Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

PfSense OpenVPN serven startet nicht - too many host addresses

Mitglied: kiwiana
Vorweg meine Konfiguration:
- Router, LAN 10.0.0.1
- pfSense / APU, WAN 10.0.0.2, Bridge 192.168.1.1 (Members: LAN & WiFi)
- pfSense 2.2.2-RELEASE (amd64)

Ich habe einen OpenVPN Server nach dieser Anleitung eingerichtet aber mein openvpn service startet nicht. Die Fehlermeldung aus dem log file ist:

An irgendeiner Stelle habe ich scheinbar den adressierbaren Netzwerkbereich zu gross angegeben, ich weiss allerdings nicht wo, hab da nicht soviel Erfahrung.

Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert. Damit haette ich meine 3 lokalen Netzwerke offensichtlich getrennt. 10.0.0.x zwischen Router und pfSense, 192.168.1.x zwischen allen normalen Clients im WiFi und LAN Bereich und fuer OpenVPN eben den 172.16.1.x Bereich. Wie sinnvoll das ist weiss ich nicht, ich fands 'optisch sauber' aber vermutlich hab ich ja irgendwas falsch gemacht denn sonst wuerde es ja gehen.

Content-Key: 278026

Url: https://administrator.de/contentid/278026

Ausgedruckt am: 07.12.2021 um 07:12 Uhr

Mitglied: certifiedit.net
Lösung certifiedit.net 22.07.2015 aktualisiert um 13:08:59 Uhr
Goto Top
Hallo Kiwiana,

172.16.1.0/12 ist größer, (gleich) oder kleiner /16? ;-) face-wink

Schönen Gruß - Networkbasics lernen.

VG
Mitglied: Valexus
Lösung Valexus 22.07.2015 aktualisiert um 13:08:54 Uhr
Goto Top
An irgendeiner Stelle habe ich scheinbar den adressierbaren Netzwerkbereich zu gross angegeben, ich weiss allerdings nicht wo, hab da nicht soviel Erfahrung.

Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert.
Ja hier. Warum brauchst du das so groß? 1048574 Hosts?

Meine OpenVPN Tunnel Network IP hab ich als 172.16.1.0/12 definiert. Damit haette ich meine 3 lokalen Netzwerke offensichtlich getrennt. 10.0.0.x zwischen Router und pfSense, 192.168.1.x zwischen allen normalen Clients im WiFi und LAN Bereich und fuer OpenVPN eben den 172.16.1.x Bereich. Wie sinnvoll das ist weiss ich nicht, ich fands 'optisch sauber' aber vermutlich hab ich ja irgendwas falsch gemacht denn sonst wuerde es ja gehen.
Mhh naja man kann aus jedem der 3 Netze mehrere tausend Subnetze bauen. Vielleicht schaust du dir die basics nochmal an ;-) face-wink
Man macht ja auch kein 10.0.0.0/8 Netz nur weil es geht...

VG
Val
Mitglied: aqui
Lösung aqui 22.07.2015 aktualisiert um 13:08:57 Uhr
Goto Top
pfSense 2.2.2-RELEASE (amd64)
Gibt es da einen sinnigen Grund für die alte Version ?? Warum nutzt du das aktuelle 2.2.3 nicht ?!
Klick auf Update macht einen Autoupdate ;-) face-wink

Dein Kardinalsfehler ist "172.16.1.0/12" !!! Denn es steht ja auch schon in der Fehlermeldung das die Maske minimal /16 sein darf oder höher. Du hast sie aber eben kleiner gemacht als erlaubt mit /16
Wer lesen kann und will.....! Allein das hätte den Thread hier schon überflüssig gemacht. Aber steht ja oben schon mehrfach....

Hast du einen wirklich triftigen Grund warum du eine /12er Maske verwendest bzw. gibt es einen triftigen Grund warum du unbedingt 1.048.574 also über 1 Million Endgeräte im VPN selber adressieren musst ?
Eigentlich ja völliger Schwachsinn aus technischer Sicht oder hast du schlicht und einfach nicht gewusst was du da machst ??
Das 172.16.1er Netz ist lediglich das VPN interne Netz ! Und mit der /12er Maske versösst du gegen eine interne Konfig Vorgabe.
Vermutlich hast auch du da in deinem VPN sinnvollerweise auch nicht mehr als 253 Endgeräte oder Clients zu bedienen so das du also auch hier mit der im Tutorial angegebenen /24er Maske locker auskommen solltest, oder ??
Änder das also, dann funktioniert das auch sofort !
Mitglied: kiwiana
kiwiana 22.07.2015 um 13:15:03 Uhr
Goto Top
oder hast du schlicht und einfach nicht gewusst was du da machst...
Im Prinzip ja. Ich habe bis vor Kurzem Subnetze in dieser Form nicht definiert und bin in meiner Unwissenheit davon ausgegangen, dass /12 kleiner als /16 ist.
Danke fuer die schnelle Aufklaerung. Der OpenVPN Service laeuft, die Verbindung geht leider noch nicht mit dem pfSense exportierten Daten...naechstes Problem suchen...
Mitglied: aqui
aqui 22.07.2015 aktualisiert um 13:23:20 Uhr
Goto Top
dass /12 kleiner als /16 ist.
Ahem, sorry kein Kommentar zu deinen Rechnekünsten aber das ist doch kleines Einmaleins...
/12 = 1.048.574 IP Adressen
/16 = 65.534 IP Adressen
Was ist nun größer, was kleiner ??

Wenn deine Rechenkünste nicht ausreichen, dann hätte es dir einer der zahllosen Subnetz Rechner im Internet mit ein paar Mausklicks verraten: ;-) face-wink
http://www.heise.de/netze/tools/netzwerkrechner/

die Verbindung geht leider noch nicht mit dem pfSense exportierten Daten
OK, das rauszufinden ist kinderleicht....:
  • WAS sagt das OVPN Log in der pfSense ?
  • WAS sagt das OVPN Log beim VPN Client ?
Anahnd der Log Outputs beider Seiten beim Verbindungsaufbau kannst du dann sofort sehen woran es liegt ?
Bedenke auch das du das VPN Interface auf der pfSense mit einer entsprechenden FW Regel versiehst damit der VPN Traffic passieren kann.
Testweise ggf. erstmal alles auf any to any schalten und später wieder dichtmachen.
Mitglied: kiwiana
kiwiana 22.07.2015 um 14:40:32 Uhr
Goto Top
Mit Rechnen hat das nicht viel zu tun wenn man die Syntax nicht gelesen hat und eine falsche Annahme gemacht hat...

Die Verbindung hab ich zustande bekommen, es war eine falsches Keyfile im config Verzeichnis. Mein Problem derzeit ist, dass ich bei bestehender Verbindung keine lokalen IPs sehe derzeit. Ich hatte das so verstanden, dass in den Tunnel Settings des OpenVPN Servers der Eintrag im Feld "IPv4 Local Network/s" (192.168.1.0/24)
das Regeln wuerde. Zusaetzlich 'push' Anweisung waeren doch dafuer nicht noetig, oder?

Firewall Regeln existieren auch, fuer OpenVPN hab ich erstmal eine any Regel drin.
Mitglied: aqui
aqui 28.07.2015 um 15:52:19 Uhr
Goto Top
Zusaetzlich 'push' Anweisung waeren doch dafuer nicht noetig, oder?
Wenn das das interne Netzwerk des OVPN Servers ist nicht, das ist richtig. Das ist das was im Server Konfig File mit: server 172.16.2.0 255.255.255.0 z.B. gesetzt ist.
Dafür brauchst du KEIN Push Kommando. Für das lokale LAN am Server allerdings schon, dafür ist das zwingend !
Gib auf dem Client ein route print ein wenn es ein Winblows Client ist. Auf der pfSense klickst du unter Dignostics --> Routes und kannst dort sehen ob du alle IP Netze "siehst" !
Ist das der fall ist das Routing OK.
Heiß diskutierte Beiträge
question
WLAN Lösung mit 2 APs gesuchtEDVMan27Vor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Hallo, sorry, wenn das schon wieder Jemand fragt Welche WLAN Lösungen mit Roaming gibt es? Der Router soll eine PFSense werden. Switche folgen dem WLAN-Konzept. ...

question
WSUSContent wird riesig gelöst DoskiasVor 19 StundenFrageWindows Update10 Kommentare

Hallo Mit-Admins, vielleicht bin ich grade nur zu Faul em-pie direkt anzuschreiben, aber vielleicht schreib ich auch hier, weil ich mir gut vorstellen kann, dass ...

tutorial
Link Aggregation (LAG) im NetzwerkaquiVor 23 StundenAnleitungLAN, WAN, Wireless4 Kommentare

Einleitung Das Bündeln mehrerer, paralleler Links zu einem virtuellen Link mit Link Aggregation nach IEEE Standard IEEE 802.3ad (seit dem Jahr 2008 IEEE 802.1ax) bietet ...

question
Probleme beim Aktualisieren von Apps über Google Play Store im 1u1 DSL-Netz gelöst NominisVor 1 TagFrageDSL, VDSL11 Kommentare

Hallo, wir haben im Haushalt u.a. mehrere verschiedene Android-Handys (verschiedener Hersteller). Alle Handys haben im eigenen Heim-Netzwerk (DSL über 1&1) seit einigen Wochen Probleme bei ...

question
Hat Jemand eine Bezugsquelle für eine Gigaset N670?StefanKittelVor 1 TagFrageVoice over IP3 Kommentare

Hallo, hat Jemand eine Bezugsquelle für eine Gigaset N670? Vor Februar hat irgendwie keiner eine. PS: Die fast baugleichen Auerswald gehen nicht weil nicht kompatibel ...

question
POP Mail auf IMAP umstellenpain88Vor 1 TagFrageE-Mail6 Kommentare

Hallo, wir hatten bis vor kurzem einen Dienstleister der sich um unsere IT gekümmert hat. Wir haben eine neue Domain dazubekommen. Da er Schwierigkeiten hatte ...

question
Portfreigabe bei zwei Playstation an einer IP-Adressevafk18Vor 1 TagFrageRouter & Routing5 Kommentare

Ich bin mir nicht sicher, ob das hier auch reingehört, aber da mein Junior seinen Freund eingeladen hat, damit sie zu zwei mit je einer ...

question
Raid und Defekte HDDthemuckVor 20 StundenFrageFestplatten, SSD, Raid6 Kommentare

Servus, ich habe hier einen alten DELL R720, PERC H710. Darin werkeln im RAID6 unteranderem 6x 600GB, 10k Platten. Der besagte Server lief jetzt ~1,5jahre ...