VPN Verbindung via OpenWRT OpenVPN Client nicht möglich
Hallo zusammen,
ich habe derzeit ein Problem, vielleicht kann mir jemand helfen.
Ich habe bei mir zuhause eine pfsense Firewall stehen, die als OpenVPN Server agiert. Per Handy und Notebook funktioniert die Verbindung via OpenVPN Client/App wunderbar. Nun wollte ich einen zweiten Standort einbinden und auch den Internet-Traffic dieses Standorts über den Tunnel senden. Als OpenVPN CLient habe ich einen OpenWRT Router in Einsatz. Dieser verbindet sich auch erfolgreich mit dem OpenVPN-Server und hat dann auch dessen externe IP-Adresse, nur die Clients, die am LAN-Port des OpenWRT-Routers stecken haben keine Verbindung mehr zum Netz. Diese sollen ja den Tunnel nutzen.
Aufbau:
Hauptstandort:
Modem-IP: 192.168.1.1
pfSense WAN-IP: 192.168.1.2
pfSense LAN-IP: 10.168.2.1
OpenVPN-Netz: 10.168.4.0/24
Nebenstandort:
Modem-IP: 192.168.1.1
OpenWRT-Router-IP: 192.168.1.12
Clients am OpenWRT-Router erhalten ein IP per DHCP (hier 192.168.1.100)
Routen des OpenWRT-Routers:
root@LEDE:~# ip route
0.0.0.0/1 via 10.168.4.1 dev tun0
default via 192.168.1.1 dev eth0.2 src 192.168.1.100
<xxx.xxx.xxx.xxx>(externe ip des Hauptstandorts) via 192.168.1.1 dev eth0.2
128.0.0.0/1 via 172.168.4.1 dev tun0
10.168.4.0/24 dev tun0 src 10.168.4.2
192.168.1.0/24 dev br-lan src 192.168.1.12
192.168.1.0/24 dev eth0.2 src 192.168.1.100
192.168.1.1 dev eth0.2 src 192.168.1.100
OpenVPN-Client Config:
dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
redirect-gateway def1 bypass-dhcp
dhcp-option DNS 8.8.8.8
resolv-retry infinite
remote <mein_DNS> 1195 udp
lport 0
verify-x509-name "xxxxxxxxxx" name
auth-user-pass /etc/openvpn/auth.txt
pkcs12 /etc/openvpn/client.p12
tls-auth /etc/openvpn/client.key 1
remote-cert-tls server
Kann mir jemand weiterhelfen?
ich habe derzeit ein Problem, vielleicht kann mir jemand helfen.
Ich habe bei mir zuhause eine pfsense Firewall stehen, die als OpenVPN Server agiert. Per Handy und Notebook funktioniert die Verbindung via OpenVPN Client/App wunderbar. Nun wollte ich einen zweiten Standort einbinden und auch den Internet-Traffic dieses Standorts über den Tunnel senden. Als OpenVPN CLient habe ich einen OpenWRT Router in Einsatz. Dieser verbindet sich auch erfolgreich mit dem OpenVPN-Server und hat dann auch dessen externe IP-Adresse, nur die Clients, die am LAN-Port des OpenWRT-Routers stecken haben keine Verbindung mehr zum Netz. Diese sollen ja den Tunnel nutzen.
Aufbau:
Hauptstandort:
Modem-IP: 192.168.1.1
pfSense WAN-IP: 192.168.1.2
pfSense LAN-IP: 10.168.2.1
OpenVPN-Netz: 10.168.4.0/24
Nebenstandort:
Modem-IP: 192.168.1.1
OpenWRT-Router-IP: 192.168.1.12
Clients am OpenWRT-Router erhalten ein IP per DHCP (hier 192.168.1.100)
Routen des OpenWRT-Routers:
root@LEDE:~# ip route
0.0.0.0/1 via 10.168.4.1 dev tun0
default via 192.168.1.1 dev eth0.2 src 192.168.1.100
<xxx.xxx.xxx.xxx>(externe ip des Hauptstandorts) via 192.168.1.1 dev eth0.2
128.0.0.0/1 via 172.168.4.1 dev tun0
10.168.4.0/24 dev tun0 src 10.168.4.2
192.168.1.0/24 dev br-lan src 192.168.1.12
192.168.1.0/24 dev eth0.2 src 192.168.1.100
192.168.1.1 dev eth0.2 src 192.168.1.100
OpenVPN-Client Config:
dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
redirect-gateway def1 bypass-dhcp
dhcp-option DNS 8.8.8.8
resolv-retry infinite
remote <mein_DNS> 1195 udp
lport 0
verify-x509-name "xxxxxxxxxx" name
auth-user-pass /etc/openvpn/auth.txt
pkcs12 /etc/openvpn/client.p12
tls-auth /etc/openvpn/client.key 1
remote-cert-tls server
Kann mir jemand weiterhelfen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 351792
Url: https://administrator.de/contentid/351792
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
Bitte auf einer Seite die IP Adressen bzw. die IP Range abändern! Dann sollte es funktionieren.
Gruß
Dobby
Aufbau:
Hauptstandort:
Modem-IP: 192.168.1.1
pfSense WAN-IP: 192.168.1.2
pfSense LAN-IP: 10.168.2.1
OpenVPN-Netz: 10.168.4.0/24
Hauptstandort:
Modem-IP: 192.168.1.1
pfSense WAN-IP: 192.168.1.2
pfSense LAN-IP: 10.168.2.1
OpenVPN-Netz: 10.168.4.0/24
Nebenstandort:
Modem-IP: 192.168.1.1
OpenWRT-Router-IP: 192.168.1.12
Clients am OpenWRT-Router erhalten ein IP per DHCP (hier 192.168.1.100)
Modem-IP: 192.168.1.1
OpenWRT-Router-IP: 192.168.1.12
Clients am OpenWRT-Router erhalten ein IP per DHCP (hier 192.168.1.100)
Bitte auf einer Seite die IP Adressen bzw. die IP Range abändern! Dann sollte es funktionieren.
Gruß
Dobby
Das Tutorial dazu hast du gelesen ?
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ein paar Fragen zum Hauptstandort: Du schreibst "Modem IP" ?!
Kann man hier mal wieder davon ausgehen das du laienhaft mal wieder den begriff Modem und Router verwechselt hast und das das KEIN nur Modem ist sondern ein vollständiger NAT Router der vor der Firewall kaskadiert ist ?? Also dann so ein Design:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wenn dem so ist, hast du dort den OVPN Port UDP 1194 per Port Forwarding auf die Firewall weitergeleitet ?
Weiterhin fatal und tödlich und zeigt wenig Know How zum Thema IP Adressierung :
Das Transfernetz zwischen kaskadiertem Router und Firewall ist in beiden Standorten gleich. Das schafft immer Probleme und solltest du schleunigst ändern. Siehe auch hier:
VPNs einrichten mit PPTP
Auch hier kann man wohl davon ausgehen das das wieder KEIN nur Modem ist sondern auch wieder ein kaskadierter Router ?!
Auch hier gilt Port Forwarding von UDP 1194
Zum Unterschied NUR Modem und Router Kaskade bitte hier lesen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Leider wird das hier immer und immer wieder falsch geschildert und sorgt dann entsprechend für technische Verwirrung
Da das aber generell geht ist das nicht das grundlegende Problem. Das ist vielmehr:
redirect-gateway def1 bypass-dhcp
Damit wird auf dem Router der die LAN zu LAN Kopplung macht ein Gateway Redirect erzwungen und aller Traffic aus dem LAN dann über den OVPN Tunnel geroutet. Sinnfrei, denn es schafft Performance Probleme und wenn die remote Netz IP nicht am Internet Router fürs NAT eingerichtet ist scheitert die Internet Verbindung.
Unterbinde als das Gateway redirect, dann klappt das auch !
Übrigens sind hier die Tools Traceroute und Pathping wie immer deine besten Freunde
Damit hättest du den Redirect auch gesehen...hättest..., wenn man es denn mal benutzt ?!
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Ein paar Fragen zum Hauptstandort: Du schreibst "Modem IP" ?!
Kann man hier mal wieder davon ausgehen das du laienhaft mal wieder den begriff Modem und Router verwechselt hast und das das KEIN nur Modem ist sondern ein vollständiger NAT Router der vor der Firewall kaskadiert ist ?? Also dann so ein Design:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wenn dem so ist, hast du dort den OVPN Port UDP 1194 per Port Forwarding auf die Firewall weitergeleitet ?
Weiterhin fatal und tödlich und zeigt wenig Know How zum Thema IP Adressierung :
Das Transfernetz zwischen kaskadiertem Router und Firewall ist in beiden Standorten gleich. Das schafft immer Probleme und solltest du schleunigst ändern. Siehe auch hier:
VPNs einrichten mit PPTP
Auch hier kann man wohl davon ausgehen das das wieder KEIN nur Modem ist sondern auch wieder ein kaskadierter Router ?!
Auch hier gilt Port Forwarding von UDP 1194
Zum Unterschied NUR Modem und Router Kaskade bitte hier lesen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Leider wird das hier immer und immer wieder falsch geschildert und sorgt dann entsprechend für technische Verwirrung
Da das aber generell geht ist das nicht das grundlegende Problem. Das ist vielmehr:
redirect-gateway def1 bypass-dhcp
Damit wird auf dem Router der die LAN zu LAN Kopplung macht ein Gateway Redirect erzwungen und aller Traffic aus dem LAN dann über den OVPN Tunnel geroutet. Sinnfrei, denn es schafft Performance Probleme und wenn die remote Netz IP nicht am Internet Router fürs NAT eingerichtet ist scheitert die Internet Verbindung.
Unterbinde als das Gateway redirect, dann klappt das auch !
Übrigens sind hier die Tools Traceroute und Pathping wie immer deine besten Freunde
Damit hättest du den Redirect auch gesehen...hättest..., wenn man es denn mal benutzt ?!