Routing von VPN-Client über dd-wrt OpenVPN-Server ins lokale Netz

Ich schätze mal, ich hab definitiv Defizite was meine Routing-Kenntnisse betrifft! Hab leider zu meinem Problem nichts gefunden.

Folgendes Problem:
Lokales Netz (192.1.1.0/24) (nicht wundern wegen dem Adressbereich, is so gewachsen!)

Ich habe einen Linksys dd-wrt mit OpenVPN aufgesetzt. (192.1.1.252)
Die Einwahl auf dem dd-wrt klappt soweit. Hänge ich nun einen Client DIREKT an den LAN-Anschluss des dd-wrt kann ich diesen erreichen.
Hänge ich den dd-wrt an unseren Switch (HP ProCurve 2810) kann ich die lokalen Clients nicht erreichen weil diese unser eigentliches Gateway 192.1.1.254 eingetragen haben. Ändere ich das Gateway auf den lokalen Clients um, kann ich sie erreichen.
Das eigentliche Gateway ist eine Checkpoint Firewall.

Meine Frage:
Kann ich das Ganze lösen ohne eine Route auf dem Checkpoint anzulegen? Das würde mich nämlich gleich zu meiner nächsten Frage bringen:
Gibt es hier einen Checkpoint-Experten der mir erklären kann wie ich diese Route anlegen kann?

Meine Konfig von OpenVPN:

Client:

client
dev tun
proto udp
remote 193.XXX.XXX.XXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca c:/keys/ca.crt
cert c:/keys/sb.crt
key c:/keys/sb.key
comp-lzo
verb 3

Server:

port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.1.1.0 255.255.255.0"
push "dhcp-option DNS 192.1.1.10"
push "dhcp-option DOMAIN hggs.de"
push "dhcp-option ROUTERS 192.1.1.254"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Sorry, wenn ich das Ganze etwas verwirrt schildere aber so fühl ich mich nach zwei Tagen Rumkonfiguriererei!!
Bitte helft mir, meine bescheidenen Routing-Kenntnisse zu verbessern!!

Gruß

Andreas

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 144576

Url: https://administrator.de/contentid/144576

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

4 Kommentare

Neuester Kommentar

Guckst du hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Die Lösung ist ganz einfach:
Da deine lokalen Clients alles ans Gateway 192.1.1.254 senden musst du logischerweise HIER auch wieder eine statische Route eintragen die dann wieder auf den DD-WRT zeigt damit die OpenVPN Pakete nicht im Internet landen !!
Also eine statische Route ala
ip route 172.16.2.0 255.255.255.0 192.1.1.252 oder
Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: 192.1.1.252
dort auf dem .254 Gateway eintragen !! Fertisch !
Damit finden die Pakete dann wieder den Weg zum DD-WRT !
Eigentlich doch ganz einfach, oder ?? Ein simples Traceroute oder Pathping hätte dir das auch gezeigt !!

Was dein "historisch" gewachsenes IP Netz anbetrifft solltest du DAS hier unbedingt lesen um nicht Schiffbruch zu erleiden:
VPNs einrichten mit PPTP
Das wird dir also früher oder später bei VPN Verbindungen das Genick brechen denn so gut wie auf jedem DSL Billigrouter in der Welt ist das dümmliche 192.168.1.0er Netz vergeben was kein Laie natürlich ändert !
Lies die entsprechenden Threads hier, dann weisst du wieviel Laien es allein nur bei administrator.de gibt !!
Ist der Client da in einem 192.168.1.0er Netz irgendwo auf der Welt drin, ists sofort aus mit der VPN Verbindung und das wird dir laut Statistik dann recht oft passieren !
Lies dazu den IP Design Tip oben !!
Wenn du das alles berücksichtigst funktioniert das auf Anhieb....sofern das 192.168.1.0er Netz nicht auf beiden Seiten vorkommt

P.S.: Eine statische Route richtet man auf der Checkpoint mit dem Kommando:
set static-route 172.16.2.0/24 nexthop gateway address 192.168.1.252 on
ein !
Steht auch genau so im Checkpoint Handbuch...wenn man es denn mal zur Hand nimmt und reinschaut !! Oder...wenigstens mal Dr. Google fragt.
Ohne diese sinnvolle statische Route auf der Checkpoint kannst du das dann nur bei allen Clients manuell einzeln einrichten. Bei Winblows Endgeräten macht das das Kommando
route add 172.16.2.0 mask 255.255.255.0 192.168.1.252
Damit diese Route nach dem nächsten Reboot nicht verschwindet hängst du noch ein -p (wie "permanent") dran !

Besser ist aber in jedem Falle die zentrale statische Route auf der Checkpoint !!

Erstmal vielen Dank Aqui für deine schnelle Antwort. Ich konnte dank deiner Hilfe jetzt die statische Route in der Checkpoint Firewall eintragen mit dem Effekt dass ich nun aus unserem LAN die OpenVPN-Clients anpingen kann. Der entgegengesetzte Weg geht leider weiterhin nur wenn ich diese statische Route DIREKT an den Lan-Clients setze.

Zur Veranschaulichung hier nochmal die Topologie:

Also ich würd mich jetzt selber nicht als Laie bezeichnen und natürlich habe ich auch Dr. Google befragt. Das Thema ist aber halt schwierig wenn man nicht gerade den ganzen Tag "durch die Gegend routet" und eigentlich auch andere Aufgaben in seiner Firma hat!

Ich wäre froh und dankbar wenn mir jemand zu diesem Thema auf die Sprünge helfen könnte!

Folgendermaßen gehst du vor:

Deine OVPN Server Konfig auf dem DD-WRT sollte so aussehen:

port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.1.1.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Mehr sollte da nicht drinstehen....!!
Dann startest du den DD-WRT Router neu damit diese Konfig aktiv ist !

Jetzt verbindest du dich mit einem OpenVPN Client auf den Router !

Wenn der Client aktiv ist und die Verbindung zum OpenVPN Server hergestellt ist dann gibst du auf dem Client folgendes Kommando ein:
route print

Diesen Output postest du hier mal !
Dort muss in jedem Falle das "192.1.1.0" er Netzwerk zu sehen sein mit dem OpenVPN Tunnel Interface als next Hop. Dann wird die Route vom Server richtig an den Client übertragen.

Hier mal ein Beispiel wie es mit einem lokalen Netzwerk 172.32.1.0 /24 aussehen sollte:
ipconfig -all sollte das hier zeigen:
C:\r>ipconfig -all
Ethernetadapter LAN-Verbindung 3: (Client OpenVPN Interface)

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V8
Physikalische Adresse . . . . . . : 00-FF-D3-54-09-A9
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 172.16.2.6
Subnetzmaske. . . . . . . . . . . : 255.255.255.252
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 172.16.2.5
Lease erhalten. . . . . . . . . . : Dienstag, 15. Juni 2010 18:19:21
Lease läuft ab. . . . . . . . . . : Mittwoch, 15. Juni 2011 18:19:21

Ethernetadapter LAN-Verbindung: (Lokales LAN)

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : AMD PCNet Adapter

Physikalische Adresse . . . . . . : 00-0C-29-48-DF-EC
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 192.168.100.164
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.100.254
DHCP-Server . . . . . . . . . . . : 192.168.100.254
DNS-Server. . . . . . . . . . . . : 192.168.100.254
Lease erhalten. . . . . . . . . . : Dienstag, 15. Juni 2010 16:47:30
Lease läuft ab. . . . . . . . . . : Mittwoch, 16. Juni 2010 16:47:30

Nun das route print

C:\>route print
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 ff d3 54 09 a9 ...... TAP-Win32 Adapter V8 - Paketplaner-Miniport
0x3 ...00 0c 29 48 df ec ...... Ethernetadapter AMD-PC - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0    192.168.100.254   192.168.100.164       10
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
       172.16.2.1  255.255.255.255       172.16.2.5      172.16.2.6       1
       172.16.2.4  255.255.255.252       172.16.2.6      172.16.2.6       30
       172.16.2.6  255.255.255.255        127.0.0.1       127.0.0.1       30
   172.16.255.255  255.255.255.255       172.16.2.6      172.16.2.6       30
       172.32.1.0    255.255.255.0       172.16.2.5      172.16.2.6       1
        224.0.0.0        240.0.0.0       172.16.2.6      172.16.2.6       30
        224.0.0.0        240.0.0.0    192.168.100.164   192.168.100.164       10
  255.255.255.255  255.255.255.255       172.16.2.6      172.16.2.6       1
  255.255.255.255  255.255.255.255    192.168.100.164   192.168.100.164       1
Standardgateway:     192.168.100.254
===========================================================================
Ständige Routen:
  Keine

Hier kannst du ganz deutlich sehen das das lokale LAN in dem Der OpenVPN Server steht 172.32.1.0 /24 über die 172.16.2.5 geroutet wird, was der OpenVPN Server ist. Ein Ping auf den OpenVPN Server und Geräte im lokalen Netz funktionieren dann einwandfrei !
(Bei dir muss da 192.1.1.0 stehen !!)

Das du lokal kein RFC 1918 IP Netz ( Privates_Netzwerk ) verwendest ist etwas bedenklich, sollte der Funktion aber keinen Abbruch tun.
Dieses Netz ist weltweit fest registriert auf einen anderen Besitzer:
Using server whois.arin.net.
Query string: "192.1.1.0"

BBN Communications BBN-CNETBLK (NET-192-1-0-0-1)
192.1.0.0 - 192.1.255.255
Bolt Beranek and Newman Inc. BBN-WAN (NET-192-1-1-0-1)
192.1.1.0 - 192.1.1.255

...nur mal so als Info !!

So, ich poste hier jetzt mal alle relevanten Konfigs. Bin aber mittlerweile der Meinung das die OpenVPN-Geschichte soweit alles passt. Denke der Haken hängt an unserem Standard-Gateway.

VPN-Client:

ipconfig:
PPP-Adapter SAMSUNG HSPA Modem:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : SAMSUNG HSPA Modem
Physikalische Adresse . . . . . . :
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 109.XX.XX.XX(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 0.0.0.0
DNS-Server . . . . . . . . . . . : 139.7.30.125
139.7.30.126
Primärer WINS-Server. . . . . . . : 10.11.12.13
Sekundärer WINS-Server. . . . . . : 10.11.12.14
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Ethernet-Adapter LAN-Verbindung 2:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
Physikalische Adresse . . . . . . : 00-FF-C3-3A-B6-28
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 172.16.2.6(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.252
Lease erhalten. . . . . . . . . . : Mittwoch, 16. Juni 2010 08:17:46
Lease läuft ab. . . . . . . . . . : Donnerstag, 16. Juni 2011 08:17:46
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 172.16.2.5
NetBIOS über TCP/IP . . . . . . . : Aktiviert

Route print:

IPv4-Routentabelle

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 Auf Verbindung 109.85.158.195 31
109.XX.XX.XX 255.255.255.255 Auf Verbindung 109.XX.XX.XX 286
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 4531
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 4531
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 4531
172.16.2.1 255.255.255.255 172.16.2.5 172.16.2.6 4256
172.16.2.4 255.255.255.252 Auf Verbindung 172.16.2.6 4511
172.16.2.6 255.255.255.255 Auf Verbindung 172.16.2.6 4511
172.16.2.7 255.255.255.255 Auf Verbindung 172.16.2.6 4511
192.1.1.0 255.255.255.0 172.16.2.5 172.16.2.6 4256
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 4531
224.0.0.0 240.0.0.0 Auf Verbindung 172.16.2.6 4511
224.0.0.0 240.0.0.0 Auf Verbindung 109.XX.XX.XX 31
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 4531
255.255.255.255 255.255.255.255 Auf Verbindung 172.16.2.6 4511
255.255.255.255 255.255.255.255 Auf Verbindung 109.XX.XX.XX 286

Client.ovpn:

client
dev tun
proto udp
remote 193.XX.XX.XX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca c:/keys/ca.crt
cert c:/keys/sb.crt
key c:/keys/sb.key
comp-lzo
verb 3
route-method exe
route-delay 2

VPN-Server:

port 1194
proto udp
dev tun0
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
dh /tmp/openvpn/dh.pem
server 172.16.2.0 255.255.255.0
push "route 192.1.1.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
verb 3

Client im LAN der von VPN-Client NICHT erreicht wird:

ipconfig:

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) 82566DM-2 Gigabit Network Connec
tion
Physikalische Adresse . . . . . . : 00-1E-4F-F6-7C-3E
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::1c1:300:e7cf:5015%11(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.1.1.110(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Mittwoch, 16. Juni 2010 07:10:42
Lease läuft ab. . . . . . . . . . : Mittwoch, 16. Juni 2010 15:10:42
Standardgateway . . . . . . . . . : 192.1.1.254
DHCP-Server . . . . . . . . . . . : 192.1.1.10
DHCPv6-IAID . . . . . . . . . . . : 234888783
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-12-6D-F9-9D-00-1E-4F-F6-7C-3E

DNS-Server . . . . . . . . . . . : 192.1.1.10
192.1.1.20
Primärer WINS-Server. . . . . . . : 192.1.1.10
Sekundärer WINS-Server. . . . . . : 192.1.1.20
NetBIOS über TCP/IP . . . . . . . : Aktiviert

Route print:

IPv4-Routentabelle

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.1.1.254 192.1.1.110 10
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.1.1.0 255.255.255.0 Auf Verbindung 192.1.1.110 266
192.1.1.110 255.255.255.255 Auf Verbindung 192.1.1.110 266
192.1.1.255 255.255.255.255 Auf Verbindung 192.1.1.110 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.1.1.110 266
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.1.1.110 266

Client im LAN der erreicht wird (Route 172.16.2.0 händisch am Client eingetragen):

ipconfig:

Ethernet-Adapter LAN-Verbindung 2:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
Physikalische Adresse . . . . . . : 00-0C-29-58-B4-41
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.1.1.20
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.1.1.254
DNS-Server . . . . . . . . . . . : 192.1.1.10
194.25.2.129
Primärer WINS-Server . . . . . . : 192.1.1.10
Sekundärer WINS-Server . . . . . : 192.1.1.20

IPv4-Routentabelle

Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 0c 29 58 b4 41 ...... VMware Accelerated AMD PCNet Adapter

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.1.1.254 192.1.1.20 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.16.2.0 255.255.255.0 192.1.1.252 192.1.1.20 1
192.1.1.0 255.255.255.0 192.1.1.20 192.1.1.20 10
192.1.1.20 255.255.255.255 127.0.0.1 127.0.0.1 10
192.1.1.255 255.255.255.255 192.1.1.20 192.1.1.20 10
224.0.0.0 240.0.0.0 192.1.1.20 192.1.1.20 10
255.255.255.255 255.255.255.255 192.1.1.20 192.1.1.20 1
Standardgateway: 192.1.1.254

statische Route an unserem Standard-Gateway (192.1.1.254)