08.02.2021, aktualisiert um 17:45:29 Uhr

10080

Routing von OpenVPN Server in Subnet

Hallo zusammen,

ich möchte mich mit einem Problem an euch wenden.

Ich habe einen OpenVPN Server (Debian 10) auf einem Server mit public IP.
Server IP by Netcup
OpenVPN IP 10.8.0.1

Die bisher zwei OpenVPN Clienten sind wie folgt verteilt/zugeordnet.

Auf einem OpenWRT Router tun Device 10.8.0.2
WAN IP 172.22.0.188
LAN IP 192.168.131.0/24

Ein weiterer Client ist auf einem Windows PC um die Verbindungen zu testen
Ist ein Netz hinter einer Fritzbox (Heimnetz mit Telekomanbieter)
OpenVPN Client 10.8.0.3

Alles was hinter dem OpenWRT Router ist soll erreichbar sein, von allen angemeldeten VPN Clienten.

Das funktioniert wunderbar.
Ich kann vom OpenWRT Router mit OpenVPN Client den Server pingen und auch den Client auf dem Windows PC.
Ich kann von dem Windows PC die Server hinter dem OpenWRT Router im Netz 192.168.131.0/24 anpingen, bzw. mit SSH auf die Server verbinden.

Klappt prima mit client to client.

Mein Problem:
Der OpenVPN Server kann nur alles im 10.8.0.0 Netz erreichen, jedoch nicht, wie die anderen Clienten auch die Server im 192.168.131.0/24 Netz

Ich dachte mir, dass ich auf dem OpenVPN Server (Debain 10) Routen setze, wie ip route add 192.168.131.0/24 dev tun0 oder ip route add 192.168.131.0/24 gw 10.8.0.1 aber das funktioniert trotzdem nicht.

Könnt ihr mir bei dem Problem helfen?
Muss ich auf dem OpenVPN (Debian 10 Server) noch Firewall Regeln hinzufügen oder sonstige Parameter setzen?

Ich möchte erreichen, dass ein Programm, welches auf dem OpenVPN Server, neben dem OpenVPN läuft, auch Zugriff auf das Netz 192.168.131.0/24 hat, wie z.B. ein Proxy.

Grüße
Epi

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 649625

Url: https://administrator.de/contentid/649625

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

16 Kommentare

Neuester Kommentar

Grüße EPI

Kannst du das mal in eine skizzierte Reihenfolge bringen !
Irgendwie werde ich nicht schlau aus der Geschichte ;)

Eine Lösung zu genau deinem Setup findest du hier:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)

Du hast sehr wahrscheinlich vergessen die Route ins 192.168.131.0/24 Netz auf die Clients bzw. in die Server Kernel Routing Tabelle zu propagieren ?!
Ein route print auf dem Windows Client und bei deinem Server Routing Fehler beonders ein netstat -r -n bzw. ip route show dort zeigt dir das doch bei aktivem VPN Client auch sofort an ob dieses IP Netz ebenfalls in den Tunnel geroutet wird.
Sehr wahrscheinlich fehlt dort das Netz weil die OVPN Konfig fehlerhaft ist.
Leider hat es bei dir ja auch nicht dazu gereicht die wichtigen OVPN Konfig Dateien einmal hier zu posten die uns allen ein zielführendes Troubleshooting sehr erleichtert hätten !
Bleibt also mal wieder nur die Kristallkugel...

Statische Routen auf Betriebssystem Ebene zu setzen helfen natürlich nicht, weil diese nicht an die Clients propagiert werden. In der OVPN Server Konfig sollte also sowas wie "route 192.168.131.0 255.255.255.0" stehen aber leider fehlt diese ja hier.

Wie man das richtig umsetzt erklärt dir dieses Tutorial:
OpenVPN - Erreiche Netzwerk hinter Client nicht
Bzw. bezogen auf exakt das Design von dir unter diesem Thread:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Damit sollte es fehlerlos klappen.
Generelle Grundlagen zu den OpenVPN ToDos, wie immer, HIER.

Hallo Andy74MT

danke dir für deinen Frage und versuche es mal.

Server mit OpenVPN bei einem Hoster.

Ein Client OpenVPN in einem Netz direkt auf dem OpenWRT Router. In einem Heimnetzwerk.

Ein Client auf einem Windows PC. In einem anderen Heimnetzwerk.

Beide Clienten erreichen sich und das Netz hinter dem Client, welcher auf dem Router ist.
Das Netz hinter dem Router ist 192.168.131.1

Jetzt möchte ich, dass ein Programm das auf dem Server neben der OpenVPN Server läuft auch in des Netz hinter dem Router/Client kommt.

Grüße
Epi

Das Zauberkommando dazu in der OVPN Server Konfig lautet:
push "route <lokales_IP_netz> <subnetzmaske>"
Und natürlich ein Regelwerk in der lokalen Server Firewall das remote IP Netze durch dürfen sollte da eine FW am werkeln sein.

Hallo EPI,

ich versuche es mal so ?

Werter Herr aqui,

wie ich geschrieben habe, können beide Clienten aufs wunderbarste miteinander kommunizieren.
Die Clienten kommen in das Subnetz.

Folglich muss im OpenVPN Server das Netz bekannt und richtig konfiguriert sein.

Hier mal route PRINT -4 vom Windows PC mit OpenVPN Client, der ohne Probleme, wie geschrieben ins Subnetz des zweiten Clienten kommt.

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.2.1      192.168.2.2    281
          0.0.0.0        128.0.0.0         10.8.0.1         10.8.0.3    259
         10.8.0.0    255.255.255.0   Auf Verbindung          10.8.0.3    259
         10.8.0.3  255.255.255.255   Auf Verbindung          10.8.0.3    259
       10.8.0.255  255.255.255.255   Auf Verbindung          10.8.0.3    259
   3x.xxx.190.xxx  255.255.255.255      192.168.2.1      192.168.2.2    281
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
        128.0.0.0        128.0.0.0         10.8.0.1         10.8.0.3    259
    192.168.131.0    255.255.255.0         10.8.0.1         10.8.0.3    259
    192.168.168.0    255.255.255.0   Auf Verbindung     192.168.168.1    291
    192.168.168.1  255.255.255.255   Auf Verbindung     192.168.168.1    291
  192.168.168.255  255.255.255.255   Auf Verbindung     192.168.168.1    291
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung          10.8.0.3    259
  255.255.255.255  255.255.255.255   Auf Verbindung       192.168.2.2    281
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0      192.168.2.1  Standard
===========================================================================

Und hier ip route show vom OpenWRT Router

root@OpenWrt:~# ip route show
0.0.0/1 via 10.8.0.1 dev tun0
default via 172.22.0.1 dev eth0  src 172.22.1.188
8.0.0/24 dev tun0 scope link  src 10.8.0.2
xxx.190.xxx via 172.22.0.1 dev eth0
0.0.0/1 via 10.8.0.1 dev tun0
22.0.0/16 dev eth0 scope link  src 172.22.1.188
168.131.0/24 dev br-lan scope link  src 192.168.131.1

und netstat -r -n

root@OpenWrt:~# netstat -r -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0         10.8.0.1        128.0.0.0       UG        0 0          0 tun0
0.0.0         172.22.0.1      0.0.0.0         UG        0 0          0 eth0
8.0.0        0.0.0.0         255.255.255.0   U         0 0          0 tun0
xxx.190.xxx  172.22.0.1      255.255.255.255 UGH       0 0          0 eth0
0.0.0       10.8.0.1        128.0.0.0       UG        0 0          0 tun0
22.0.0      0.0.0.0         255.255.0.0     U         0 0          0 eth0
168.131.0   0

und hier das Problem:

Beim Server auf dem der OpenVPN Server läuft, gibt es die die Route ins Subnet des Clienten 10.8.0.2 nicht.
Weshalb ich wie beschrieben, die Route hinzufügen wollte aber es nicht hinbekomme.

Ich kann auch auf einem Server im Subnet 192.168.131.0/24 den OpenVPN Client 10.8.0.3 anpingen.
Weil ich wie erwähnt mich auch vom Windows PC mit OpenVPN Client per SSH auf den Server im Netz 192.168.131.0/24 verbinden kann.

Grüße
Epi

Edit: Mal ein paar der unnötigen IP Adressen entfernt

Hallo Andy,

ja danke Dir

und der zweite Client hängt halt in einem anderen lokalen LAN.

Client zu Client geht wunderbar auch ins Subnet.

Jetzt bin ich per SSH auf dem Server und will auch ins Subnet.
Aber der Server ist halt der Server und nicht der Client.

Der OpenVPN Server ist ja nicht dafür da, primär den "Server unter sich" ins Subnet eines Clienten zu routen sondern, wenn eingestellt, die Clienten in ihre Subnetze zu routen.

Ich will jetzt mit dem Debian Server, auf dem der OpenVPN Server läuft auch ins Subnet.

Grüße
Epi

Dann versuche mal was ich nicht eingetragen habe nachzutragen und noch die Adressen einzutragen.

Hallo aqui,

jaaaaaaaaaaaaaaa genau

Auszug server.conf:

client-config-dir ccd
client-to-client
push "route 192.168.131.0 255.255.255.0"  

Liest du dir den Beitrag/Frage eigentlich ganz durch oder weißt du schon nach den ersten zwei Worten was der andere schreibt und antwortest dann.

Client zu Client auch ins Subnetz FUNKTIONIERT.

für dich formuliere ich es noch einmal aqui:
ICH KOMME MIT EINEM PING VOM OPENVPN Server nicht in das Subnet des Clienten 10.8.0.2

Wahrscheinlich sind es Einstellungen im Routing des Servers aber genau das weiß ich nicht, weshalb ich mich hier im Forum melde.
In der Routing Tabelle des Servers (Debian Server nicht OpenVPN Server Applikation) taucht eine Route in das Netz 192.168.131.0/24 nicht auf.

Weshalb ich vermute dass es auch nicht klappen kann.

Grüße
Epi

Hallo Andy,

Wie erwähnt, möchte ich nicht nur mit dem Client zu Client in das Subnet, was ja funktioniert.

Ich möchte auch mit dem Server, also wenn ich mich per SSh mit dem Server verbinde, auf dem der OpenVPN Server läuft, in das Subnet 192.168.131.0/24 kommen.

Grüße
Epi

Hallo Andy,

noch zur Info.

Während wie oben gepostet, in den Routen der Clienten, die Route ins Netz 192.168.131.0/24 schön zu erkennen ist, fehlt das beim Server auf dem der OpenVPN Server läuft.

Hier der Auszug:

root@proxy:~# ip route show
default via 37.xxx.xxx.1 dev eth0 onlink
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
37.xxx.xxx.0/22 dev eth0 proto kernel scope link src 37.xxx.xxx.174


root@proxy:~# netstat -r -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         37.xxx.xxx.1    0.0.0.0         UG        0 0          0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U         0 0          0 tun0
37.xxx.xxx.0    0.0.0.0         255.255.252.0   U         0 0          0 eth0

Deshalb dacht ich laienhaft, dass ich beim Server einfach auch die Routen hinzufügen aber genau das gelingt mir nicht.
Deshalb habe ich hier auf einen freundlichen Helfer (nein nicht du aqui) gehofft, der mir sagen kann, wie ich vom Server (auf dem der OpenVPN Server gehostet ist) in das Subnetz des Clienten komme.

Grüße
Epi

Mehr oder minder ja genau dein Setup:

Konfig vServer (OpenVPN Server):

dev tun
proto udp4
port 1194
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vserver.crt
key /etc/openvpn/server/vserver.key
dh /etc/openvpn/server/dh.pem
user nobody
group nogroup
server 172.18.18.0 255.255.255.0
topology subnet
push "topology subnet"
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
status-version 3
push "route 192.168.188.0 255.255.255.0"
route 192.168.188.0 255.255.255.0
keepalive 10 120
explicit-exit-notify 1
client-config-dir /etc/openvpn/server/clientconf 

RasPi hat den COMMON Name: "client02" deshalb Konfig Datei in /etc/openvpn/server/clientconf

ifconfig-push 172.18.18.254 255.255.255.0
iroute 192.168.188.0 255.255.255.0 

ACHTUNG: Bei der statischen RasPi Client IP von "oben" mit der IP Adressvergabe anfangen, da der Server automatisch von "unten" aufsteigend vergibt. Ansonsten kommt es zu Adress Chaos mit den mobilen Clients !

Interfaces und Routing Tabelle Server:

root@vserver:/etc/# ip route show
default via 85.12.34.254 dev eth0  metric 202
85.12.34.56/24 dev eth0  metric 202
172.18.18.0/24 dev tun0 proto kernel scope link src 172.18.18.1
192.168.188.0/24 via 172.18.18.2 dev tun0

root@vserver:/etc/# ip interface show tun0
tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 172.18.18.1  netmask 255.255.255.0  destination 172.18.18.1
        inet6 fe80::3f68:74e8:9525:b48  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 6  bytes 504 (504.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 12  bytes 792 (792.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0 

Konfig RasPi(OpenVPN Client):

dev tun
proto udp4
client
remote 85.12.34.56 1194
ca /etc/openvpn/client/ca.crt
cert /etc/openvpn/client/client02.crt
key /etc/openvpn/client/client02.key
auth-nocache
tls-client
remote-cert-tls server
user nobody
group nogroup
persist-tun
persist-key
mute-replay-warnings
pull 

Tunnel Interface und Routing Tabelle Client:

 tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 172.18.18.254  netmask 255.255.255.0  destination 172.18.18.254
        inet6 fe80::112:40cc:c30c:444b  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2  bytes 96 (96.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@raspiclient:/etc/# ip route show
default via 192.168.188.1 dev eth0 metric 100
172.18.18.0/24 dev tun0 proto kernel scope link src 172.18.18.254
192.168.188.0/24 dev eth0 proto kernel scope link src 192.168.188.22 metric 100 

Konfig mobiler Client (Windows Laptop mit 4G Stick):

dev tun
proto udp4
remote 85.12.34.56 1194
ca   ca.crt
cert client01.crt
key  client01.key
auth-nocache
tls-client
remote-cert-tls server
# ping 15
# ping-restart 45
# ping-timer-rem
persist-tun
persist-key
mute-replay-warnings
pull 

Routing Tabelle mobiler Windows Client:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0       212.x.y.z       212.x.y.z     35
         212.x.y.z    255.255.255.0   Auf Verbindung        212.x.y.z    291
         127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      172.18.18.0    255.255.255.0   Auf Verbindung       172.18.18.2    291
      172.18.18.2  255.255.255.255   Auf Verbindung       172.18.18.2    291
    172.18.18.255  255.255.255.255   Auf Verbindung       172.18.18.2    291
    192.168.188.0    255.255.255.0      172.18.18.1      172.18.18.2    29
===========================================================================
Ständige Routen:
  Keine 

Finaler Ping Check:

vServer auf FritzBox LAN Interface:

root@vserver:/etc/# ping 192.168.188.1 -c 3
PING 192.168.188.1 (192.168.188.1) 56(84) bytes of data.
64 bytes from 192.168.188.1: icmp_seq=1 ttl=63 time=2.40 ms
64 bytes from 192.168.188.1: icmp_seq=2 ttl=63 time=1.87 ms
64 bytes from 192.168.188.1: icmp_seq=3 ttl=63 time=1.82 ms 

RasPi Client auf vServer Tunnel Interface:

root@raspiclient:/etc/# ping 172.18.18.1 -c 3
PING 172.18.18.1 (172.18.18.1) 56(84) bytes of data.
64 bytes from 172.18.18.1: icmp_seq=1 ttl=64 time=1.59 ms
64 bytes from 172.18.18.1: icmp_seq=2 ttl=64 time=1.43 ms
64 bytes from 172.18.18.1: icmp_seq=3 ttl=64 time=1.24 ms 

Mobiler Client auf FritzBox LAN Interface:

C:\Users\admin>ping 192.168.188.1

Ping wird ausgeführt für 192.168.188.1 mit 32 Bytes Daten:
Antwort von 192.168.188.1: Bytes=32 Zeit=3ms TTL=62
Antwort von 192.168.188.1: Bytes=32 Zeit=3ms TTL=62
Antwort von 192.168.188.1: Bytes=32 Zeit=3ms TTL=62
Antwort von 192.168.188.1: Bytes=32 Zeit=3ms TTL=62

Ping-Statistik für 192.168.188.1:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 3ms, Maximum = 3ms, Mittelwert = 3ms 

Dein Eintrag push "route 192.168.131.0 255.255.255.0" ist deshalb falsch weil das nur lokale LAN Netze am Server an die Clients propagiert.

Das Netz 192.168.131.1 ist ein Subnet hinter einem Client und soll dort natürlich auch von anderen Clienten erreichbar sein. Und das funktioniert wie es soll.

Deshalb ist auch

iroute 192.168.131.0 255.255.255.0

im Ordner ccd in der dort liegenden Clientconfig.

Dort sollte das 192.168.131.0er Netz ja ebenso auftauchen und auch immer in tun0 geroutet werden sonst können Clients niemals via VPN darauf zugreifen...logisch und weisst du als Profi auch.

Noch einmal: Die Clients können auf 192.168.131.0/24 zugreifen. Es geht!!!
Ich kann vom Client 10.8.0.3 auf 192.168.131.0/24 das hinter Client 10.8.0.2 liegt zugreifen!
Per SSH kann ich mich mit den Servern in 192.168.131.0/24 (hinter 10.8.0.2) von meinem Netz 192.168.2.0/24 welches hinter dem Client 10.8.0.3 liegt verbinden!!

Und danke wenn du dir weitere Kommentare ersparst.
Für mein Verständnis hast du es mal wieder geschafft einen Thread zu zerlegen.

Wir haben uns heute nebenher im Betrieb mit der Problematik auseinander gesetzt und ich sage noch, dass ich die Netzwerkfrage mal heute Abend bei administrator.de reinsetze.

Da war gleich Gelächter da, im Zusammenhang mit dem Pseudonym aqui.
Und siehe da, es hat sich bestätigt.

Danke für nichts.

Epi

Hallo EPI

Jetzt mal Langsam, und das ging bisher nicht aus deiner Skizze hervor.
Entschuldige Bitte ich bin einer der das wie bei Mikrotik üblich , mit Dude arbeitet und eine wirkliche Netzwerk Skizze braucht, um alles zu erfassen ;)

Habe ich deine Aussage jetzt richtig verstanden, weil ich versteh das immer noch nicht, weil ich eigentlich in den unteren OSI Stufen denke ( Wie ist der Physikalische Weg ) dass du via SSL in dein Lokales Netzwerk routen willst, damit weitere Dienste dieses OpenVPN Servers mit genutzt werden können ?

Hallo Andy,

danke dir für dein Rückmeldung.

Weitere Dienste vom Server, auf dem der OpenVPN Server läuft, sollen auch in das Subnet des Clienten 10.8.0.2
Ja so soll es sein.

Wie schon erwähnt, wird das Subnet zwischen den VPN Client richtig geroutet und ist erreichbar.

Wenn ich also zwischen den Clienten pinge, dann ist alles in Ordnung.

Wenn ich mit der public Server IP pinge, auf dem der OpenVPN Server mit dem Netz10.8.0.0 läuft, komme ich nicht in das Subnetz des Clienten.

Somit hast du das richtig wiedergegeben.

Ich muss dabei zwischen OpenVPN Server, also der Serverapplikation die ich mit "apt install openvpn-server" installiert habe und dem Server auf dem der OpenVPN Server läuft unterscheiden.

Wenn man den Text querliest und OpenVPN Server und Server auf dem OpenVPN Server läuft in einen Topf wirft, kann der Eindruck entstehen, dass ich Probleme habe mit dem Erreichen eines Subnet hinter einem OpenVPN Client, von einem OpenVPN Client aus.

Aber du hast es richtig wieder geben. Alles zwischen den Clienten funktioniert, auch ins Subnet.

Aber vom Server (bei Netcup) wo der OpenVPN Server drauf läuft, geht der ping nicht ins 192.168.131.0/24 Netz.

Es keine ufw installiert und ausser fail2ban und dem OpenVPN Server läuft auf der Kiste nichts.

Ich habe wie erwähnt die Routen händisch gesetzt mit Device tun0 oder IP oder allem aber habe es nicht hinbekommen.

Grüße
Epi