kiwiana
Goto Top

PfSense OpenVPN serven startet nicht - too many host addresses

Vorweg meine Konfiguration:
- Router, LAN 10.0.0.1
- pfSense / APU, WAN 10.0.0.2, Bridge 192.168.1.1 (Members: LAN & WiFi)
- pfSense 2.2.2-RELEASE (amd64)

Ich habe einen OpenVPN Server nach dieser Anleitung eingerichtet aber mein openvpn service startet nicht. Die Fehlermeldung aus dem log file ist:
openvpn[97889]: Options error: --server directive netmask allows for too many host addresses (subnet must be 255.255.0.0 (/16) or higher)

An irgendeiner Stelle habe ich scheinbar den adressierbaren Netzwerkbereich zu gross angegeben, ich weiss allerdings nicht wo, hab da nicht soviel Erfahrung.

Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert. Damit haette ich meine 3 lokalen Netzwerke offensichtlich getrennt. 10.0.0.x zwischen Router und pfSense, 192.168.1.x zwischen allen normalen Clients im WiFi und LAN Bereich und fuer OpenVPN eben den 172.16.1.x Bereich. Wie sinnvoll das ist weiss ich nicht, ich fands 'optisch sauber' aber vermutlich hab ich ja irgendwas falsch gemacht denn sonst wuerde es ja gehen.

Content-ID: 278026

Url: https://administrator.de/contentid/278026

Printed on: November 6, 2024 at 12:11 o'clock

certifiedit.net
Solution certifiedit.net Jul 22, 2015 updated at 11:08:59 (UTC)
Goto Top
Hallo Kiwiana,

172.16.1.0/12 ist größer, (gleich) oder kleiner /16? face-wink

Schönen Gruß - Networkbasics lernen.

VG
119944
Solution 119944 Jul 22, 2015 updated at 11:08:54 (UTC)
Goto Top
An irgendeiner Stelle habe ich scheinbar den adressierbaren Netzwerkbereich zu gross angegeben, ich weiss allerdings nicht wo, hab da nicht soviel Erfahrung.

Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert.
Ja hier. Warum brauchst du das so groß? 1048574 Hosts?

Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert. Damit haette ich meine 3 lokalen Netzwerke offensichtlich getrennt. 10.0.0.x zwischen Router und pfSense, 192.168.1.x zwischen allen normalen Clients im WiFi und LAN Bereich und fuer OpenVPN eben den 172.16.1.x Bereich. Wie sinnvoll das ist weiss ich nicht, ich fands 'optisch sauber' aber vermutlich hab ich ja irgendwas falsch gemacht denn sonst wuerde es ja gehen.
Mhh naja man kann aus jedem der 3 Netze mehrere tausend Subnetze bauen. Vielleicht schaust du dir die basics nochmal an face-wink
Man macht ja auch kein 10.0.0.0/8 Netz nur weil es geht...

VG
Val
aqui
Solution aqui Jul 22, 2015 updated at 11:08:57 (UTC)
Goto Top
pfSense 2.2.2-RELEASE (amd64)
Gibt es da einen sinnigen Grund für die alte Version ?? Warum nutzt du das aktuelle 2.2.3 nicht ?!
Klick auf Update macht einen Autoupdate face-wink

Dein Kardinalsfehler ist "172.16.1.0/12" !!! Denn es steht ja auch schon in der Fehlermeldung das die Maske minimal /16 sein darf oder höher. Du hast sie aber eben kleiner gemacht als erlaubt mit /16
Wer lesen kann und will.....! Allein das hätte den Thread hier schon überflüssig gemacht. Aber steht ja oben schon mehrfach....

Hast du einen wirklich triftigen Grund warum du eine /12er Maske verwendest bzw. gibt es einen triftigen Grund warum du unbedingt 1.048.574 also über 1 Million Endgeräte im VPN selber adressieren musst ?
Eigentlich ja völliger Schwachsinn aus technischer Sicht oder hast du schlicht und einfach nicht gewusst was du da machst ??
Das 172.16.1er Netz ist lediglich das VPN interne Netz ! Und mit der /12er Maske versösst du gegen eine interne Konfig Vorgabe.
Vermutlich hast auch du da in deinem VPN sinnvollerweise auch nicht mehr als 253 Endgeräte oder Clients zu bedienen so das du also auch hier mit der im Tutorial angegebenen /24er Maske locker auskommen solltest, oder ??
Änder das also, dann funktioniert das auch sofort !
kiwiana
kiwiana Jul 22, 2015 at 11:15:03 (UTC)
Goto Top
oder hast du schlicht und einfach nicht gewusst was du da machst...
Im Prinzip ja. Ich habe bis vor Kurzem Subnetze in dieser Form nicht definiert und bin in meiner Unwissenheit davon ausgegangen, dass /12 kleiner als /16 ist.
Danke fuer die schnelle Aufklaerung. Der OpenVPN Service laeuft, die Verbindung geht leider noch nicht mit dem pfSense exportierten Daten...naechstes Problem suchen...
aqui
aqui Jul 22, 2015 updated at 11:23:20 (UTC)
Goto Top
dass /12 kleiner als /16 ist.
Ahem, sorry kein Kommentar zu deinen Rechnekünsten aber das ist doch kleines Einmaleins...
/12 = 1.048.574 IP Adressen
/16 = 65.534 IP Adressen
Was ist nun größer, was kleiner ??

Wenn deine Rechenkünste nicht ausreichen, dann hätte es dir einer der zahllosen Subnetz Rechner im Internet mit ein paar Mausklicks verraten: face-wink
http://www.heise.de/netze/tools/netzwerkrechner/

die Verbindung geht leider noch nicht mit dem pfSense exportierten Daten
OK, das rauszufinden ist kinderleicht....:
  • WAS sagt das OVPN Log in der pfSense ?
  • WAS sagt das OVPN Log beim VPN Client ?
Anahnd der Log Outputs beider Seiten beim Verbindungsaufbau kannst du dann sofort sehen woran es liegt ?
Bedenke auch das du das VPN Interface auf der pfSense mit einer entsprechenden FW Regel versiehst damit der VPN Traffic passieren kann.
Testweise ggf. erstmal alles auf any to any schalten und später wieder dichtmachen.
kiwiana
kiwiana Jul 22, 2015 at 12:40:32 (UTC)
Goto Top
Mit Rechnen hat das nicht viel zu tun wenn man die Syntax nicht gelesen hat und eine falsche Annahme gemacht hat...

Die Verbindung hab ich zustande bekommen, es war eine falsches Keyfile im config Verzeichnis. Mein Problem derzeit ist, dass ich bei bestehender Verbindung keine lokalen IPs sehe derzeit. Ich hatte das so verstanden, dass in den Tunnel Settings des OpenVPN Servers der Eintrag im Feld "IPv4 Local Network/s" (192.168.1.0/24)
das Regeln wuerde. Zusaetzlich 'push' Anweisung waeren doch dafuer nicht noetig, oder?

Firewall Regeln existieren auch, fuer OpenVPN hab ich erstmal eine any Regel drin.
aqui
aqui Jul 28, 2015 at 13:52:19 (UTC)
Goto Top
Zusaetzlich 'push' Anweisung waeren doch dafuer nicht noetig, oder?
Wenn das das interne Netzwerk des OVPN Servers ist nicht, das ist richtig. Das ist das was im Server Konfig File mit: server 172.16.2.0 255.255.255.0 z.B. gesetzt ist.
Dafür brauchst du KEIN Push Kommando. Für das lokale LAN am Server allerdings schon, dafür ist das zwingend !
Gib auf dem Client ein route print ein wenn es ein Winblows Client ist. Auf der pfSense klickst du unter Dignostics --> Routes und kannst dort sehen ob du alle IP Netze "siehst" !
Ist das der fall ist das Routing OK.