Zugriff auf das LAN hinter dem VPN-Server unter Linux (Debian)

Hallo Leute,

irgendwie komme ich nicht weiter. Mit Sicherheit ist es nur eine Kleinigkeit.
Die Verbindung zum VPN-Server klappt. Die Server-IP im Server-LAN ist anpingbar, alle anderen IP's leider nicht.

Hier meine Konfiguration:

- Forwarding auf dem Server ist aktiv
- MASQUERADE auf dem Server ist aktiv: iptables -t nat -I POSTROUTING -s 10.0.0.0/16 -o net0 -j MASQUERADE
- Firewall testweise abgeschaltet

10.0.0.0/16: Client-LAN
10.102.0.0/16: LAN hinter dem VPN-Server

10.0.10.10: Client-IP
10.102.2.1: Server-IP

Config:

local XX.XX.XX.XX (WAN IP)
dev tun
port 1194
proto tcp
tls-server
server 10.100.100.0 255.255.255.0
topology subnet
push "topology subnet"
route 10.0.0.0 255.255.0.0
daemon
client-to-client
client-config-dir ccd
cipher AES-256-CBC
auth SHA1
ca ca.crt
cert server.crt
key server.key
dh dh.pem
script-security 3
keepalive 10 120
reneg-sec 300
persist-key
persist-tun
user openvpn
group nogroup
status /var/log/openvpn/status.log
verb 4


Die Datei ccd/client1.conf

iroute 10.0.0.0 255.255.0.0
push "route 10.102.0.0 255.255.0.0"



Es sieht nach meinem Verständnis richtig aus.
Ich habe da wohl einen Denkfehler.

Danke für jeden Tipp!

Gruß
Andre

Content-Key: 1412202577

Url: https://administrator.de/contentid/1412202577

Ausgedruckt am: 27.11.2021 um 14:11 Uhr

Mitglied: BirdyB
BirdyB 21.10.2021 um 02:59:44 Uhr
Goto Top
Moin,
hast du die statischen Routen in deinem Router zum VPN-Server gesetzt?
VG
Mitglied: stickybit
stickybit 21.10.2021 um 13:16:17 Uhr
Goto Top
Auf dem Server/Router sieht es so aus:


Ich dachte die Zeile


besagt dann dass die Pakte des Client-Netzes 10.0.0.0/16 durch den Tunnel gehen sollen und nicht an den Default-Gateway geschickt werden?

In Tutorials seht, man muss die statische Route setzen, und zwar mit der LAN-IP des VPN-Servers als Gatway.

Der Open-VPN-Server läuft bei mir allerdings auf dem Router selbst und hat nur die WAN-IP und keine LAN-IP.

Was fehlt denn hier noch?
Mitglied: BirdyB
Lösung BirdyB 21.10.2021 um 14:05:53 Uhr
Goto Top
Zitat von @stickybit:
Der Open-VPN-Server läuft bei mir allerdings auf dem Router selbst
Und wo steht das oben in deiner Fragestellung? Meine Glaskugel ist kaputt. Du musst schon mal alle wichtigen Infos liefern.
Wenn dein OpenVPN-Server auf dem Router läuft, dann brauchst du logischerweise keine Routen setzen, da der Server seine Netze kennt.
und hat nur die WAN-IP und keine LAN-IP.
Das wage ich zu bezweifeln. Dein Router wird bestimmt auch eine LAN-IP haben, die in den Endgeräten dann logischerweise als Default-Gateway eingetragen ist.
Und warum willst du NAT über deinen OpenVPN-Tunnel machen?
Mitglied: stickybit
stickybit 21.10.2021 um 14:38:30 Uhr
Goto Top
Und wo steht das oben in deiner Fragestellung?

Sorry, war mein Fehler!

Dein Router wird bestimmt auch eine LAN-IP haben

Ja, auf dem Router sind folgende IP's:


Ich meinte, der VPN-Server ist auf die öffentliche IP eingestellt:


Und warum willst du NAT über deinen OpenVPN-Tunnel machen?

k.A., habe aus dem Tutorial übernommen :-) face-smile, hab raus genommen.

Also aktuell kann ich das Gerät mit der IP 10.102.2.101 vom Router aus anpingen.

Aus dem VPN-Client-Netz 10.0.10.0/24 sind allerdings nur die Router IP's erreichbar: 10.102.1.1, 10.102.2.1 und 10.102.3.1. Das Gerät 10.102.2.101 ist nicht erreichbar.

An was könnte es noch liegen?
Mitglied: stickybit
stickybit 22.10.2021 um 16:08:10 Uhr
Goto Top
Moin,

der Fehler wurde gefunden.
Es braucht in meinem Fall keine statischen Routen und kein NAT.
Danke an BirdyB!
Der Fehler war in der Konfiguration des Rechners selbst, der deswegen nicht erreichbar war.

Vielen Dank für eure Hilfe!
Mitglied: BirdyB
BirdyB 22.10.2021 um 19:22:33 Uhr
Goto Top
Keine Ursache. Freut mich, wenn es jetzt läuft.
Heiß diskutierte Beiträge
question
Windows Server 2019 AD MigrationjamesbrownVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen Langsam habe ich Panik, die komplette Domäne zerschossen zu haben. Bevor ich weiter vergehe, wollte ich darum hier um Rat bitten. Was ist ...

question
Mobilfunk-Internet ins Heimnetzwerk integrieren? gelöst AvarianVor 1 TagFrageNetzwerkmanagement8 Kommentare

Hallo, Ich bin neu hier. Wir sind vorletztes Jahr umgezogen. Die Gelegenheit habe ich damals direkt genutzt, um künftig auf wackelige WLAN-Lösungen (Repeater, Mesh-Repeater, Powerlines ...

general
Sicherheit beim Online-BankingWeyershausenVor 13 StundenAllgemeinSicherheitsgrundlagen18 Kommentare

Hallo, in unserer Firma verwenden wir SFirm als Online-Banking-Software. In dieser Woche hatten wir einen IT-Berater bei uns, der uns dringend folgendes Vorgehen empfahl: Wir ...

question
Maximale Empfänger bei Office365 gelöst mmpmmpVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, ich verwende nun Office365 (Exchange Online) für Emails und würde gerne die Weihnachtsgrüße per Mail versenden. Wo liegen die Beschränkungen der maximalen Empfänger? ...

report
Mailversand durch Sophos XG gestört (25.11.2021)kgbornVor 1 TagErfahrungsberichtFirewall2 Kommentare

Kurze Information - vielleicht hat jemand eine ähnliche Beobachtung gemacht. Ein IT-Admin hat mich darauf hingewiesen, dass es wohl gestern (25.11.2021) ein Update des Antivirus-Pattern ...

question
Treuhand für ebay-Verkäufer, die nicht direkt nach D. liefernDerWoWussteVor 1 TagFrageHardware4 Kommentare

Moin Kollegen, es gibt ja Fälle, wo man alte Hardware benötigt, aber nur noch über ebay bekommt. Wenn der Verkäufer dann aber nicht nach Deutschland ...

question
Reinigung der Apple Watch gelöst honeybeeVor 1 TagFrageApple6 Kommentare

Hallo, mit welchem Reinigungsmittel kann ich das Armband meiner Apple Watch schonend reinigen? Auf dem Bild seht ihr, dass es in einem guten Zustand ist. ...

question
Über das Notebook per Simkarte von unterwegs aus ins Internet?isarc01Vor 1 TagFrage5G, 4G, LTE, UMTS, EDGE & GPRS8 Kommentare

Hallo, folgende Frage: Wenn ich über mein Notebook über eine angemeldete SIM Karte mit einer Datenflatrate ins Internet gehen möchte, benötige ich hier einen bestimmten ...