5
Subnetz über Reverse Tunnel nicht erreichbar
Hallo zusammen,
ich verbaue aktuell immer wieder technische Geräte in Locations, die über Netzwerk steuerbar sind. Zudem kommt dazu immer noch ein EdgeRouter X von Ubiquiti um Fremden Clienten aus dem Weg zu gehen.
Jetzt würde ich mir gerne einen VPN Tunnel auf den EdgeRouter bauen, bin jedoch schon so weit, dass ich weiß, dass der Router kein VPN Server sein kann, weil ich jedes mal in einer Location Ports freigeben müsste. Deshalb habe ich Zuhause jetzt erstmal testweise einen Raspberry Pi als OpenVPN Server.
Ich habe bisher auch schon eine Verbindung zu dem Router über VPN und kann diesen pingen, jedoch nicht die Geräte hinterm Router, die mir ja am wichtigsten sind.
Vielleicht kann mir jemand sagen, was ich falsch mache?
Location:
Router 192.168.1.1/24
Tunnel kriegt die IP 10.8.0.11
VPN Server:
IP im Heimnetz 10.0.0.33
DHCP für Clienten 10.8.0.0/24
Heimnetz Fritzbox:
10.0.0.1/24
Also ich kriege über mein Handy (VPN-Client) den Edge angesprochen über seine VPN IP 10.8.0.11 jedoch kriege ich keinen Zugriff auf die Geräte dahinter bzw. auch nicht auf dem Edge seiner Lokalen Adresse 192.168.1.1.
Im Pi habe ich folgende Route noch hinzugefügt:
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.8.0.11 dev tun0
Was mache ich falsch oder habe ich einen denkfehler?
Mein Denken war, mit dem VPN Client (Handy) bin ich ja schon auf dem PI und im/am Router, also setze ich noch eine Route, zu dem IP Bereich mit dem Router als Gateway.
Also jedesmal, wenn ich auf ein Gerät, z.B. 192.168.1.45, zugreifen will, schickt der Pi mich über der Tunnel an den Edgerouter und dann wäre ich ja fast am Ziel.
Wäre über Tipps und Tricks sehr dankbar!
LG Jason
ich verbaue aktuell immer wieder technische Geräte in Locations, die über Netzwerk steuerbar sind. Zudem kommt dazu immer noch ein EdgeRouter X von Ubiquiti um Fremden Clienten aus dem Weg zu gehen.
Jetzt würde ich mir gerne einen VPN Tunnel auf den EdgeRouter bauen, bin jedoch schon so weit, dass ich weiß, dass der Router kein VPN Server sein kann, weil ich jedes mal in einer Location Ports freigeben müsste. Deshalb habe ich Zuhause jetzt erstmal testweise einen Raspberry Pi als OpenVPN Server.
Ich habe bisher auch schon eine Verbindung zu dem Router über VPN und kann diesen pingen, jedoch nicht die Geräte hinterm Router, die mir ja am wichtigsten sind.
Vielleicht kann mir jemand sagen, was ich falsch mache?
Location:
Router 192.168.1.1/24
Tunnel kriegt die IP 10.8.0.11
VPN Server:
IP im Heimnetz 10.0.0.33
DHCP für Clienten 10.8.0.0/24
Heimnetz Fritzbox:
10.0.0.1/24
Also ich kriege über mein Handy (VPN-Client) den Edge angesprochen über seine VPN IP 10.8.0.11 jedoch kriege ich keinen Zugriff auf die Geräte dahinter bzw. auch nicht auf dem Edge seiner Lokalen Adresse 192.168.1.1.
Im Pi habe ich folgende Route noch hinzugefügt:
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.8.0.11 dev tun0
Was mache ich falsch oder habe ich einen denkfehler?
Mein Denken war, mit dem VPN Client (Handy) bin ich ja schon auf dem PI und im/am Router, also setze ich noch eine Route, zu dem IP Bereich mit dem Router als Gateway.
Also jedesmal, wenn ich auf ein Gerät, z.B. 192.168.1.45, zugreifen will, schickt der Pi mich über der Tunnel an den Edgerouter und dann wäre ich ja fast am Ziel.
Wäre über Tipps und Tricks sehr dankbar!
LG Jason
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 610261
Url: https://administrator.de/contentid/610261
Printed on: April 24, 2024 at 05:04 o'clock
5 Comments
Latest comment
Moin,
sind denn die Rückrouten korrekt?
VG
sind denn die Rückrouten korrekt?
VG
jedoch nicht die Geräte hinterm Router, die mir ja am wichtigsten sind.
route add am Client ist natürlich Blödsinn... 
Wie immer vermutlich das "push route..." Kommando vergessen in der OVPN Server Konfig was das lokale LAN als Route an die OVPN Clients sendet.
Tutorial lesen, dort ist alles haarklein beschrieben:
Merkzettel: VPN Installation mit OpenVPN
Ohne das du deine OVPN Server Konfig hier mal postest können wir so oder so nur im freien Fall raten oder die Kristallkugel befragen wo der Fehler ist.
Im o.a. Tutorial findest du aber eine wasserdichte und saubere OVPN Server Konfig (und auch Client) wie es auszusehen hat.
Oder alternativ statt deiner Gruselgurke einen "richtigen" Router verwenden der problemlos auch als VPN Server agiert:
Clientverbindung OpenVPN Mikrotik
Scheitern am IPsec VPN mit MikroTik
Bzw. mit einer Firewall:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Ich habe hier jetzt mal die Configs rein gepackt, da ich es trotz tips nicht geschafft habe bisher. Anbei auch nochmal meine gedachte topologie.
#Conifg - Server
dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/xxx.crt
key /etc/openvpn/easy-rsa/pki/private/xxx.key
dh none
ecdh-curve prime256v1
topology subnet
server 10.8.0.0 255.255.255.0
# Nameserver
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "block-outside-dns"
push "redirect-gateway def1"
# Routes
route 10.8.2.0 255.255.255.0
push "route 10.8.2.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
client-to-client
client-config-dir /etc/openvpn/ccd
keepalive 15 120
remote-cert-tls client
tls-version-min 1.2
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
cipher AES-256-CBC
auth SHA256
user openvpn
group openvpn
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 3#Client - Router
ifconfig-push 10.8.0.2 255.255.255.0
iroute 10.8.2.0 255.255.255.0#Client - PC mit Zugriff auf alle Verbindungen
ifconfig-push 10.8.0.251 255.255.255.0
BTW Reboot tut gut.. mein Gott bin ich Dumm. Jetzt geht es!
Habe jetzt noch folgendes entfernt:
damit nicht mehr alles an Traffic durch den VPN geht. Ist das so richtig?
LG Jason und danke für die Tipps schon mal!
Habe jetzt noch folgendes entfernt:
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "block-outside-dns"
push "redirect-gateway def1" LG Jason und danke für die Tipps schon mal!
Das war auch genau DAS was negativ auffällt in der oben geposteten Konfig Datei und grundfalsch ist.
Kardinalsfehler 1:
Du hast parallel einen Gateway Redirect und ein Split Tunneling ("push route...") aktiviert in der OVPN Konfig was natürlich völliger Blödsinn ist, denn es geht nur entweder oder.
Siehe dazu auch das hiesige OVPN Tutorial:
Merkzettel: VPN Installation mit OpenVPN
Im Kapitel Server Konfiguration !!
Du wurdest oben auch extra darauf hingewiesen !
Kardinalsfehler 2:
Google DNS heute noch zu verwenden machen nichtmal mehr Dummies. Jeder weiss ja mittlerweile das Google damit dein Internet Verhalten damit ausspäht und dieses Profil mit Dritten weltweit vermarktet. Wem als Datensicherheit etwas wert ist unterlässt diesen Unsinn. Oder nimmt eine datenschutzfreundliche_Alternative.
Mal abgesehen davon DNS Requests sinnlos um den halben Erdball zu schicken. Das verlängert unnötig Antwortszeiten. Das DNS Pushing macht nur Sinn wenn man einen internen DNS Server betreibt (z.B. Windows AD mit DNS). Ohne sowas kann man das DNS Pushing komplett weglassen, denn dann nutzt der Server sinnvollerweise seinen lokal konfigurierten DNS was in der Regel der Internet Router ist.
In der Beziehung hast du nun mit der Löschung dieser unnötigen und falschen Parameter in der Server Konfig final intuitiv alles richtig gemacht !
Tutorials lesen hilft hier also wenn man schon mit der Nase draufgestossen wird.
Wenn's das denn nun war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Kardinalsfehler 1:
Du hast parallel einen Gateway Redirect und ein Split Tunneling ("push route...") aktiviert in der OVPN Konfig was natürlich völliger Blödsinn ist, denn es geht nur entweder oder.
Siehe dazu auch das hiesige OVPN Tutorial:
Merkzettel: VPN Installation mit OpenVPN
Im Kapitel Server Konfiguration !!
Du wurdest oben auch extra darauf hingewiesen !
Kardinalsfehler 2:
Google DNS heute noch zu verwenden machen nichtmal mehr Dummies. Jeder weiss ja mittlerweile das Google damit dein Internet Verhalten damit ausspäht und dieses Profil mit Dritten weltweit vermarktet. Wem als Datensicherheit etwas wert ist unterlässt diesen Unsinn. Oder nimmt eine datenschutzfreundliche_Alternative.
Mal abgesehen davon DNS Requests sinnlos um den halben Erdball zu schicken. Das verlängert unnötig Antwortszeiten. Das DNS Pushing macht nur Sinn wenn man einen internen DNS Server betreibt (z.B. Windows AD mit DNS). Ohne sowas kann man das DNS Pushing komplett weglassen, denn dann nutzt der Server sinnvollerweise seinen lokal konfigurierten DNS was in der Regel der Internet Router ist.
In der Beziehung hast du nun mit der Löschung dieser unnötigen und falschen Parameter in der Server Konfig final intuitiv alles richtig gemacht !
Tutorials lesen hilft hier also wenn man schon mit der Nase draufgestossen wird.
Wenn's das denn nun war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
