VPN Netz Problem
Hallo Comunity.
Ich bastle an ein eigenen VPN per Openvpn.
Hab schon mehrere Tutorials, hier und auf anderen Plattformen durchgelesen.
Mein Problem ist ich habe ein W2K3 Server auf dem ein VPN-Server alla Openvpn installiert und soweit auch konfiguriert.
Die Clients können sich alle Verbinden aber das Lan das hinter dem Openvpnserver liegt nicht.
meine Serverconfig sieht wie folgt aus
local 192.168.0.199
port 55601
proto udp
dev tun
server 10.18.14.0 255.255.255.0
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\ipp.txt"
client-to-client
#route 192.168.0.0 255.255.0.0
push "route 192.168.0.0 255.255.255.0"
#push "redirect-gateway"
#push "route-gateway 192.168.0.199"
push "dhcp-option DNS 192.168.0.7"
push "dhcp-option WINS 192.168.0.7"
keepalive 10 120
comp-lzo
persist-key
persist-tun
management localhost 7505
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
Ich bastle an ein eigenen VPN per Openvpn.
Hab schon mehrere Tutorials, hier und auf anderen Plattformen durchgelesen.
Mein Problem ist ich habe ein W2K3 Server auf dem ein VPN-Server alla Openvpn installiert und soweit auch konfiguriert.
Die Clients können sich alle Verbinden aber das Lan das hinter dem Openvpnserver liegt nicht.
meine Serverconfig sieht wie folgt aus
local 192.168.0.199
port 55601
proto udp
dev tun
- ----------------------------------------------
- Server-Setup
- ----------------------------------------------
server 10.18.14.0 255.255.255.0
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\ipp.txt"
client-to-client
- ----------------------------------------------
- Client-Settings (inkl Special Dir)
- ----------------------------------------------
- (if needed) client-config-dir ccd
#route 192.168.0.0 255.255.0.0
push "route 192.168.0.0 255.255.255.0"
#push "redirect-gateway"
#push "route-gateway 192.168.0.199"
push "dhcp-option DNS 192.168.0.7"
push "dhcp-option WINS 192.168.0.7"
- ----------------------------------------------
- Defaults
- ----------------------------------------------
keepalive 10 120
comp-lzo
persist-key
persist-tun
- ----------------------------------------------
- Managment
- ----------------------------------------------
management localhost 7505
- ----------------------------------------------
- Logging
- ----------------------------------------------
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 184018
Url: https://administrator.de/forum/vpn-netz-problem-184018.html
Ausgedruckt am: 03.04.2025 um 19:04 Uhr
18 Kommentare
Neuester Kommentar
Wie immer bei diesem "Problem" die Kardinalsfrage: Wo zeigen die Default Gateway Einträge der LAN Clients hin ?
Genau DAS hast du nämlich nicht beantwortet und genau DAS ist der Punkt in deinem Design...vermutlich ?!
Dein OpenVPN Server arbeitet intern mit dem IP Netz 10.18.14.0, folglich hat ein sich einwählender OVPN Client auch diese Absender IP.
Wenn dieser Client nun z.B. auf einem Drucker in deinem lokalen LAN 192.168.0.0 /24 drucken will, der Drucker aber den lokalen DSL Router als Gateway eingetragen hat wie vermutlich alle Geräte in diesem LAN Segment, landet das Antwortpakt ins 10.18.14.0er Netz (VPN Client) erstmal auf diesem Router...logisch soweit !
Der sieht nun in seiner Routing Tabelle nach ob er dort einen Routing Eintrag für dieses Netz hat. Vermutlich findet er nichts und schickt das Paket dann an seine Default Route, sprich ins Provider Netz und damit ins Nirwana.... Nichts geht also..genau das was du siehst.
Leider schilderst du deinen Netzaufbau nicht genau so das man nur raten kann
Ist das obige Szenario aber dein Szenario dann musst du eine statische Route ala:
Zielnetz: 10.18.14.0, Maske: 255.255.255.0, Gateway: <LAN_ip_adresse_server>
auf deinem Internet Router konfigurieren damit die Pakete auch ihr (VPN) Ziel erreichen können.
Damit hat der Internet Router dann seinen statischen Routing Eintrag und schickt dann alle 10.18.14.0er IP Adressen an den OVPN Win Server im LAN 192.168.0.x der diese Pakete dann wieder sauber ins VPN routen kann und alles wird gut.
Mit ein bischen nachdenken und vor allen Dingen Traceroute oder Pathping kommt man auch von selber drauf !
Alles weitere dazu findest du in diesem Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Genau DAS hast du nämlich nicht beantwortet und genau DAS ist der Punkt in deinem Design...vermutlich ?!
Dein OpenVPN Server arbeitet intern mit dem IP Netz 10.18.14.0, folglich hat ein sich einwählender OVPN Client auch diese Absender IP.
Wenn dieser Client nun z.B. auf einem Drucker in deinem lokalen LAN 192.168.0.0 /24 drucken will, der Drucker aber den lokalen DSL Router als Gateway eingetragen hat wie vermutlich alle Geräte in diesem LAN Segment, landet das Antwortpakt ins 10.18.14.0er Netz (VPN Client) erstmal auf diesem Router...logisch soweit !
Der sieht nun in seiner Routing Tabelle nach ob er dort einen Routing Eintrag für dieses Netz hat. Vermutlich findet er nichts und schickt das Paket dann an seine Default Route, sprich ins Provider Netz und damit ins Nirwana.... Nichts geht also..genau das was du siehst.
Leider schilderst du deinen Netzaufbau nicht genau so das man nur raten kann
Zielnetz: 10.18.14.0, Maske: 255.255.255.0, Gateway: <LAN_ip_adresse_server>
auf deinem Internet Router konfigurieren damit die Pakete auch ihr (VPN) Ziel erreichen können.
Damit hat der Internet Router dann seinen statischen Routing Eintrag und schickt dann alle 10.18.14.0er IP Adressen an den OVPN Win Server im LAN 192.168.0.x der diese Pakete dann wieder sauber ins VPN routen kann und alles wird gut.
Mit ein bischen nachdenken und vor allen Dingen Traceroute oder Pathping kommt man auch von selber drauf !
Alles weitere dazu findest du in diesem Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Was soll das sein ?? Das ist die Routing Tabelle vom OVPN Windows Server ?!!
Dort ist die statische Route natürlich totaler Blödsinn, denn dein Server kennt ja alle netze !! Es geht um den Internet Router !!
Die statische Route muss auf dem Internet Router eingetragen werden !!! Denn der ist doch das Default Gateway für die Clients.
Entferne also schnellstens wieder diese statische Route vom Server selber die ist Unsinn ! Und lies dir bitte die logische Beschreibung oben nochmal durch, denn dann wird der Routing Weg eines Paketes in deinem netz doch gleich klar !
Sinnvoll wäre also ein Screenshot oder Konfig Auszug deines Internet Routers damit wir hier kontrollieren können ob du DORT die fehlende statische Route nachgetragen hast, denn nur da gehört sie hin !! (Schlimm genaug das du das nicht selbst kontrollieren kannst....)
Gehe also in das Setup deines Routers, dann dort unter Static Routes und DORT trägst du sie ein !
Wo ist ein Traceroute oder Pathping Output von einem Client ??
Lass dir doch hier nicht alles einzeln aus der Nase ziehen sondern poste hier relevante Outputs damit wir dir hier zielgerichtet helfen können
Dort ist die statische Route natürlich totaler Blödsinn, denn dein Server kennt ja alle netze !! Es geht um den Internet Router !!
Die statische Route muss auf dem Internet Router eingetragen werden !!! Denn der ist doch das Default Gateway für die Clients.
Entferne also schnellstens wieder diese statische Route vom Server selber die ist Unsinn ! Und lies dir bitte die logische Beschreibung oben nochmal durch, denn dann wird der Routing Weg eines Paketes in deinem netz doch gleich klar !
Sinnvoll wäre also ein Screenshot oder Konfig Auszug deines Internet Routers damit wir hier kontrollieren können ob du DORT die fehlende statische Route nachgetragen hast, denn nur da gehört sie hin !! (Schlimm genaug das du das nicht selbst kontrollieren kannst....)
Gehe also in das Setup deines Routers, dann dort unter Static Routes und DORT trägst du sie ein !
Wo ist ein Traceroute oder Pathping Output von einem Client ??
Lass dir doch hier nicht alles einzeln aus der Nase ziehen sondern poste hier relevante Outputs damit wir dir hier zielgerichtet helfen können
Das ist dann genau richtig ! In der server.conf muss nix stehen ! warum auch, denn der Server hat ja ein Default Gateway auf den Router, oder ?
Damit muss es dann sauber klappen.
Pinge einfach vom Router und auch von einem LAN Client jetzt mal die 10.18.14.1 an das ist die OVPN Server IP. Die muss erreichbar sein per Ping !
Auch per Traceroute (tracert) oder Patchping mit den entsprechenen Hops !
Wenns klappt klappts auch mit dem VPN. Wenn nicht dann ist es nur noch ein Winblows Problem, das Win ggf. das falsche Firewall Profil auf das VPN Interface loslässt !
Damit muss es dann sauber klappen.
Pinge einfach vom Router und auch von einem LAN Client jetzt mal die 10.18.14.1 an das ist die OVPN Server IP. Die muss erreichbar sein per Ping !
Auch per Traceroute (tracert) oder Patchping mit den entsprechenen Hops !
Wenns klappt klappts auch mit dem VPN. Wenn nicht dann ist es nur noch ein Winblows Problem, das Win ggf. das falsche Firewall Profil auf das VPN Interface loslässt !
Mach mal bitte einen Screenshot WIE du diese Route auf dem Internet Gateway eingeben hast !
Oder beschreib mal welches Gerät du als Internet Router verwendest.
De facto hast du da irgendeinen Mist als statische Route eingegeben !!
Wie ist dein OVPN Server im Netz ?? Mit einer oder 2 NICs so wie es hier dargestellt ist ??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Oder beschreib mal welches Gerät du als Internet Router verwendest.
De facto hast du da irgendeinen Mist als statische Route eingegeben !!
Wie ist dein OVPN Server im Netz ?? Mit einer oder 2 NICs so wie es hier dargestellt ist ??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ja, wie zu erwarten stoppt der Ping/Traceroute am Gateway also dem Bintec Router. Logisch und vorhersehbar wenn der keine statische Route auf den OVPN Server (LAN Interface) eingetragen hat, der ja wiederum selber Router für das 10er VPN Netz ist !!
Wie sollte er denn auch die Route ins 10.18.14er netz finden wenn er diesen Eintrag nicht hat ???
Ohne diese statische Route routet er das 10er Netz immer zum Provider (das ist seine Default Route !) wo es dann im Nirwana verschwindet !
Dein Verhalten ohne diese Route oben ist also genau so wie es sein soll und führt zur sicheren Fehlfunktion, die du ja auch siehst.
Sowie du also die statische Route im Bintec einträgst ist dein Problem sofort gelöst.
Wenn der Bintec die .250 hat und der OVPN Server die .199, dann muss die statische Route auf dem Bintec Router folgendermaßen lauten:
Zielnetz: 10.18.14.0, Maske: 255.255.255.0, Gateway: 192.168.0.199
Wenn du nun vom LAN Client z.B. 192.168.0.100 den VPN Client 10.18.14.6 anpingst schickt der LAN Client das Paket wie gehabt an den Router denn das 10er Netz ist ja nicht lokal !
Der Router sieht jetzt in seiner Routing Tabelle nach ob er das 10er Netz kennt. Außer seiner default Route zum Provider hat er nun einen dedizierten Routing Eintrag für das 10er Netz der im sagt: "Sende das Paket dafür an die 192.168.0.199 den OVPN Server im LAN", was der Bintec Router denn auch macht.
Kannst du übrigens immer schön mit einem Wireshark Sniffer oder dem kostenfreien Microsoft NetworkMonitor auf dem Server selber sehen.
Wenn das 10er Paket nun am Server mit der .199 ankommt routet der das selber weiter, denn das 10er VPN Netz ist ja direkt selber an ihm angeschlossen ! (Achtung: Ggf. immer checken das die lokale Firewall hier nix blockt !!)
Fertig ! So funktioniert das Netzwerk dann mit korrektem Routing.
Ist doch eigentlich ganz einfach und logisch, oder ? Im o.a. Tutorial sogar mit Bild !
Wie sollte er denn auch die Route ins 10.18.14er netz finden wenn er diesen Eintrag nicht hat ???
Ohne diese statische Route routet er das 10er Netz immer zum Provider (das ist seine Default Route !) wo es dann im Nirwana verschwindet !
Dein Verhalten ohne diese Route oben ist also genau so wie es sein soll und führt zur sicheren Fehlfunktion, die du ja auch siehst.
Sowie du also die statische Route im Bintec einträgst ist dein Problem sofort gelöst.
Wenn der Bintec die .250 hat und der OVPN Server die .199, dann muss die statische Route auf dem Bintec Router folgendermaßen lauten:
Zielnetz: 10.18.14.0, Maske: 255.255.255.0, Gateway: 192.168.0.199
Wenn du nun vom LAN Client z.B. 192.168.0.100 den VPN Client 10.18.14.6 anpingst schickt der LAN Client das Paket wie gehabt an den Router denn das 10er Netz ist ja nicht lokal !
Der Router sieht jetzt in seiner Routing Tabelle nach ob er das 10er Netz kennt. Außer seiner default Route zum Provider hat er nun einen dedizierten Routing Eintrag für das 10er Netz der im sagt: "Sende das Paket dafür an die 192.168.0.199 den OVPN Server im LAN", was der Bintec Router denn auch macht.
Kannst du übrigens immer schön mit einem Wireshark Sniffer oder dem kostenfreien Microsoft NetworkMonitor auf dem Server selber sehen.
Wenn das 10er Paket nun am Server mit der .199 ankommt routet der das selber weiter, denn das 10er VPN Netz ist ja direkt selber an ihm angeschlossen ! (Achtung: Ggf. immer checken das die lokale Firewall hier nix blockt !!)
Fertig ! So funktioniert das Netzwerk dann mit korrektem Routing.
Ist doch eigentlich ganz einfach und logisch, oder ? Im o.a. Tutorial sogar mit Bild !
Nein rückwärts musst du die Route nicht eintragen, denn der OVPN Server (Debian) hat ja (hoffentlich) einen Default Gateway Eintrag auf den Router mit der .250, oder ??
Iptables ist da eher schon ein Thema !! Das solltest du einmal erstmal global deaktivieren um auf Nummer sicher beim Testen zu gehen.
Wie alle anderen lokalen Firewalls blocken die auch alles was nicht vom lokalen Netzwerk ist !!
Iptables ist da eher schon ein Thema !! Das solltest du einmal erstmal global deaktivieren um auf Nummer sicher beim Testen zu gehen.
Wie alle anderen lokalen Firewalls blocken die auch alles was nicht vom lokalen Netzwerk ist !!
Das ist völliger Blödsinn, denn OpenVPN vergibt dort immer P2P Pärchen mit einer 32 Bit Maske per PPP innerhalb des 10.18.14er Netzes wobei der OpenVPN selber die .1 hat. Mit DHCP hat das nix das Geringste zu tun.
Die Route ist auch völliger Unsinn wenn du mal bedenkst das du einen Route desselben Netzes auf ein Gateway im gleichen Netz zeigen lässt...das ist krank aber keine Route. Also von Routen studieren... kann ja hier wohl kaum die Rede sein, oder ?
Mal ganz abgesehen davon das am OVPN Server diese Netze IMMER direkt dran sind er diese Netze also selber kennt und statische Routen damit eh überflüssig sind.
Dieser Routing Eintrag ist also völliger Unsinn und kontraproduktiv, denn du müsstest ihn für jedes /32er PPTP Pärchen wiederholen. Keine sinnvolle Konfig würde sowas machen !
In deiner Windows Kiste ist kein Routing aktiviert !!
Das ist dein eigentliches Problem was du jetzt auf die harte Brechstangen Tour mit der statischen Verbiege Route gemacht hast !
Hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
steht wie du das Routing auf dem 2k3 mit einem Mausklick aktivierst ! Dann klappts auch ohne diesen Unsinn mit den Routen !
Die Route ist auch völliger Unsinn wenn du mal bedenkst das du einen Route desselben Netzes auf ein Gateway im gleichen Netz zeigen lässt...das ist krank aber keine Route. Also von Routen studieren... kann ja hier wohl kaum die Rede sein, oder ?
Mal ganz abgesehen davon das am OVPN Server diese Netze IMMER direkt dran sind er diese Netze also selber kennt und statische Routen damit eh überflüssig sind.
Dieser Routing Eintrag ist also völliger Unsinn und kontraproduktiv, denn du müsstest ihn für jedes /32er PPTP Pärchen wiederholen. Keine sinnvolle Konfig würde sowas machen !
In deiner Windows Kiste ist kein Routing aktiviert !!
Das ist dein eigentliches Problem was du jetzt auf die harte Brechstangen Tour mit der statischen Verbiege Route gemacht hast !
Hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
steht wie du das Routing auf dem 2k3 mit einem Mausklick aktivierst ! Dann klappts auch ohne diesen Unsinn mit den Routen !