gelöst Subnetz über Reverse Tunnel nicht erreichbar

Mitglied: jznofc

jznofc (Level 1) - Jetzt verbinden

04.10.2020 um 11:20 Uhr, 314 Aufrufe, 5 Kommentare

Hallo zusammen,

ich verbaue aktuell immer wieder technische Geräte in Locations, die über Netzwerk steuerbar sind. Zudem kommt dazu immer noch ein EdgeRouter X von Ubiquiti um Fremden Clienten aus dem Weg zu gehen.
Jetzt würde ich mir gerne einen VPN Tunnel auf den EdgeRouter bauen, bin jedoch schon so weit, dass ich weiß, dass der Router kein VPN Server sein kann, weil ich jedes mal in einer Location Ports freigeben müsste. Deshalb habe ich Zuhause jetzt erstmal testweise einen Raspberry Pi als OpenVPN Server.
Ich habe bisher auch schon eine Verbindung zu dem Router über VPN und kann diesen pingen, jedoch nicht die Geräte hinterm Router, die mir ja am wichtigsten sind.

Vielleicht kann mir jemand sagen, was ich falsch mache?

Location:
Router 192.168.1.1/24
Tunnel kriegt die IP 10.8.0.11

VPN Server:
IP im Heimnetz 10.0.0.33
DHCP für Clienten 10.8.0.0/24

Heimnetz Fritzbox:
10.0.0.1/24

Also ich kriege über mein Handy (VPN-Client) den Edge angesprochen über seine VPN IP 10.8.0.11 jedoch kriege ich keinen Zugriff auf die Geräte dahinter bzw. auch nicht auf dem Edge seiner Lokalen Adresse 192.168.1.1.
Im Pi habe ich folgende Route noch hinzugefügt:
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.8.0.11 dev tun0

Was mache ich falsch oder habe ich einen denkfehler?

Mein Denken war, mit dem VPN Client (Handy) bin ich ja schon auf dem PI und im/am Router, also setze ich noch eine Route, zu dem IP Bereich mit dem Router als Gateway.
Also jedesmal, wenn ich auf ein Gerät, z.B. 192.168.1.45, zugreifen will, schickt der Pi mich über der Tunnel an den Edgerouter und dann wäre ich ja fast am Ziel.

Wäre über Tipps und Tricks sehr dankbar!

LG Jason
Mitglied: BirdyB
LÖSUNG 04.10.2020 um 11:44 Uhr
Moin,
sind denn die Rückrouten korrekt?
VG
Bitte warten ..
Mitglied: aqui
LÖSUNG 04.10.2020, aktualisiert um 12:38 Uhr
jedoch nicht die Geräte hinterm Router, die mir ja am wichtigsten sind.
route add am Client ist natürlich Blödsinn...
Wie immer vermutlich das "push route..." Kommando vergessen in der OVPN Server Konfig was das lokale LAN als Route an die OVPN Clients sendet.
Tutorial lesen, dort ist alles haarklein beschrieben:
https://administrator.de/tutorial/merkzettel-vpn-installation-openvpn-56 ...
Ohne das du deine OVPN Server Konfig hier mal postest können wir so oder so nur im freien Fall raten oder die Kristallkugel befragen wo der Fehler ist.
Im o.a. Tutorial findest du aber eine wasserdichte und saubere OVPN Server Konfig (und auch Client) wie es auszusehen hat.

Oder alternativ statt deiner Gruselgurke einen "richtigen" Router verwenden der problemlos auch als VPN Server agiert:
https://administrator.de/content/detail.php?id=359367&token=695#comm ...
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
Bzw. mit einer Firewall:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
https://administrator.de/tutorial/pfsense-vpn-l2tp-ipsec-protokoll-mobil ...
Bitte warten ..
Mitglied: jznofc
09.10.2020 um 15:56 Uhr
Ich habe hier jetzt mal die Configs rein gepackt, da ich es trotz tips nicht geschafft habe bisher. Anbei auch nochmal meine gedachte topologie.
netzwerkvpn - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: jznofc
09.10.2020, aktualisiert um 16:36 Uhr
BTW Reboot tut gut.. mein Gott bin ich Dumm. Jetzt geht es!
Habe jetzt noch folgendes entfernt:
damit nicht mehr alles an Traffic durch den VPN geht. Ist das so richtig?

LG Jason und danke für die Tipps schon mal!
Bitte warten ..
Mitglied: aqui
09.10.2020, aktualisiert um 18:18 Uhr
Das war auch genau DAS was negativ auffällt in der oben geposteten Konfig Datei und grundfalsch ist.

Kardinalsfehler 1:
Du hast parallel einen Gateway Redirect und ein Split Tunneling ("push route...") aktiviert in der OVPN Konfig was natürlich völliger Blödsinn ist, denn es geht nur entweder oder.
Siehe dazu auch das hiesige OVPN Tutorial:
https://administrator.de/tutorial/merkzettel-vpn-installation-openvpn-56 ...
Im Kapitel Server Konfiguration !!
Du wurdest oben auch extra darauf hingewiesen !

Kardinalsfehler 2:
Google DNS heute noch zu verwenden machen nichtmal mehr Dummies. Jeder weiss ja mittlerweile das Google damit dein Internet Verhalten damit ausspäht und dieses Profil mit Dritten weltweit vermarktet. Wem als Datensicherheit etwas wert ist unterlässt diesen Unsinn. Oder nimmt eine datenschutzfreundliche_Alternative.
Mal abgesehen davon DNS Requests sinnlos um den halben Erdball zu schicken. Das verlängert unnötig Antwortszeiten. Das DNS Pushing macht nur Sinn wenn man einen internen DNS Server betreibt (z.B. Windows AD mit DNS). Ohne sowas kann man das DNS Pushing komplett weglassen, denn dann nutzt der Server sinnvollerweise seinen lokal konfigurierten DNS was in der Regel der Internet Router ist.

In der Beziehung hast du nun mit der Löschung dieser unnötigen und falschen Parameter in der Server Konfig final intuitiv alles richtig gemacht !
Tutorials lesen hilft hier also wenn man schon mit der Nase draufgestossen wird.

Wenn's das denn nun war bitte dann auch
https://administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Heiß diskutierte Inhalte
Server-Hardware
Grobes Konzept Hyper-V Storage - Storage für Hyper-V
nachgefragtFrageServer-Hardware24 Kommentare

Hallo Administratoren. Um VHDX-Daten zentral zu halten freue ich mich auf Euren konstruktiven Input. Bisher liegen die VHDX-Daten jeweils ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu15 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

C und C++
(Cpp) Verständnisproblem: Nutzen des new-operators? (mit Beispiel)
gelöst SinixNDFrageC und C++12 Kommentare

Hallo liebe community! INTRO: Zunächsteinmal: Trotz mehrerer Stunden Recherche habe ich für meine Frage leider noch keine Antwort gefunden ...

Ähnliche Inhalte
Router & Routing

Synology NAS in anderem Subnetz nicht erreichbar

Tech1KonniFrageRouter & Routing30 Kommentare

Hallo Leute, ich bin Software-Entwickler und daher auch etwas bewandert in den Grundkenntnissen der Netzwerktechnik. Aktuell habe ich allerdings ...

Router & Routing

Squid Revers Proxy Probleme - Exchange

gelöst theoberlinFrageRouter & Routing1 Kommentar

Hallo zusammen, ich habe ein kleines Problem bezüglich einer Reverse Proxy Konfiguration. Ausgangssituation: PfSense CARP Cluster, Exchange 2016 auf ...

Linux

Nextcloud mit Smartphones nicht erreichbar im selben Subnetz

gelöst ErgenekonFrageLinux17 Kommentare

Hallo liebe Gemeinde, ich teste momentan Nextcloud für einen produktiven Einsatz. Die Bereitstellung & Wartung sind bisher relativ einfach ...

Router & Routing

Netgear FVS318v3 VPN - Tunnel steht, aber nichts erreichbar

Xaero1982FrageRouter & Routing10 Kommentare

Moin Zusammen, hab schon viel gesucht, aber irgendwie nichts weiter passendes gefunden. Ich muss ne VPN Verbindung zu og. ...

Netzwerkgrundlagen

OpenVPN, Tunnel eingerichtet, Server bzw. Client nicht erreichbar

andian2FrageNetzwerkgrundlagen7 Kommentare

Hallo Administratoren! Aus gegebenen Anlass muss ich in unserem Büro mit einem Windows Server 2012 und 4 Clients die ...

Netzwerke

Subnetz splitten

gelöst macherlthomasFrageNetzwerke3 Kommentare

Hey Leute, ich hätte da eine doofe Anfängerfrage: Ich hab hier z.B: 2 Standorte (Verbindung über das Internet und ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT