Raspberry openvpn local nicht mehr erreichbar

Mitglied: zwergenalarm

zwergenalarm (Level 1) - Jetzt verbinden

01.03.2016, aktualisiert 04.03.2016, 2707 Aufrufe, 14 Kommentare

Hallo ich wieder!
Habe wieder ein Problem!
Habe auf einen meiner Pi's OpenVpn installiert!
Der Tunnel baut sich auf und der Pi ist über seine Tunnel_Ip
erreichbar!
Eigentlich perfekt wenn da nicht noch ein Aber wäre!
Leider kann ich den Pi aber sobald der Tunnel offen ist nicht mehr Lokal
über seine Ip erreichen! Auch kein Ping ist mehr möglich!
Was mache ich falsch? Wie kann ich meinem Problem auf die Pelle rücken?
Lg
Mitglied: altmetaller
01.03.2016 um 22:51 Uhr
Bei jedem Routing solltest Du auch immer den Rückweg betrachten.

Wenn der Pi die Daten aus dem LAN bekommt und die Antworten in den VPN-Tunnel pustet, dann landen diese zumindest schon mal da, wo sie nicht hingehören.

Was Du genau vorhast, lässt sich nur mutmaßen. Soll der Pi alles aus dem LAN in den Tunnel schieben? Möchtest Du Netze koppeln? Willst Du Clients als RoadWarrior anbinden? usw. usf.
Bitte warten ..
Mitglied: zwergenalarm
02.03.2016 um 13:12 Uhr
Vielen Dank für deine Antwort!
Also mein Vorhaben ist folgendes. Ich möchte das mein Pi zum einem ganz normal aus dem Netzwerk in dem er Physikalisch hängt erreichbar ist und zum anderem zu Fernwartungs Zwecken über Vpn aus der Ferne.
Der Fernzugriff funktioniert anstandslos!
Nur direkt vom Netzwerk an dem der Pi physikalisch hängt geht es nicht mehr!
Was mache ich falsch?
Welche Infos braucht ihr?
Lg
Bitte warten ..
Mitglied: altmetaller
02.03.2016 um 13:49 Uhr
Zitat von @zwergenalarm:

Welche Infos braucht ihr?

Alle, die Du hast?!?

  • Konfigurationsdatei vom Server und vom Client (inklusive evtl. vorhandener ccd-Konfigurationsdatei)
  • Angaben zum Netzwerk Server und Client (IP-Adresse, Subnetzmaske, Gateway usw.)
  • Vollständige Routing-Tabelle vom Server und vom Client (jeweils vor und nach dem Aufbau der VPN-Verbindung)

Verschwindet der RasPi nur dann aus dem LAN wenn der Client verbunden ist oder bereits dann, wenn Du den OpenVPN-Serverdienst startest?
Bitte warten ..
Mitglied: zwergenalarm
03.03.2016 um 13:07 Uhr
Sorry das ich erst jetzt antworte!
Hier die Server Config.


Die config des PI:



Das ccd des Pi:


Der Pi ist sobald der Tunnel einmal aufgebaut wurde nicht mehr im lokalen Netz mehr erreichbar!
Die ausgabe des ROUTE commands auf dem Pi wärend der Tunnel aktiv ist!


das ifconfig des PI


Vielen Dank für eure Hilfe
Bitte warten ..
Mitglied: altmetaller
03.03.2016 um 13:56 Uhr
Also hast Du drei Netze, die Du mit einem VPN-Server verbinden möchtest?
  • WRT Home
  • xperia
  • Notebook

?
Bitte warten ..
Mitglied: zwergenalarm
03.03.2016 um 14:40 Uhr
Zitat von @altmetaller:

Also hast Du drei Netze, die Du mit einem VPN-Server verbinden möchtest?
  • WRT Home
  • xperia
  • Notebook

?

Ja die Drei Openvpn Netze funktionieren! Ich kann von überrall durch den Tunnel auf den Pi zugreifen! Nur im Netzwerk des Pi kann ich Lokal nicht auf den Pi zugreifen!!

Also im Lokalen Netz wo der Pi die IP 10.99.99.16 hat erreiche ich ihn nicht mit dieser Adresse!
LG
Bitte warten ..
Mitglied: altmetaller
03.03.2016, aktualisiert um 15:31 Uhr
Und welcher von den vieren (Notebook, Xperia, WRT Home, Raspberry) "spielt" den Server?

Edit:

Aber eigentlich ist es auch egal. Ich tue einfal mal so, als wenn Du noch eine fünfte Ressource (einen Roundcube-Server beim Hoster?) als Server betreibst und die vier erstgenannten als Netz-zu-Netz-Client anbinden willst.

Letztendlich geht es ja nur darum, die Theorie zu erklären. Lernen musst Du selber :-) face-smile

Den Server konfigurierst Du erst einmal "ganz normal" über die Netzwerkeinstellungen (IP-Adresse, Subnetzmaske, Gateway).

Dann musst Du dem OpenVPN-Serverdienst sagen, für welche (entfernten) Netze er routen soll. Zum Beispiel so:

Jetzt bist Du so weit, dass der OpenVPN-Server "erst einmal" Routing-Anfragen für diese Netze annimmt. Aber Du musst ja auch:
  • dem OpenVPN-Server sagen, auf welchem Client er die Route finden soll (das macht "iRoute")
  • jedem Client sagen, welche Netze "sonst noch so" über den OpenVPN-Server erreicht werden können (das macht "push route")

Also brauchst Du auf dem Server für jeden Client eine ccd-Konfiguration.

ccd.conf für das Notebook:

ccd.conf für das Xperia:

ccd.conf für den WRT Home:

ccd.conf für den Raspberry:

Achja - eine Anmerkung noch: Die Verwendung von Port 443 und des TCP-Protokolls lässt vermuten, dass Du mit deiner Maßnahme Firewalls umgehen möchtest. Du solltest dich ggf. mit dem Betreiber des Netzes absprechen.
Bitte warten ..
Mitglied: zwergenalarm
03.03.2016 um 15:49 Uhr
Vielen Dank für deine Mühe und deinen guten Erklärungen!:) face-smile)
Leider reden wir immer noch an einander vorbei:-( face-sad Das heißt wahrscheinlich drücke ich mich zu doof aus!
Alles was das Open Vpn angeht funktioniert! Routing und so weiter!
Ich versuche das Szenarium etwas banaler dar zu stellen. Also der Pi hängt an einen Hub über den er auf das Internet zugriff hat. In diesem Netz ist auch ein Pc! dieses Netzwerk ist ein 10.99.99.0 Netz. Der Pi hat die statische Adresse 10.99.99.16 sobald der Pi einmal den Tunnel zum Open Vpn Server aufgebaut hat (der Server ist irgendwo im Internet) ist der Pi aus dem 10.99.99.0 Netz vom andern pc nicht mehr erreichbar.!
Also der Pc kann keinen erfolgreichen ping zu 10.99.99.16 machen1

Nochmal Entschuldigung für meine schlechte Frage Stellung!

Lg
Bitte warten ..
Mitglied: altmetaller
03.03.2016 um 17:13 Uhr
Wie gesagt - die Logik ist immer die Gleiche.
  • Mit dem route-Befehl in der server.conf sagst Du dem VPN-Server, welche routen er grundsätzlich annehmen und zu seinen VPN-Clients schicken soll.
  • Mit dem iroute-Befehl in der jeweiligen ccd.conf sagst Du dem VPN-Server, auf welchem seiner Clients er das Netz dann endgültig findet.
  • Mit der push-route-Option in der jeweiligen ccd.conf sagst Du dem dazugehörigen VPN-Client, welche Netze er zum VPN-Server schicken soll.

Vielleicht solltest Du dir das wirklich noch einmal "in Ruhe" aufmalen und das Aufgemalte dann entsprechend konfigurieren. Anders würde ich es bei einem Kunden auch nicht machen. Eine vollständige, individuelle Konfiguration werde ich Dir nicht bauen. Zumal es für Dich als Betreiber des VPN essentiell erforderlich ist, dass Du weißt, was das Teil macht und wie es funktioniert.

Ich habe mich auch gerade 2-3 Wochen in so ein Thema hineingefuchst. 2 Wochen lang geflucht, danach einen Plan gemalt und diesen dann mit den gewonnenen Erkenntnissen umgesetzt. Anders geht es leider nicht, "wenn man 's selber macht".
Bitte warten ..
Mitglied: zwergenalarm
03.03.2016 um 18:07 Uhr
Zeichnung

So habe eine kleine Zeichnung gemacht:-) face-smile
Nochmal Openvpn geht ich habe kein Problem mit dem Routing!!!
Mein Problem ist im Lokalen Netz! Die Verbindung die nicht funktioniert ist die grün markierte in der Zeichnung!
Danke und Lg
Bitte warten ..
Mitglied: BirdyB
LÖSUNG 03.03.2016, aktualisiert 04.03.2016
Zitat von @zwergenalarm:
Nochmal Openvpn geht ich habe kein Problem mit dem Routing!!!
Doch, du hast ein Problem mit dem Routing. In deiner Routingtabelle oben steht:
Ergo routet der Raspi seine Antwortpakete in des 10.99.99.0 Netz über den VPN-Tunnel und nicht in das lokale Netz. Also verschwinden die Pakete ins Nirvana. Häng einen Wireshark rein und schau es dir an.
Versuche mal zu analysieren, wie du die Routen konfiguriert hast.
Mein Problem ist im Lokalen Netz! Die Verbindung die nicht funktioniert ist die grün markierte in der Zeichnung!
Auch dafür gibt es Routen... Routen haben nicht immer etwas mit einem Router zu tun.
Danke und Lg

Beste Grüße!


Berthold
Bitte warten ..
Mitglied: zwergenalarm
03.03.2016 um 21:41 Uhr
Habe den Fehler gefunden mit Eurer Hilfe!
das
in der Server conf war zu viel!

Eine Frage habe ich noch. Kann man eigentlich auch den Pi mit dhcp im Netzwerk betreiben und das erhaltene Dhcp Netz über Openvpn weiter routen?
ich meine Dynamisch?

Vielen Dank für Eure Hilfe!
Bitte warten ..
Mitglied: altmetaller
03.03.2016, aktualisiert um 22:10 Uhr
Die Gegenstellen müssten dafür ja wissen, welches Netz der Raspberry vorgefunden hat.

Abgesehen davon ist Routing mit einer Netzwerkschnittstelle eh' Pfusch - insbesondere auf einer Hardware, bei der sich das Netzwerk die Bandbreite mit vier USB-Anschlüssen teilt.

Ich meine, mal ernsthaft - der Rasberry bekommt ein Datenpaket über seine Netzwerkschnittstelle - danach schickt er es über die gleiche Netzwerkschnitstelle ins LAN - bekommt wieder über diese Netzwerkschnitstelle seine Antwort - und schickt die noch einmal über die gleiche Netzwerkschnittstelle raus.

Wohlgemerkt - auf einer Schnittstelle, die mit gefühlten 30MBit läuft und den größten Teil dieser 30MBit zugunsten der USB-Geräte opfert. Die Post dürfte da deutlich schneller sein.

Im Übrigen erweckt das alles den Eindruck, als wenn Du (heimlich?) ein Scheunentor in ein Netz reißen möchtest (wenn es dein Netz wäre, würdest Du mit einer statischen IP-Adresse und ggf. Portforwardings benutzen). Sry, aber da möchte ich mich lieber zurückhalten...
Bitte warten ..
Mitglied: BirdyB
03.03.2016 um 22:11 Uhr
Zitat von @zwergenalarm:
Eine Frage habe ich noch. Kann man eigentlich auch den Pi mit dhcp im Netzwerk betreiben und das erhaltene Dhcp Netz über Openvpn weiter routen?
ich meine Dynamisch?
Du könntest dein OpenVPN im Bridge-Modus betreiben... Allerdings würde ich das nicht empfehlen, da dann der ganze Broadcast auch mit über das Netzwerk fließt...
Ansonsten fällt mir dazu nicht allzuviel ein...
Vielen Dank für Eure Hilfe!
Gerne!

Beste Grüße!


Berthold
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 1 TagFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 1 TagFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 1 TagFrageGroupware10 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...

Grafikkarten & Monitore
Unerklärliche Aussetzer Bildschirm und Maus
nixwissenderVor 1 TagFrageGrafikkarten & Monitore10 Kommentare

hallo! wir haben aktuell das unerklärliche phänomen, dass sich am arbeitsplatz vom mitarbeiter eines der beiden bildschirme kurzzeitig ausschaltet (und zwar der, der per ...

Monitoring
Mac Adressen im Netzwerk loggen
Peter444Vor 1 TagFrageMonitoring6 Kommentare

Hallo Zusammen, mehrere Rechner sind über eine Fritzbox 7590 mit dem Internet verbunden. Einige Wlan-Geräte kommen ab und an dazu. Ich möchte nun die ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Backup
Backup Datei
gelöst KanrishaVor 1 TagFrageBackup5 Kommentare

Hallo Zusammen, ich habe eine Frage ich will eine Backup bat Datei schreiben habe jedoch ein kleines Problem. Ich möchte ein Laufwerk in das ...