Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

PfSense OpenVPN serven startet nicht - too many host addresses

Mitglied: kiwiana
Vorweg meine Konfiguration:
- Router, LAN 10.0.0.1
- pfSense / APU, WAN 10.0.0.2, Bridge 192.168.1.1 (Members: LAN & WiFi)
- pfSense 2.2.2-RELEASE (amd64)

Ich habe einen OpenVPN Server nach dieser Anleitung eingerichtet aber mein openvpn service startet nicht. Die Fehlermeldung aus dem log file ist:

An irgendeiner Stelle habe ich scheinbar den adressierbaren Netzwerkbereich zu gross angegeben, ich weiss allerdings nicht wo, hab da nicht soviel Erfahrung.

Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert. Damit haette ich meine 3 lokalen Netzwerke offensichtlich getrennt. 10.0.0.x zwischen Router und pfSense, 192.168.1.x zwischen allen normalen Clients im WiFi und LAN Bereich und fuer OpenVPN eben den 172.16.1.x Bereich. Wie sinnvoll das ist weiss ich nicht, ich fands 'optisch sauber' aber vermutlich hab ich ja irgendwas falsch gemacht denn sonst wuerde es ja gehen.

Content-Key: 278026

Url: https://administrator.de/contentid/278026

Ausgedruckt am: 23.10.2021 um 08:10 Uhr

Mitglied: certifiedit.net
Lösung certifiedit.net 22.07.2015 aktualisiert um 13:08:59 Uhr
Goto Top
Hallo Kiwiana,

172.16.1.0/12 ist größer, (gleich) oder kleiner /16? ;-) face-wink

Schönen Gruß - Networkbasics lernen.

VG
Mitglied: Valexus
Lösung Valexus 22.07.2015 aktualisiert um 13:08:54 Uhr
Goto Top
An irgendeiner Stelle habe ich scheinbar den adressierbaren Netzwerkbereich zu gross angegeben, ich weiss allerdings nicht wo, hab da nicht soviel Erfahrung.

Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert.
Ja hier. Warum brauchst du das so groß? 1048574 Hosts?

Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert. Damit haette ich meine 3 lokalen Netzwerke offensichtlich getrennt. 10.0.0.x zwischen Router und pfSense, 192.168.1.x zwischen allen normalen Clients im WiFi und LAN Bereich und fuer OpenVPN eben den 172.16.1.x Bereich. Wie sinnvoll das ist weiss ich nicht, ich fands 'optisch sauber' aber vermutlich hab ich ja irgendwas falsch gemacht denn sonst wuerde es ja gehen.
Mhh naja man kann aus jedem der 3 Netze mehrere tausend Subnetze bauen. Vielleicht schaust du dir die basics nochmal an ;-) face-wink
Man macht ja auch kein 10.0.0.0/8 Netz nur weil es geht...

VG
Val
Mitglied: aqui
Lösung aqui 22.07.2015 aktualisiert um 13:08:57 Uhr
Goto Top
pfSense 2.2.2-RELEASE (amd64)
Gibt es da einen sinnigen Grund für die alte Version ?? Warum nutzt du das aktuelle 2.2.3 nicht ?!
Klick auf Update macht einen Autoupdate ;-) face-wink

Dein Kardinalsfehler ist "172.16.1.0/12" !!! Denn es steht ja auch schon in der Fehlermeldung das die Maske minimal /16 sein darf oder höher. Du hast sie aber eben kleiner gemacht als erlaubt mit /16
Wer lesen kann und will.....! Allein das hätte den Thread hier schon überflüssig gemacht. Aber steht ja oben schon mehrfach....

Hast du einen wirklich triftigen Grund warum du eine /12er Maske verwendest bzw. gibt es einen triftigen Grund warum du unbedingt 1.048.574 also über 1 Million Endgeräte im VPN selber adressieren musst ?
Eigentlich ja völliger Schwachsinn aus technischer Sicht oder hast du schlicht und einfach nicht gewusst was du da machst ??
Das 172.16.1er Netz ist lediglich das VPN interne Netz ! Und mit der /12er Maske versösst du gegen eine interne Konfig Vorgabe.
Vermutlich hast auch du da in deinem VPN sinnvollerweise auch nicht mehr als 253 Endgeräte oder Clients zu bedienen so das du also auch hier mit der im Tutorial angegebenen /24er Maske locker auskommen solltest, oder ??
Änder das also, dann funktioniert das auch sofort !
Mitglied: kiwiana
kiwiana 22.07.2015 um 13:15:03 Uhr
Goto Top
oder hast du schlicht und einfach nicht gewusst was du da machst...
Im Prinzip ja. Ich habe bis vor Kurzem Subnetze in dieser Form nicht definiert und bin in meiner Unwissenheit davon ausgegangen, dass /12 kleiner als /16 ist.
Danke fuer die schnelle Aufklaerung. Der OpenVPN Service laeuft, die Verbindung geht leider noch nicht mit dem pfSense exportierten Daten...naechstes Problem suchen...
Mitglied: aqui
aqui 22.07.2015 aktualisiert um 13:23:20 Uhr
Goto Top
dass /12 kleiner als /16 ist.
Ahem, sorry kein Kommentar zu deinen Rechnekünsten aber das ist doch kleines Einmaleins...
/12 = 1.048.574 IP Adressen
/16 = 65.534 IP Adressen
Was ist nun größer, was kleiner ??

Wenn deine Rechenkünste nicht ausreichen, dann hätte es dir einer der zahllosen Subnetz Rechner im Internet mit ein paar Mausklicks verraten: ;-) face-wink
http://www.heise.de/netze/tools/netzwerkrechner/

die Verbindung geht leider noch nicht mit dem pfSense exportierten Daten
OK, das rauszufinden ist kinderleicht....:
  • WAS sagt das OVPN Log in der pfSense ?
  • WAS sagt das OVPN Log beim VPN Client ?
Anahnd der Log Outputs beider Seiten beim Verbindungsaufbau kannst du dann sofort sehen woran es liegt ?
Bedenke auch das du das VPN Interface auf der pfSense mit einer entsprechenden FW Regel versiehst damit der VPN Traffic passieren kann.
Testweise ggf. erstmal alles auf any to any schalten und später wieder dichtmachen.
Mitglied: kiwiana
kiwiana 22.07.2015 um 14:40:32 Uhr
Goto Top
Mit Rechnen hat das nicht viel zu tun wenn man die Syntax nicht gelesen hat und eine falsche Annahme gemacht hat...

Die Verbindung hab ich zustande bekommen, es war eine falsches Keyfile im config Verzeichnis. Mein Problem derzeit ist, dass ich bei bestehender Verbindung keine lokalen IPs sehe derzeit. Ich hatte das so verstanden, dass in den Tunnel Settings des OpenVPN Servers der Eintrag im Feld "IPv4 Local Network/s" (192.168.1.0/24)
das Regeln wuerde. Zusaetzlich 'push' Anweisung waeren doch dafuer nicht noetig, oder?

Firewall Regeln existieren auch, fuer OpenVPN hab ich erstmal eine any Regel drin.
Mitglied: aqui
aqui 28.07.2015 um 15:52:19 Uhr
Goto Top
Zusaetzlich 'push' Anweisung waeren doch dafuer nicht noetig, oder?
Wenn das das interne Netzwerk des OVPN Servers ist nicht, das ist richtig. Das ist das was im Server Konfig File mit: server 172.16.2.0 255.255.255.0 z.B. gesetzt ist.
Dafür brauchst du KEIN Push Kommando. Für das lokale LAN am Server allerdings schon, dafür ist das zwingend !
Gib auf dem Client ein route print ein wenn es ein Winblows Client ist. Auf der pfSense klickst du unter Dignostics --> Routes und kannst dort sehen ob du alle IP Netze "siehst" !
Ist das der fall ist das Routing OK.
Heiß diskutierte Beiträge
question
Einfache Software für MitarbeiterinformationichbinwerichbinVor 1 TagFrageZusammenarbeit9 Kommentare

Guten Morgen Ich lese hier schon seit Jahren und bräuchte jetzt mal einen Hinweis. Ich weiss nicht ob Fragen nach Software beantwortet werden (Werbung?) aber ...

question
Gefahren durch Nutzung von EOL Smartphones (end of life support)nachgefragtVor 20 StundenFrageSicherheit14 Kommentare

Hallo Administratoren, weil Freitag ist erlaube ich mir die Frage (brainstorming): Welche Gefahren hinsichtlich IT-Sicherheit und Datenschutz seht ihr bei der Nutzung von (eol) Smartphones, ...

question
Netzwerk Neuaufbau - DHCP - VLANs gelöst SommelierVor 1 TagFrageWindows Server17 Kommentare

Hallo zusammen! Wir ziehen gerade unser Netzwerk neu auf, und ich wollte mir bei euch Rat einholen. Wir wollen verschiedene VLANs anlegen: Printer (172.16.20.0/24) Windowsumgebung ...

question
Netzwerkplan u. Kabelbelegung zeichnen? gelöst McLionVor 20 StundenFrageNetzwerke11 Kommentare

Hallo zusammen, ich suche irgendein Tool (am besten Open Source) um Netzwerkpläne zu zeichnen. Diese gibt es zwar wie Sand am Meer, aber mir geht's ...

question
Nebenstellenkreis von 2stellig auf 3stellig - was geschieht mit den bisherigen Rufnummerndeparture69Vor 1 TagFrageTK-Netze & Geräte13 Kommentare

Hallo. Bei uns besteht für 2022 die Anforderung, deutlich mehr Bürotelefone in Einsatz zu bringen. Die Anzahl der Nebenstellen ist vertragsseitig derzeit aber auf 100 ...

question
Standort vs. Standort gelöst erikroVor 1 TagFrageWindows Server8 Kommentare

Moin, Hintergrund der Frage ist, dass ich für ein PS-Skript auf dem RDS wissen muss, wo der Client steht. Ich hatte zuerst die Idee, das ...

question
HA Konstrukt für Firmennetzwerk mit mehreren WAN VerbindungenITAllrounderVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Guten Morgen zusammen, ich stehe gerade vor der Überlegung unser Firmen Netzwerk etwas umzustrukturieren. Aktuell primäres Problem: Wir haben theoretisch 2x Sophos XG310 (nur 1x ...

question
Mitarbeiter Onboarding Trainings Program on Premise gelöst MineralwasserVor 1 TagFrageSonstige Systeme3 Kommentare

Guten Nachmittag Kennt jemand ein gutes Programm das als Web-Service läuft, jedoch am besten nicht in der Cloud um die Mitarbeiter zu schulen. Also wenn ...