kabuntel
Goto Top

VPN Tunnel zu PiVPN steht, aber kein Internet

Hallo Community,

habe heute PiVPN auf meinem Raspberry Pi 3b+ installiert, mit dem How To vom Kuketz-Blog

Ich kann mich von meinem Windows 10 Rechner mit dem VPN verbinden, nur leider habe ich dann
1.kein Internetzugriff mehr und
2. kann ich mich nicht über den Browser auf meinen Mikrotik Router sowie auf mein vSphere verbinden und
3. kann nicht mit RDP auf meine VM Windows Server 2016 verbinden

Was dafür geht:

Pingen kann ich über Laptop sämtliche Geräte über VPN sowie Internetadressen.

SSH auf Pi und Esxi verbinden klappt auch.

Weiß jemand was ich noch an Konfig brauche, um genannte drei Probleme zu lösen?

Viele Grüße,
Kabuntel

Content-ID: 485472

Url: https://administrator.de/forum/vpn-tunnel-zu-pivpn-steht-aber-kein-internet-485472.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

140770
140770 15.08.2019 aktualisiert um 14:10:17 Uhr
Goto Top
Hallo,

könntest du uns mal deine OpenVPN Konfiguration posten und etwas zu deinem Netzwerk sagen?
Dann könnte man schon präziser sagen, woran das liegt.

Ich kann mich von meinem Windows 10 Rechner mit dem VPN verbinden, nur leider habe ich dann
1.kein Internetzugriff mehr und

Vermutlich hast du das Gateway auf den VPN Server umgebogen.

2. kann ich mich nicht über den Browser auf meinen Mikrotik Router sowie auf mein vSphere verbinden und
3. kann nicht mit RDP auf meine VM Windows Server 2016 verbinden
[...]
Pingen kann ich über Laptop sämtliche Geräte über VPN sowie Internetadressen.
SSH auf Pi und Esxi verbinden klappt auch.

Ist eine Firewall aktiv? Wenn ja, sind Regeln vorhanden?

Viele Grüße
Kabuntel
Kabuntel 15.08.2019 um 14:32:43 Uhr
Goto Top
Hi semiconductor,

danke für Deinen Post.

Was genau brauchst du an Infos?

Hier mal auf die schnelle eine Grafik zu meinem Heimnetzwerk:

homelab

Zur info: Der MikroTik Router fungiert an der Wlan Schnittstelle als Client, um über eine Bridge Internet an Eth Schnittstelle zu reichen. Damit Workstation und Pi Internet Zugriff haben

Ja, es ist die Firewall am MikroTik Router aktiv, sonst glaube ich auch eine am Fritz Box Router, bin mir aber da nicht sicher. Am Firtzbox ist Portforwarding aktiv für das VPN, das sollte passen, da Verbindung ja aufgebaut wird.

Ziel ist es über VPN auf das LAN zuzugtreifen und Internetzugriff nutzen von zu Hause.
140770
140770 15.08.2019 aktualisiert um 14:58:06 Uhr
Goto Top
Warum nutzt du nicht einfach den Remote Access VPN von der Fritzbox?
Dann brauchst du kein Port Forwarding und auch kein zusätzliches Gerät.

Ansonsten beachte, dass OpenVPN im Routing Modus ein separates Tunnel Netz hat.
Dir fehlt somit vermutlich die Rückroute beim Mikrotik und bei der Fritzbox.
Alternativ du richtest mit iptables bei dem Pi NAT ein.


Edit:
Kann nicht sein, da ansonsten kein Ping und kein SSH Zugriff möglich wäre. Sorry.
Bitte mal die OpenVPN Konfiguration posten.
Kabuntel
Kabuntel 15.08.2019 um 15:01:05 Uhr
Goto Top
Ich dachte den VPN auf der Fritzbox funkt nur als Client.

Hab jetzt eigentlich schon vor es mit Pi und PiVPN zum laufen zu bringen.

Ich versuchs mal mit iptables, hast du da einen Ansatz?
Kabuntel
Kabuntel 15.08.2019 um 15:44:47 Uhr
Goto Top
Ich würde sie gerne posten, aber ich weiß nicht wo ich sie finde face-smile
140770
140770 15.08.2019 um 16:01:36 Uhr
Goto Top
Ich dachte den VPN auf der Fritzbox funkt nur als Client.

Nein. Wäre ja sonst witzlos die VPN Funktionalität.
https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zur-fritzbox-unte ...

Hab jetzt eigentlich schon vor es mit Pi und PiVPN zum laufen zu bringen.

Würde ich dir dennoch dringend ans Herz legen. Zumal du ohnehin nicht so viele Kenntnisse in diesem Gebiet hast.
Du bohrst dir halt mit Port Forwarding ein Loch ins Netz. Und wenn du dann nicht mit dem Raspberry Pi bzw. Linux umgehen kannst....

Ich würde sie gerne posten, aber ich weiß nicht wo ich sie finde face-smile

Dann schaut man kurz in die Herstellerdokumentation oder sucht kurz im System.
Schau mal in diesem Pfad: "/etc/openvpn". Da müsste sich die "server.conf" Datei befinden.
aqui
aqui 15.08.2019 aktualisiert um 16:31:33 Uhr
Goto Top
habe heute PiVPN auf meinem Raspberry Pi 3b+ installiert
Wieder mal wie üblich im Thread keinerlei Hinweis welches VPN Protokoll verwendet wird ! Folglich ist eine zielführende Hilfe, ohne im freien Fall raten zu müssen, nicht gerade einfach. face-sad
Um welches VPN Protokoll handelt es sich denn hier ?? Das würde der Foren Comunity hier schon mal weiterhelfen !
Nach der FritzBox als VPN Server zu urteilen ist es dann vermutlich (geraten) IPsec, richtig ?
Hier gilt wie immer:
  • Was sagt das Log der FritzBox beim VPN Dialin des Clients ?
  • Was sagt das Log des Mikrotik ?
Generelle Infos mit Beispiel Konfigs dazu findest du hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Dort findest du auch die passende Mikrotik Konfig !
140770
140770 15.08.2019 aktualisiert um 16:33:17 Uhr
Goto Top
Um welches VPN Protokoll handelt es sich denn hier ??

Um OpenVPN. Siehe auch: http://www.pivpn.io
Aber ich gebe dir recht. Es wäre durchaus schöner gewesen, hätte der TO das im initialen Post bereits geschrieben.
So müssen wir als Helfende noch die ganzen Informationen ergoogeln.
aqui
aqui 15.08.2019 um 16:34:07 Uhr
Goto Top
OK, das war leider nicht ersichtlich aus dem Thread. face-sad

Bei OpenVPN gibt es beim Mikrotik Client und auch Server einiges zu beachten. MT supportet keine UDP Encapsulation, was wohl das wichtigste ist.
Näheres dazu findet man hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
bzw. im Detail hier:
Clientverbindung OpenVPN Mikrotik
Zwar als Server aber gleiches gilt analog für den Client !
Kabuntel
Kabuntel 15.08.2019 um 16:35:10 Uhr
Goto Top
Ja richtig es handelt sich um PiVpn. Im Standard Setup.

Das ist was die Konfigdatei sagt:
konfigdateipivpn
Kabuntel
Kabuntel 15.08.2019 um 16:37:25 Uhr
Goto Top
Ich nutze nicht den Mikrotik als VPN Server, sondern den Pi
aqui
aqui 15.08.2019 aktualisiert um 16:46:28 Uhr
Goto Top
Das war missverstanden das der MT der VPN Client ist, sorry. Es ist (vermutlich) damit gemeint das er lediglich WLAN Client ist.
Das ist leider unglücklich und missverständlich ausgedrückt im obigen Folgethread. face-sad

Wichtig ist dann nur das die von aussen eingehenden VPN Pakete mit UDP 1194 vom MT auf den VPN Server weitergeleitet werden (Port Forwarding). Der MT bruacht also in der Firewall eine Freigabe für UDP 1194 !
Das lässt sich dann auf dem Pi Server wunderbar mit tcpdump (apt install tcpdump) checken ob diese Pakete da eingehen ! Das vierifiziert dann sicher das das VPN Portforwarding auf dem MT funktioniert.
Ferner benötigt der MT eine lokale statische Route auf das interne OpenVPN IP Netzwerk des Pi VPN Servers.
Eine Skizze die das alles erklärt wenn der OVPN Server hinter einem NAT Router liegt:
ovpnnat

Hast du das entsprechend so umgesetzt ?!
Die generell Frage die sich stellt warum man denn eigentlich sinnfreien Umweg über einen extra Server macht wo der MT doch alles schon an Bord hat ?!! Siehe dazu HIER.
Dort wäre die Implementation des OVPN Servers sehr viel sinnvoller ! Aber egal...warum einfach machen wenn es umständlich auch geht....
140770
140770 15.08.2019 um 16:57:30 Uhr
Goto Top
@aqui du übersiehst da noch etwas:

Zur info: Der MikroTik Router fungiert an der Wlan Schnittstelle als Client, um über eine Bridge Internet an Eth Schnittstelle zu reichen.

Kurz und Knapp: Nicht auf dem MikroTik muss Port Forwarding eingerichtet werden, sondern auf der Fritzbox.
Dadurch dass der MikroTik als Bridge fungiert, muss lediglich dort die Firewall konfiguriert werden.
Kabuntel
Kabuntel 15.08.2019 um 16:57:55 Uhr
Goto Top
Danke für den ausführlichen Post!

Was ich versucht hatte, war alle vorhandenen Firewallregeln zu deaktivieren, das hat nichts gebracht, ist aber glaube ich auch nicht so eine sinvolle Idee.

Port-Forwarding ist aktiviert auf der FritzBox, nicht aber auf dem Mikrotik, werde das mal machen.

Ich wusste nicht, dass ich sowhl mit der FritzBox als auch mit dem Mikrotik Router schon von Haus aus machen kann. Ich werde es mir durchaus überlegen.

Danke nochmals für Eure Posts an dieser Stelle und für Eure Verständnis.

Grüße,
Kabuntel
Kabuntel
Kabuntel 15.08.2019 um 16:59:44 Uhr
Goto Top
da stimme ich zu, Port-Forwarding ist an der Fritzbox aktiv.

Nur wie erstelle ich die passende Firewall Regel auf dem Mikrotik???

Hab sowas noch nie gemacht.
aqui
Lösung aqui 15.08.2019 aktualisiert um 17:08:27 Uhr
Goto Top
Nicht auf dem MikroTik muss Port Forwarding eingerichtet werden, sondern auf der Fritzbox.
Das kommt darauf an WIE der MT aufgesetzt ist ? Wenn er am WLAN Port auch NAT macht dann ja.
Wenn er kein NAT macht und transparent routet dann nein. Das ist richtig !
Wie gesagt...lass ein tcpdump -i eth0 port 1194 auf dem RasPi laufen dann siehst du ob die OpenVPN Pakete von außen ankommen.
war alle vorhandenen Firewallregeln zu deaktivieren, das hat nichts gebracht
Sinnfrei, denn wenn du einfach transparent routest ohne NAT gibt es keine Firewall Regeln. Guckst du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Keine Mikrotik Default Konfig auf dem MT !! Sollte in diesem Design auch (hoffentlich) gemacht sein ?!
nicht aber auf dem Mikrotik, werde das mal machen.
Siehe oben... Ggf. ist das unnötig. Je nachdem wie du den MT konfiguriert hast !
Schneller kannst du das mit tcpdump checken. Keine VPN Pakete am Pi = logischerwiese dann auch kein VPN ! face-wink
Sieh auch immer dazu in dein Client Log !!
Ich wusste nicht, dass ich sowohl mit der FritzBox als auch mit dem Mikrotik Router schon von Haus aus machen kann.
Nachdenken und einfach mal die Handbücher lesen !! face-wink
Sinnvoller ist wirklich den OVPN Server auf dem MT laufen zu lassen. Wenn du kannst mach das.
Mit der Tutorial_Anleitung von oben ist das ein Kinderspiel.
Zertifikate hast du ja eh schon alle vom RasPi, die kannst du weiter verwenden ! Einfacher gehts nicht.
Kabuntel
Kabuntel 16.08.2019 um 07:26:12 Uhr
Goto Top
Guten Morgen,

wollte doch jetzt es loswerden. Hab die besagten Probleme beim VPN beseitigen können.

Es lag an dem Port-Forwarding auf meine VM, bei der Port 80 und Port 443 aktiv waren. Hab diese bei der Fritz Box entfernt und nun funkts.

Was ich mir aber nicht erklären kann, wieso es an der Portfreigabe für ein anderes Gerät gelegen hat.

Grüße,
Kabuntel
aqui
aqui 16.08.2019 aktualisiert um 13:26:24 Uhr
Goto Top
Kann es auch nicht ! Denn was haben TCP 80 und TCP 443 mit UDP 1194 (OVPN) zu tun ? Ungefähr so viel wie ein Fisch mit einem Fahrrad !
Aber heute ist ja Freitag !
fish
Das war ganz sicher NICHT der Fehler ! Aber egal...es geht ja jetzt. Warum auch immer.

Dennoch bleibt es dabei das die Installation des OpenVPN Servers auf dem Miktotik technisch die beste Lösung ist, da der im Netz immer vorhanden und online ist.
Case closed.