bfschmlan
Goto Top

VPN Verbindung via OpenWRT OpenVPN Client nicht möglich

Hallo zusammen,

ich habe derzeit ein Problem, vielleicht kann mir jemand helfen.

Ich habe bei mir zuhause eine pfsense Firewall stehen, die als OpenVPN Server agiert. Per Handy und Notebook funktioniert die Verbindung via OpenVPN Client/App wunderbar. Nun wollte ich einen zweiten Standort einbinden und auch den Internet-Traffic dieses Standorts über den Tunnel senden. Als OpenVPN CLient habe ich einen OpenWRT Router in Einsatz. Dieser verbindet sich auch erfolgreich mit dem OpenVPN-Server und hat dann auch dessen externe IP-Adresse, nur die Clients, die am LAN-Port des OpenWRT-Routers stecken haben keine Verbindung mehr zum Netz. Diese sollen ja den Tunnel nutzen.

Aufbau:
Hauptstandort:
Modem-IP: 192.168.1.1
pfSense WAN-IP: 192.168.1.2
pfSense LAN-IP: 10.168.2.1
OpenVPN-Netz: 10.168.4.0/24

Nebenstandort:
Modem-IP: 192.168.1.1
OpenWRT-Router-IP: 192.168.1.12
Clients am OpenWRT-Router erhalten ein IP per DHCP (hier 192.168.1.100)

Routen des OpenWRT-Routers:

root@LEDE:~# ip route
0.0.0.0/1 via 10.168.4.1 dev tun0
default via 192.168.1.1 dev eth0.2 src 192.168.1.100
<xxx.xxx.xxx.xxx>(externe ip des Hauptstandorts) via 192.168.1.1 dev eth0.2
128.0.0.0/1 via 172.168.4.1 dev tun0
10.168.4.0/24 dev tun0 src 10.168.4.2
192.168.1.0/24 dev br-lan src 192.168.1.12
192.168.1.0/24 dev eth0.2 src 192.168.1.100
192.168.1.1 dev eth0.2 src 192.168.1.100


OpenVPN-Client Config:
dev tun
persist-tun
persist-key
cipher AES-256-CBC
auth SHA1
tls-client
client
redirect-gateway def1 bypass-dhcp
dhcp-option DNS 8.8.8.8
resolv-retry infinite
remote <mein_DNS> 1195 udp
lport 0
verify-x509-name "xxxxxxxxxx" name
auth-user-pass /etc/openvpn/auth.txt
pkcs12 /etc/openvpn/client.p12
tls-auth /etc/openvpn/client.key 1
remote-cert-tls server

Kann mir jemand weiterhelfen?

Content-ID: 351792

Url: https://administrator.de/contentid/351792

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

108012
108012 14.10.2017 um 15:32:18 Uhr
Goto Top
Hallo,

Aufbau:
Hauptstandort:
Modem-IP: 192.168.1.1
pfSense WAN-IP: 192.168.1.2
pfSense LAN-IP: 10.168.2.1
OpenVPN-Netz: 10.168.4.0/24

Nebenstandort:
Modem-IP: 192.168.1.1
OpenWRT-Router-IP: 192.168.1.12
Clients am OpenWRT-Router erhalten ein IP per DHCP (hier 192.168.1.100)

Bitte auf einer Seite die IP Adressen bzw. die IP Range abändern! Dann sollte es funktionieren.

Gruß
Dobby
bfschmlan
bfschmlan 14.10.2017 aktualisiert um 15:47:10 Uhr
Goto Top
Hatte ich auch schon getestet, aber leider ohne Erfolg. Ich werde es noch einmal konfigurieren, dass der Nebenstandort z.B. die 192.168.2.0/24 als lokales Netz hat.

Zwischenzeitlich habe ich weiter recherchiert und noch folgende Einstellungen vorgenommen...aber auch ohne Erfolg:

/etc/config/network
hinzugefügt:
config interface 'vpn'
option proto 'none'
option ifname 'tun0'

/etc/config/firewall
hinzugefügt:
config zone
option name vpnfw
option network vpn
option input ACCEPT
option output ACCEPT
option forward REJECT

config forwarding
option src vpnfw
option dest lan

config forwarding
option src lan
option dest vpnfw

Wie gesagt, wenn ich per SSH auf dem OpenWRT Router bin und folgenden Befehl ausführe, erhalte ich auch die öffentliche IP des Hauptstandorts, nur die Clients, die am LAN des OpenWRT-Routers hängen haben eben keinen Zugriff auf das Internet oder auf das LAN des Hauptstandorts.

wget -q -O - http://checkip.dyndns.org | grep -Eo '\<[[:digit:]]{1,3}(\.[[:digit:]]{1,3}){3}\>'
bfschmlan
bfschmlan 15.10.2017 um 09:42:45 Uhr
Goto Top
Hat noch jemand eine Idee?
aqui
aqui 15.10.2017 um 14:32:42 Uhr
Goto Top
Das Tutorial dazu hast du gelesen ?
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Ein paar Fragen zum Hauptstandort: Du schreibst "Modem IP" ?!
Kann man hier mal wieder davon ausgehen das du laienhaft mal wieder den begriff Modem und Router verwechselt hast und das das KEIN nur Modem ist sondern ein vollständiger NAT Router der vor der Firewall kaskadiert ist ?? Also dann so ein Design:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wenn dem so ist, hast du dort den OVPN Port UDP 1194 per Port Forwarding auf die Firewall weitergeleitet ?

Weiterhin fatal und tödlich und zeigt wenig Know How zum Thema IP Adressierung face-sad :
Das Transfernetz zwischen kaskadiertem Router und Firewall ist in beiden Standorten gleich. Das schafft immer Probleme und solltest du schleunigst ändern. Siehe auch hier:
VPNs einrichten mit PPTP
Auch hier kann man wohl davon ausgehen das das wieder KEIN nur Modem ist sondern auch wieder ein kaskadierter Router ?!
Auch hier gilt Port Forwarding von UDP 1194
Zum Unterschied NUR Modem und Router Kaskade bitte hier lesen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Leider wird das hier immer und immer wieder falsch geschildert und sorgt dann entsprechend für technische Verwirrung face-sad

Da das aber generell geht ist das nicht das grundlegende Problem. Das ist vielmehr:
redirect-gateway def1 bypass-dhcp

Damit wird auf dem Router der die LAN zu LAN Kopplung macht ein Gateway Redirect erzwungen und aller Traffic aus dem LAN dann über den OVPN Tunnel geroutet. Sinnfrei, denn es schafft Performance Probleme und wenn die remote Netz IP nicht am Internet Router fürs NAT eingerichtet ist scheitert die Internet Verbindung.
Unterbinde als das Gateway redirect, dann klappt das auch !

Übrigens sind hier die Tools Traceroute und Pathping wie immer deine besten Freunde face-wink
Damit hättest du den Redirect auch gesehen...hättest..., wenn man es denn mal benutzt ?!