ihr das hier in eurer kostbaren Freizeit macht u. gar nicht machen müsstet. Das ist aller Ehren Wert, keine Frage!
Aber so eine lange Frage wie meine hier verschwendet ja nicht nur meine Zeit sondern vor allem eure.
Hätte @aqui irgendwo in der Mitte mal geschrieben
- "du, ich weiß grad auch nicht warum das nicht funktioniert oder wie du das hinbekommst" oder vllt. "es ist zu kompliziert es jemanden zu vermitteln der zu wenig Ahnung hat, wie du. Das wär ein Fall für jemanden, der Zeit hat und sich das bei dir per Fernwartung anschaut." -
wär das für mich voll ok gewesen.

Nun sind seit der Fragestellung fast 2 Monate vergangen und ich bin genau dort wo ich vor 2 Monaten war. Und das Ganze hat vor allem @aqui Zeit und wahrsch. auch Nerven gekostet..völlig umsonst.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Server 2019 TS Installation Lizenzproblem
gelöst griffinVor 1 TagFrageWindows Server15 Kommentare

Hallo, hänge hier bei der Einrichtung des Terminal Servers eines Server 2019 der ist als VM installiert und hängt in einer Domäne, die Remotedesktopdienste ...

Netzwerke
Was passiert wenn ich zeitgleich PoE und Strom vom Netzteil an einen Access Point (Mikrotik) lege?
kartoffelesserVor 1 TagFrageNetzwerke3 Kommentare

Hallo Experten und Admins Ich habe einen Mikrotik wAP ac (RB-WAPG-5HACD2HND) an einem Laptopwagen im Einsatz. Leider ist die vorhandene Stromversorgung für den AP ...

Windows 10
Installation von Geräten per GPO steuern
DoskiasVor 1 TagFrageWindows 1010 Kommentare

Hallo liebe Liebenden :-) heute ist nicht Freitag, also kommt hier keine Freitagsfrage. Heute ist Donnerstag, also kommt hier eine Donnerstags-Knobelaufgabe. Die Situation: Die ...

Windows Server
Veeam Endpoint Backup FREE zur Sicherung eines DCs
gelöst takvorianVor 1 TagFrageWindows Server7 Kommentare

Hallo zusammen, ich habe hier bei mir 1 Hypervisor mit 4 VMs (darunter 1 DC) welche ich mittels backupAssist alle wegsichere. Klappt soweit auch ...

Netzwerkprotokolle
Proxy Zugang von Extern
Jannik2018Vor 18 StundenFrageNetzwerkprotokolle12 Kommentare

Hallo zusammen, ich habe mir einen Squid Proxy auf einer Linux VM aufgesetzt und möchte das man aus allen netzen drauf zugreifen kann allerdings ...

Windows Server
Windows 10 VM auf Server 2019 Essentials
jhuedderVor 20 StundenFrageWindows Server8 Kommentare

Hallo, einer meiner Kunden möchte aus Kostengründen einen Windows Server 2019 (direkt auf einer physikalischen Maschine installiert) erwerben und dort für einen Außendienstler mit ...

Microsoft
Immer noch Druckerprobleme nach Windows Updates
Disse1987Vor 1 TagFrageMicrosoft8 Kommentare

Hallo zusammen, evtl. hat ja jemand von euch noch eine Bahnbrechende Idee Wie soviele andere auch, hatten wir bei unseren Kunden jede Menge Arbeit ...

LAN, WAN, Wireless
VLAN trunk IP-Adressvergabe klappt nicht
gelöst ChristianM75Vor 1 TagFrageLAN, WAN, Wireless14 Kommentare

Hallo in die Runde, zu allererst hoffe ich das ihr alle ein schönes Osterfest, und ein paar erholsame Tage hattet. Nun zu meinem Testaufbau ...