bronsky
15.04.2020, aktualisiert um 21:23:52 Uhr
view4855
view8
0
Goto Top

Zugriff auf lokales Netzwerk über OpenVPN funktioniert nur nach Neustart des OpenVPN-Servers

gelöstFrageNetzwerkeRouter, Routing
Hallo zusammen,

ich betreibe einen VServer unter Ubuntu, der mir als Nextcloud-Instanz und VPN-Server dient. Im lokalen Netzwerk dient ein OpenWRT als VPN-Gateway (192.168.0.136), die Internetverbindung wird über eine Fritzbox (192.168.0.1) zur Verfügung gestellt. Der OpenWRT baut einen VPN-Tunnel zum V-Server auf. Ein Zugriff im Netzwerk 10.8.0.0 (auch zwischen den Clients) funktioniert. In der Fritzbox ist eine statische Route auf den OpenWRT eingerichtet. Die Firewall-Regeln im OpenWRT sind nach diesem Tutorial

OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

eingerichtet.

Jetzt zu meinem Problem:

Wenn ich über mein Handy eine OpenVPN Verbindung aufbaue, kann ich nicht auf das lokale Netzwerk zugreifen. Lasse ich die OpenVPN Verbindung jedoch offen und mache einen Restart des OpenVPN Servers, kann ich die Seiten im lokalen Netz aufbauen. Trenne ich die OpenVPN Verbindung und initialisiere diese neu, funktioniert der Zugriff auf das lokale Netz nicht mehr.

Ich gehe davon aus, dass in meinen Routing Regeln im Gateway etwas nicht stimmt, denn durch den Neustart des OpenVPN Servers wird auch das OpenWRT Gateway neu initialisiert und danach klappt ja auch der Zugriff. Habt Ihr eine Idee, an welchen Schrauben ich noch drehen kann?

Danke und viele Grüße
Oliver

PS.: Wenn ich die OpenVPN Verbindung auf dem Handy offen lasse und den OpenWRT neu starte, funktioniert der Zugriff auf das lokale Netz auch....
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 564907

Url: https://administrator.de/forum/zugriff-auf-lokales-netzwerk-ueber-openvpn-funktioniert-nur-nach-neustart-des-openvpn-servers-564907.html

Ausgedruckt am: 23.04.2025 um 01:04 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
NordicMike
NordicMike 16.04.2020 um 10:20:48 Uhr
Goto Top
Hi,

du startest zwar alles neu, aber du analysierst den Fehler nicht. Bring es in den fehlerhaften Zustand und pach mal pings, nslookups, traceroutes usw in beide Richtungen. Dann weisst Du schon mal weit es kommt. Dann schaust du dir mal die Routing Tabellen an dem Gerät an, wo es nicht weiter geht. Das sollte dir den Fehler dann schon zeigen.

Grüße

Der Mike
Bronsky
Bronsky 16.04.2020 aktualisiert um 12:07:58 Uhr
Goto Top
Hallo Mike,

danke für die Rückmeldung. So ganz untätig war ich dann doch nicht face-smile

Meine Netzkenntnisse sind allerdings eingeschränkt, von daher hier meine Erkenntnisse, die hoffentlich weiterhelfen

Wenn der Fehler auftritt, kann ich über die VPN-Verbindung auf dem Handy den Server unter 10.8.0.1 und das Gateway unter 10.8.0.136 anpingen und im Browser unter 10.8.0.136 das Gateway über die Weboberfläche erreichen und mich auch auf dem OpenWRT anmelden. Unter der lokalen Adresse 192.168.0.136 (OpenWRT) und 192.168.0.1 (Internet-Router) können diese jedoch nicht erreicht werden. Klingt für mich danach, dass die Nummer 10.8.0.136 im OpenWRT nicht nach 192.168.0.136 übersetzt wird , um den Zugriff auf das LAN zu erreichen. Nachfolgend meine Firewall-Einstellungen, falls das hilft....

iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT

  1. Erlaubt den VPN Clients den Zugriff auf routerinterne Prozesse (Weboberfläche, SSH etc)
iptables -I INPUT 3 -i tun0 -j ACCEPT

  1. Erlaubt Verbindungen zwischen VPN Clients sofern "Client-to-Client" bei OpenVPN aktiviert ist.
iptables -I FORWARD 3 -i tun0 -o tun0 -j ACCEPT

  1. Erlaubt Verbindungen vom lokalen Netz ins VPN Netz und umgekehrt (br0 steht für LAN und WLAN).
iptables -I FORWARD -i br-lan -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br-lan -j ACCEPT

Grüße
Oliver


PS: ich habe eben nochmal pings und traceroutes auf dem OpenWRT abgesetzt. Fremde clients (z.B. 10.8.0.6) werden erreicht. Ein anpingen und traceroutes auf 192.168.0.136 und 192.168.0.1 funktionieren auch. Interessanterweise bekomme ich keine traceroute auf 10.8.0.1 (also den Server im Netz). Ein Ping auf 10.8.0.1 dagegen funktioniert.....
NordicMike
NordicMike 16.04.2020 um 13:07:54 Uhr
Goto Top
Wenn Du "Handy" sagst, gehe ich von einem öffentlichen Internet aus, das hat jedoch nichts mit 192.168 oder 10.8 zu tun. Am besten zeichnest du dein Konstrukt mal genau auf. Ich blicke selbst nach 5-fachen Lesen nicht durch wo was miteinander verbunden ist und wie die Routen laufen sollten.
Bronsky
Bronsky 16.04.2020 um 13:56:17 Uhr
Goto Top
Hallo Mike,

ich habe mal versucht mich küntlerisch zu betätigen. Ich hoffe damit wir es etwas klarer...


vpn


Viele Grüße
Oliver
NordicMike
NordicMike 16.04.2020 um 14:07:40 Uhr
Goto Top
Jetzt sieht man es. Der VPN Tunnel darf nicht im gleichen IP Bereich sein, wie das entfernte Netzwerk. Es muss ein Transfernetz sein, das keinen der beiden Netze entsprechedn darf, z.B.: 192.168.99.x/24
Bronsky
Bronsky 16.04.2020 um 14:34:56 Uhr
Goto Top
Hallo Mike,

ich dachte das Netzwerk 10.8.0.0 ist das Transfernetz für den Tunnel ?

Das Handy ist nicht per LAN im Netz, sondern über 4G, damit sind LAN, Tunnel und Handy doch in verschiedenen Netzten, oder? Sobald ich VPN auf dem Handy starte, bekommt das Handy die "Tunnel-Nummer" 10.8.0.6. Damit ist dann ein Zugriff auf 10.8.0.136 möglich, allerdings kein Durchgriff auf das Netz 192.168.0.0/24.

Wenn ich den Tunnel auf dem Handy offen lasse und dann die OpenVPN Verbindung restarte (egal ob auf dem Server oder Gateway), funktioniert der Durchgriff auf das LAN....

Viele Grüße
Oliver
NordicMike
Lösung NordicMike 16.04.2020 aktualisiert um 14:48:37 Uhr
Goto Top
Heisst das, Du hast keine zwei Netze (Peer to Peer) sondern zu hast zwei einzelne Tunnel?

Das heisst dann dir fehlt die Route vom VPN Netz ins LAN oder die Route von LAN ins VPN Netz.

Poste mal route print und trace route von einem LAN Rechner zum V-Server
und vom V-Server zum Rechner im LAN.
Einer der beiden sieht dann ab irgendwann nur noch Sternchen...
Bronsky
Bronsky 16.04.2020 um 16:13:28 Uhr
Goto Top
Hallo Mike,

habe den Fehler zwischenzeitlich gefunden. War wie immer kleine Ursache, grosse Wirkung. Routing und Firewall-Einstellungen haben gepasst, es lag an der Config des OpenVPN Servers.

Ich habe dem VPN Gateway eine feste VPN-IP gegeben und daher ein ccd Verzeichnis angelegt, in dem ich über ifconfig-push dem Gateway immer die 10.8.0.136 gebe und darüber hinaus eine iroute zurück in LAN eingerichtet habe. Als ich für das handy auch eine datei angelegt habe, habe ich die iroute blöderweise mitkopiert, die stört allerdings nur, das ja sowieso der ganze Datenverkehr über das Gateway läuft und die Info von daher nicht benötigt wird bzw. bei einer Initialisierung der VPN-Verbindung sogar stört...

Danke für Deine Hilfe

Viele Grüße
Oliver
gelöstFrageNetzwerkeRouter, Routing
Heiß diskutiert
MysticFoxDEWindows 11 - Unerträgliche Ressourcenverschwendung - groteske RAM ReservierungenMysticFoxDE - 72 KommentareMaba90Batch oder PS Skript startet Programm nur als Prozess ohne GUIMaba90 - 37 KommentaremirdochegalServer 2025 DC - verliert nach reboot Domänenfirewallprofil - nicht als DC erreichbarmirdochegal - 34 KommentareMysticFoxDEWindows 11 - Unerträgliche RessourcenverschwendungMysticFoxDE - 32 KommentareYan2021NUC als NAS verwenden?Yan2021 - 29 KommentareNeurothikerMikrotik - wie ändere ich ein Interface von slave auf master?Neurothiker - 26 KommentareStefanKittelCVE am Ende?StefanKittel - 20 Kommentarepsimon87Serverschrank im Garten (in der "Gartenhütte")psimon87 - 19 KommentarekreuzbergerGängelung, neu erfunden. Diesmal: SYNOLOGYkreuzberger - 17 KommentareManuManu2021Handelsregister.de nicht aufrufbarManuManu2021 - 16 KommentareTenniscrackUSB Stick mit Windows 2 Go erstellenTenniscrack - 15 Kommentaregerry56Netzwerk-Problem mit unterschiedlichen Betriebssystemengerry56 - 15 KommentareYan2021Thunderbolt USB-C auf USB-A Stecker bessere Lösung?Yan2021 - 14 Kommentare