PfSense OpenVPN serven startet nicht - too many host addresses
Vorweg meine Konfiguration:
- Router, LAN 10.0.0.1
- pfSense / APU, WAN 10.0.0.2, Bridge 192.168.1.1 (Members: LAN & WiFi)
- pfSense 2.2.2-RELEASE (amd64)
Ich habe einen OpenVPN Server nach dieser Anleitung eingerichtet aber mein openvpn service startet nicht. Die Fehlermeldung aus dem log file ist:
An irgendeiner Stelle habe ich scheinbar den adressierbaren Netzwerkbereich zu gross angegeben, ich weiss allerdings nicht wo, hab da nicht soviel Erfahrung.
Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert. Damit haette ich meine 3 lokalen Netzwerke offensichtlich getrennt. 10.0.0.x zwischen Router und pfSense, 192.168.1.x zwischen allen normalen Clients im WiFi und LAN Bereich und fuer OpenVPN eben den 172.16.1.x Bereich. Wie sinnvoll das ist weiss ich nicht, ich fands 'optisch sauber' aber vermutlich hab ich ja irgendwas falsch gemacht denn sonst wuerde es ja gehen.
- Router, LAN 10.0.0.1
- pfSense / APU, WAN 10.0.0.2, Bridge 192.168.1.1 (Members: LAN & WiFi)
- pfSense 2.2.2-RELEASE (amd64)
Ich habe einen OpenVPN Server nach dieser Anleitung eingerichtet aber mein openvpn service startet nicht. Die Fehlermeldung aus dem log file ist:
openvpn[97889]: Options error: --server directive netmask allows for too many host addresses (subnet must be 255.255.0.0 (/16) or higher)
An irgendeiner Stelle habe ich scheinbar den adressierbaren Netzwerkbereich zu gross angegeben, ich weiss allerdings nicht wo, hab da nicht soviel Erfahrung.
Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert. Damit haette ich meine 3 lokalen Netzwerke offensichtlich getrennt. 10.0.0.x zwischen Router und pfSense, 192.168.1.x zwischen allen normalen Clients im WiFi und LAN Bereich und fuer OpenVPN eben den 172.16.1.x Bereich. Wie sinnvoll das ist weiss ich nicht, ich fands 'optisch sauber' aber vermutlich hab ich ja irgendwas falsch gemacht denn sonst wuerde es ja gehen.
Please also mark the comments that contributed to the solution of the article
Content-ID: 278026
Url: https://administrator.de/contentid/278026
Printed on: November 6, 2024 at 12:11 o'clock
7 Comments
Latest comment
An irgendeiner Stelle habe ich scheinbar den adressierbaren Netzwerkbereich zu gross angegeben, ich weiss allerdings nicht wo, hab da nicht soviel Erfahrung.
Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert.
Ja hier. Warum brauchst du das so groß? 1048574 Hosts?Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert. Damit haette ich meine 3 lokalen Netzwerke offensichtlich getrennt. 10.0.0.x zwischen Router und pfSense, 192.168.1.x zwischen allen normalen Clients im WiFi und LAN Bereich und fuer OpenVPN eben den 172.16.1.x Bereich. Wie sinnvoll das ist weiss ich nicht, ich fands 'optisch sauber' aber vermutlich hab ich ja irgendwas falsch gemacht denn sonst wuerde es ja gehen.
Mhh naja man kann aus jedem der 3 Netze mehrere tausend Subnetze bauen. Vielleicht schaust du dir die basics nochmal an Man macht ja auch kein 10.0.0.0/8 Netz nur weil es geht...
VG
Val
pfSense 2.2.2-RELEASE (amd64)
Gibt es da einen sinnigen Grund für die alte Version ?? Warum nutzt du das aktuelle 2.2.3 nicht ?!Klick auf Update macht einen Autoupdate
Dein Kardinalsfehler ist "172.16.1.0/12" !!! Denn es steht ja auch schon in der Fehlermeldung das die Maske minimal /16 sein darf oder höher. Du hast sie aber eben kleiner gemacht als erlaubt mit /16
Wer lesen kann und will.....! Allein das hätte den Thread hier schon überflüssig gemacht. Aber steht ja oben schon mehrfach....
Hast du einen wirklich triftigen Grund warum du eine /12er Maske verwendest bzw. gibt es einen triftigen Grund warum du unbedingt 1.048.574 also über 1 Million Endgeräte im VPN selber adressieren musst ?
Eigentlich ja völliger Schwachsinn aus technischer Sicht oder hast du schlicht und einfach nicht gewusst was du da machst ??
Das 172.16.1er Netz ist lediglich das VPN interne Netz ! Und mit der /12er Maske versösst du gegen eine interne Konfig Vorgabe.
Vermutlich hast auch du da in deinem VPN sinnvollerweise auch nicht mehr als 253 Endgeräte oder Clients zu bedienen so das du also auch hier mit der im Tutorial angegebenen /24er Maske locker auskommen solltest, oder ??
Änder das also, dann funktioniert das auch sofort !
dass /12 kleiner als /16 ist.
Ahem, sorry kein Kommentar zu deinen Rechnekünsten aber das ist doch kleines Einmaleins.../12 = 1.048.574 IP Adressen
/16 = 65.534 IP Adressen
Was ist nun größer, was kleiner ??
Wenn deine Rechenkünste nicht ausreichen, dann hätte es dir einer der zahllosen Subnetz Rechner im Internet mit ein paar Mausklicks verraten:
http://www.heise.de/netze/tools/netzwerkrechner/
die Verbindung geht leider noch nicht mit dem pfSense exportierten Daten
OK, das rauszufinden ist kinderleicht....:- WAS sagt das OVPN Log in der pfSense ?
- WAS sagt das OVPN Log beim VPN Client ?
Bedenke auch das du das VPN Interface auf der pfSense mit einer entsprechenden FW Regel versiehst damit der VPN Traffic passieren kann.
Testweise ggf. erstmal alles auf any to any schalten und später wieder dichtmachen.
Zusaetzlich 'push' Anweisung waeren doch dafuer nicht noetig, oder?
Wenn das das interne Netzwerk des OVPN Servers ist nicht, das ist richtig. Das ist das was im Server Konfig File mit: server 172.16.2.0 255.255.255.0 z.B. gesetzt ist.Dafür brauchst du KEIN Push Kommando. Für das lokale LAN am Server allerdings schon, dafür ist das zwingend !
Gib auf dem Client ein route print ein wenn es ein Winblows Client ist. Auf der pfSense klickst du unter Dignostics --> Routes und kannst dort sehen ob du alle IP Netze "siehst" !
Ist das der fall ist das Routing OK.