29
Probleme mit openvpn im lan
hallo gemeinschaft
ich habe eine fritzbox - diese kann ich von "aussen" ansprechen - innerhalb der fritzbox ist ein portforwarding von 1194 auf die ip adresse des ubuntu, auf dem openvpn läuft
von aussen kann ich, nachdem ich die openvpn verbindung aufgebaut habe, diesen rechner anpingen
nun soll der ubuntu, der bei mir im lan netz hängt es ermöglichen, dass ich auch meinen windowsserver 192.168.25.5 ansprechen kann
verwende am ubuntu diesen befehl
push "route 192.168.25.0 255.255.255.0"
ich habe eine fritzbox - diese kann ich von "aussen" ansprechen - innerhalb der fritzbox ist ein portforwarding von 1194 auf die ip adresse des ubuntu, auf dem openvpn läuft
von aussen kann ich, nachdem ich die openvpn verbindung aufgebaut habe, diesen rechner anpingen
nun soll der ubuntu, der bei mir im lan netz hängt es ermöglichen, dass ich auch meinen windowsserver 192.168.25.5 ansprechen kann
verwende am ubuntu diesen befehl
push "route 192.168.25.0 255.255.255.0"
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 331380
Url: https://administrator.de/forum/probleme-mit-openvpn-im-lan-331380.html
Ausgedruckt am: 10.04.2025 um 15:04 Uhr
29 Kommentare
Neuester Kommentar
Hallo Jens,
Shift Taste kaputt?
Wie schon gesagt. Zum Test, Windows Firewall aus?
Gruss orcape
Shift Taste kaputt?
Wie schon gesagt. Zum Test, Windows Firewall aus?
Gruss orcape
Das ist kein Problem sondern eine Wissenslücke!
Entweder am Ubuntu mit iptables den Traffic aus dem Tunnel NATen
oder bevorzugt im LAN des Servers eine statische Route für das OVPN Netz auf dem Default GW anlegen welche auf den Ubuntu-Server zeigt!
Simpelste Routing-Grundlagen, wenn man sich den Paketverlauf mal vor Augen führt...
Gruß
Entweder am Ubuntu mit iptables den Traffic aus dem Tunnel NATen
iptables -t nat -A POSTROUTING -i tun0 -o eth0 -j MASQUERADESimpelste Routing-Grundlagen, wenn man sich den Paketverlauf mal vor Augen führt...
Gruß
Hallo,
und wie immer wäre eine kleine Zeichnung deines Netzes als Übersicht sehr hilfreich für alle hier.
Wo hängt denn dein Windows Server? An der Fritzbox?
Wie ist die IP Adressierung der Fritzbox konfiguriert?
Wie ist die IP Adressierung des OpenVPN Servers konfiguriert?
Switche? Router? Firewalls?
Gruß
und wie immer wäre eine kleine Zeichnung deines Netzes als Übersicht sehr hilfreich für alle hier.
Wo hängt denn dein Windows Server? An der Fritzbox?
Wie ist die IP Adressierung der Fritzbox konfiguriert?
Wie ist die IP Adressierung des OpenVPN Servers konfiguriert?
Switche? Router? Firewalls?
Gruß
fritzbox 192.168.25.254
ubuntu 192.168.25.110
windowsserver 192.168.25.5
verbindung über switch
ubuntu 192.168.25.110
windowsserver 192.168.25.5
verbindung über switch
Kannst Du denn vom Ubuntu aus, den Windowsserver pingen?
Dazu müsste er mit hoher Wahrscheinlicheit wie @132272 bereits gesagt hat den OpenVPN Traffic mit iptables NATen.
anpingen innerhalb des lan kann ich den windows rechner von ubuntu aus
Zitat von orcape:
Kannst Du denn vom Ubuntu aus, den Windowsserver pingen?
Dazu müsste er mit hoher Wahrscheinlicheit wie @132272 bereits gesagt hat den OpenVPN Traffic mit iptables NATen.
Der hängt bei Ihm im LAN 192.168.25.0/24, sollte als funktionieren.Kannst Du denn vom Ubuntu aus, den Windowsserver pingen?
Dazu müsste er mit hoher Wahrscheinlicheit wie @132272 bereits gesagt hat den OpenVPN Traffic mit iptables NATen.
Im übrigen ist das Netz dem OpenVPN-Server bekannt....
push "route 192.168.25.0 255.255.255.0"
Tja min Jung, dem schon aber dem Windows Server nicht denn der würde dann sein GW fragen wenn geroutet statt genattet wird! Deswegen @jensgebken obiger Anleitung folgen und es läuft ...
Tja min Jung, dem schon aber dem Windows Server nicht!
Ja min Jung, da scheinst Du wohl wahr zu haben.
wie würde denn dann der befehl aussehen?
lg und danke erstmal
lg und danke erstmal
Steht doch oben in meinem ersten Post. Interfaces natürlich an deine Umgebung anpassen!
eth0 ist es bei mir
dann würdest du es so nehemen
iptables -t nat -A POSTROUTING -i tun0 -o eth0 -j MASQUERADE
dann würdest du es so nehemen
iptables -t nat -A POSTROUTING -i tun0 -o eth0 -j MASQUERADE
Zitat von @jensgebken:
eth0 ist es bei mir
dann würdest du es so nehemen
iptables -t nat -A POSTROUTING -i tun0 -o eth0 -j MASQUERADE
Ja, und wenn "tun0" das OpenVPN Tunnel-Interface ist.eth0 ist es bei mir
dann würdest du es so nehemen
iptables -t nat -A POSTROUTING -i tun0 -o eth0 -j MASQUERADE
Natürlich ist das nur für deinen laufenden Test da die Regeln ja nach einem Neustart wieder rausfliegen, für die Übernahme nach einem Neustart musst du das natürlich dauerhaft in die config laden. Z.B. über das iptables-persistent-Package und iptables-save.
Das steht aber alles in fast jeder OpenVPN Anleitung...
Nein !
NAT ist kontraproduktiv und solltest du besser lassen wenn irgend möglich.
Was passiert ist doch klar ! Dein VPN Client spricht wie VPN Tunnel den Windows Server 192.168.25.5 an.
Dieser hat aber als Default Gateway die FritzBox.
Der VPN Client kommt jetzt mit der internen OVPN IP Adresse, nämlich die die du mit server 172.16.2.0 255.255.255.0 (Beispiel) in deiner server.conf Datei für OVPN in Ubuntu konfiguriert hast, an.
Beispiel auch hier.
Der Winblows Server will also nun auf die 172.16.2.x VPN Client IP antworten und schickt das Paket an die FritzBox als seinen Default Router.
Da deinen FritzBox keine statische Route auf den Ubuntu OVPN Server hat (der ja das Gateway ins VPN netz ist !) schickt es diese Antwortpakete dann zum Internet Provider und damit dann ins Nirwana mit dem Ergebnis das nix geht.
Fazit: Lösung kinderleicht!
Trage einfach eine feste statische Route in deine FritzBox ein die dir das OVPN Netzwerk auf deinen Ubuntu Server routet ala:
Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: <ip_adresse_ubuntu>
Et voila...schon stimmt das Routing und du kannst dir die Frickelei mit NAT sparen !
NAT ist kontraproduktiv und solltest du besser lassen wenn irgend möglich.
Was passiert ist doch klar ! Dein VPN Client spricht wie VPN Tunnel den Windows Server 192.168.25.5 an.
Dieser hat aber als Default Gateway die FritzBox.
Der VPN Client kommt jetzt mit der internen OVPN IP Adresse, nämlich die die du mit server 172.16.2.0 255.255.255.0 (Beispiel) in deiner server.conf Datei für OVPN in Ubuntu konfiguriert hast, an.
Beispiel auch hier.
Der Winblows Server will also nun auf die 172.16.2.x VPN Client IP antworten und schickt das Paket an die FritzBox als seinen Default Router.
Da deinen FritzBox keine statische Route auf den Ubuntu OVPN Server hat (der ja das Gateway ins VPN netz ist !) schickt es diese Antwortpakete dann zum Internet Provider und damit dann ins Nirwana mit dem Ergebnis das nix geht.
Fazit: Lösung kinderleicht!
Trage einfach eine feste statische Route in deine FritzBox ein die dir das OVPN Netzwerk auf deinen Ubuntu Server routet ala:
Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: <ip_adresse_ubuntu>
Et voila...schon stimmt das Routing und du kannst dir die Frickelei mit NAT sparen !
Hatte ich oben ja vorgeschlagen . Nur leider lesen die Fragensteller hier keine Anleitungen mehr "vollständig" durch...
. Nur leider lesen die Fragensteller hier keine Anleitungen mehr "vollständig" durch...Hatte ich oben ja vorgeschlagen
..und ist erheblich sinnvoller als die iptables Frickelei Das mit dem Lesen sind wahre Worte.....!
Klappt nur so nicht wenn der TO wie er selbst schreibt dem OpenVPN Netz das selbe IP Netz wie das der Fritte verpasst.
Na ja, wer macht denn auch solchen Schwachsinn...???! Sorry, aber im Ernst: das ist ja per se schon ein Kardinalsfehler im IP Adressdesign.
Mehrfach wir hier in den diversen VPN Tutorials immer und immer wieder darauf hingewiesen wie z.B. hier
Und....
das kann man mit dem nano Editor in 10 Sekunden ändern im Ubuntu und der server.conf Datei. Dann...
/etc/init.d/openvpn restart
Statische Route FritzBox eintragen...
Fertisch!...in 30 Sekunden ist das angepasst und gefixt und der (eigentlich überflüssige) Thread hier geschlossen.
Bekommt jeder Grundschüler hin.
Mehrfach wir hier in den diversen VPN Tutorials immer und immer wieder darauf hingewiesen wie z.B. hier
Und....
das kann man mit dem nano Editor in 10 Sekunden ändern im Ubuntu und der server.conf Datei. Dann...
/etc/init.d/openvpn restart
Statische Route FritzBox eintragen...
Fertisch!...in 30 Sekunden ist das angepasst und gefixt und der (eigentlich überflüssige) Thread hier geschlossen.
Bekommt jeder Grundschüler hin.
nein, vom vpn bekommt der client so etwas wie 10.2.8....
das ist doch richtig so und entspricht doch auch dem weiterführenden thread von aqui
das ist doch richtig so und entspricht doch auch dem weiterführenden thread von aqui
Zitat von @jensgebken:
nein, vom vpn bekommt der client so etwas wie 10.2.8....
das ist doch richtig so und entspricht doch auch dem weiterführenden thread von aqui
nein, vom vpn bekommt der client so etwas wie 10.2.8....
das ist doch richtig so und entspricht doch auch dem weiterführenden thread von aqui
Und wann hattest du vor uns das mitzuteilen?
Auf der Fritte dann einfach die statische Route eintragen und gut ist.
So ist es....
Zielnetz: 10.2.8.0, Maske: 255.255.255.0, Gateway: 192.168.25.<ubuntu>
<ubuntu> natürlich mit der LAN IP des Ubuntu VPN Servers im lokalen LAN ersetzen!
Fertisch !
Zielnetz: 10.2.8.0, Maske: 255.255.255.0, Gateway: 192.168.25.<ubuntu>
<ubuntu> natürlich mit der LAN IP des Ubuntu VPN Servers im lokalen LAN ersetzen!
Fertisch !
Kann ich das auch beim Ubuntu eintragen?
Natürlich... Bringt halt nix
Überleg doch mal, dein Windows Server bekommt eingehende Pakete von 10.8.2.0/24 woher soll er nun wissen wohin er seine Antwort schicken soll, "er denkt sich: hmm hab ich ja gar nicht in meiner Routing-Tabelle"?! Genau, er fragt sein Default-GW nach einer Route, und das ist die Fritte. Wenn nun die Fritte nicht weis wo das 10.8.2.0/24 Netz liegt fragt diese ihrerseits Ihr Default GW und das ist der Internet-Provider -> Ergo gehen die Pakete verloren!!!
Also muss die statische Route auf die Fritte oder alternativ am Windows Server eine statische Route anlegen wenn nur dieser aus dem VPN erreicht werden soll. Und wie oben geschrieben als letzte Option ein NAT am Ubuntu, denn dann wird die Quelladresse jedes Pakets das vom Tunnel in das LAN fließt auf die LAN-Adresse des Ubuntu umgeschrieben.
Also muss die statische Route auf die Fritte oder alternativ am Windows Server eine statische Route anlegen wenn nur dieser aus dem VPN erreicht werden soll. Und wie oben geschrieben als letzte Option ein NAT am Ubuntu, denn dann wird die Quelladresse jedes Pakets das vom Tunnel in das LAN fließt auf die LAN-Adresse des Ubuntu umgeschrieben.
Kann ich das auch beim Ubuntu eintragen?
Man kann sich auch ne Frikadelle ans Knie nageln und so lange drehen bis man UKW drin hat... !Manchmal muss man sich schon sehr wundern über die Logik von einigen TOs hier...??? Trotz mehrfacher, laiengerechter Erklärung wie ein Paket in dem Netz wandert macht es kein "Klick".... Vielleicht hilft ja ne Zeichnung dem TO?! Ein Bild sagt ja manchmal mehr als 1000 Worte...
lieben dank für die beiträge - nur zur info wie es dann geklappt hat für die, die ein gleiches problem haben
in der fritzbox muss nur das forwarding eingetragen werden von den ports auf die ip des rechners, auf dem openvpn läuft (bei mir 192.168.25.110)
das ip-forwarding auf dem openvpn rechner muss aktiviert werden
sudo sysctl -w net/ipv4/ip_forward=1
in die server.conf kommt das
push "route 192.168.25.0 255.255.255.0" (hängt natürlich von dem ip block ab)
falls der server nicht als default gw läuft, dann bitte noch diesen term ausführen
sudo route add -net 10.8.0.0 netmask 255.255.255.0 gw vpn.server.i.p (bei mir 192.168.25.110)
falls ihr keine fritzbox habt, dann noch diese iptables regeln erstellen
sudo iptables -A FORWARD -o eth0 -i tun0 -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
und dann klappt es so wie gewünscht
in der fritzbox muss nur das forwarding eingetragen werden von den ports auf die ip des rechners, auf dem openvpn läuft (bei mir 192.168.25.110)
das ip-forwarding auf dem openvpn rechner muss aktiviert werden
sudo sysctl -w net/ipv4/ip_forward=1
in die server.conf kommt das
push "route 192.168.25.0 255.255.255.0" (hängt natürlich von dem ip block ab)
falls der server nicht als default gw läuft, dann bitte noch diesen term ausführen
sudo route add -net 10.8.0.0 netmask 255.255.255.0 gw vpn.server.i.p (bei mir 192.168.25.110)
falls ihr keine fritzbox habt, dann noch diese iptables regeln erstellen
sudo iptables -A FORWARD -o eth0 -i tun0 -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
und dann klappt es so wie gewünscht
Deine Shift Taste ist defekt. Solltest du beizeiten mal reparieren denn es ist nicht immer spaßig solche Texte lesen zu müssen !
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Steht auch genau so im hiesigen OpenVPN Tutorial !
Aber gut wenn nun alles rennt wie es soll....
Bitte dann auch: Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen!
in der fritzbox muss nur das forwarding eingetragen werden von den ports auf die ip des rechners, auf dem openvpn läuft
Ist logisch und seit Jahrzehnten etablierter Standard wenn Server hinter irgendwelchen NAT Firewalls von Routern laufen. Siehe auch hier:OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
das ip-forwarding auf dem openvpn rechner muss aktiviert werden
Nein, nicht unbedingt wenn die lokale Firewall nicht aktiv ist. Was sie auch normalerweise in einem internen Netzwerk nicht ist.in die server.conf kommt das
Simpler Standard, denn sonst würde das lokale LAN nicht als Route an den Client gesendet werden !Steht auch genau so im hiesigen OpenVPN Tutorial !
Aber gut wenn nun alles rennt wie es soll....
Bitte dann auch: Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen!
Deine Shift Taste ist defekt. Solltest du beizeiten mal reparieren denn es ist nicht immer spaßig solche Texte lesen zu müssen !
Das ist wohl der neue Trend oder nur einfach Faulheit, vor allem wenn da steht, "von meinem Smartphone gesendet".Wenn es nur die Kleinschreibung wäre, da fehlen aber auch jede Menge Satzzeichen.
Die Deutsche Sprache ist eben nicht jedermanns Sache.
Nur gut, das die Konsole jeden noch so kleinen Fehler, gnadenlos bestraft. Da werden Sie geholfen.
Gruss orcape
