8
Zugriff auf lokales Netzwerk über OpenVPN funktioniert nur nach Neustart des OpenVPN-Servers
Hallo zusammen,
ich betreibe einen VServer unter Ubuntu, der mir als Nextcloud-Instanz und VPN-Server dient. Im lokalen Netzwerk dient ein OpenWRT als VPN-Gateway (192.168.0.136), die Internetverbindung wird über eine Fritzbox (192.168.0.1) zur Verfügung gestellt. Der OpenWRT baut einen VPN-Tunnel zum V-Server auf. Ein Zugriff im Netzwerk 10.8.0.0 (auch zwischen den Clients) funktioniert. In der Fritzbox ist eine statische Route auf den OpenWRT eingerichtet. Die Firewall-Regeln im OpenWRT sind nach diesem Tutorial
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
eingerichtet.
Jetzt zu meinem Problem:
Wenn ich über mein Handy eine OpenVPN Verbindung aufbaue, kann ich nicht auf das lokale Netzwerk zugreifen. Lasse ich die OpenVPN Verbindung jedoch offen und mache einen Restart des OpenVPN Servers, kann ich die Seiten im lokalen Netz aufbauen. Trenne ich die OpenVPN Verbindung und initialisiere diese neu, funktioniert der Zugriff auf das lokale Netz nicht mehr.
Ich gehe davon aus, dass in meinen Routing Regeln im Gateway etwas nicht stimmt, denn durch den Neustart des OpenVPN Servers wird auch das OpenWRT Gateway neu initialisiert und danach klappt ja auch der Zugriff. Habt Ihr eine Idee, an welchen Schrauben ich noch drehen kann?
Danke und viele Grüße
Oliver
PS.: Wenn ich die OpenVPN Verbindung auf dem Handy offen lasse und den OpenWRT neu starte, funktioniert der Zugriff auf das lokale Netz auch....
ich betreibe einen VServer unter Ubuntu, der mir als Nextcloud-Instanz und VPN-Server dient. Im lokalen Netzwerk dient ein OpenWRT als VPN-Gateway (192.168.0.136), die Internetverbindung wird über eine Fritzbox (192.168.0.1) zur Verfügung gestellt. Der OpenWRT baut einen VPN-Tunnel zum V-Server auf. Ein Zugriff im Netzwerk 10.8.0.0 (auch zwischen den Clients) funktioniert. In der Fritzbox ist eine statische Route auf den OpenWRT eingerichtet. Die Firewall-Regeln im OpenWRT sind nach diesem Tutorial
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
eingerichtet.
Jetzt zu meinem Problem:
Wenn ich über mein Handy eine OpenVPN Verbindung aufbaue, kann ich nicht auf das lokale Netzwerk zugreifen. Lasse ich die OpenVPN Verbindung jedoch offen und mache einen Restart des OpenVPN Servers, kann ich die Seiten im lokalen Netz aufbauen. Trenne ich die OpenVPN Verbindung und initialisiere diese neu, funktioniert der Zugriff auf das lokale Netz nicht mehr.
Ich gehe davon aus, dass in meinen Routing Regeln im Gateway etwas nicht stimmt, denn durch den Neustart des OpenVPN Servers wird auch das OpenWRT Gateway neu initialisiert und danach klappt ja auch der Zugriff. Habt Ihr eine Idee, an welchen Schrauben ich noch drehen kann?
Danke und viele Grüße
Oliver
PS.: Wenn ich die OpenVPN Verbindung auf dem Handy offen lasse und den OpenWRT neu starte, funktioniert der Zugriff auf das lokale Netz auch....
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 564907
Url: https://administrator.de/contentid/564907
Printed on: April 16, 2024 at 21:04 o'clock
8 Comments
Latest comment
Hi,
du startest zwar alles neu, aber du analysierst den Fehler nicht. Bring es in den fehlerhaften Zustand und pach mal pings, nslookups, traceroutes usw in beide Richtungen. Dann weisst Du schon mal weit es kommt. Dann schaust du dir mal die Routing Tabellen an dem Gerät an, wo es nicht weiter geht. Das sollte dir den Fehler dann schon zeigen.
Grüße
Der Mike
du startest zwar alles neu, aber du analysierst den Fehler nicht. Bring es in den fehlerhaften Zustand und pach mal pings, nslookups, traceroutes usw in beide Richtungen. Dann weisst Du schon mal weit es kommt. Dann schaust du dir mal die Routing Tabellen an dem Gerät an, wo es nicht weiter geht. Das sollte dir den Fehler dann schon zeigen.
Grüße
Der Mike
Hallo Mike,
danke für die Rückmeldung. So ganz untätig war ich dann doch nicht
Meine Netzkenntnisse sind allerdings eingeschränkt, von daher hier meine Erkenntnisse, die hoffentlich weiterhelfen
Wenn der Fehler auftritt, kann ich über die VPN-Verbindung auf dem Handy den Server unter 10.8.0.1 und das Gateway unter 10.8.0.136 anpingen und im Browser unter 10.8.0.136 das Gateway über die Weboberfläche erreichen und mich auch auf dem OpenWRT anmelden. Unter der lokalen Adresse 192.168.0.136 (OpenWRT) und 192.168.0.1 (Internet-Router) können diese jedoch nicht erreicht werden. Klingt für mich danach, dass die Nummer 10.8.0.136 im OpenWRT nicht nach 192.168.0.136 übersetzt wird , um den Zugriff auf das LAN zu erreichen. Nachfolgend meine Firewall-Einstellungen, falls das hilft....
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
iptables -I FORWARD -i tun0 -o br-lan -j ACCEPT
Grüße
Oliver
PS: ich habe eben nochmal pings und traceroutes auf dem OpenWRT abgesetzt. Fremde clients (z.B. 10.8.0.6) werden erreicht. Ein anpingen und traceroutes auf 192.168.0.136 und 192.168.0.1 funktionieren auch. Interessanterweise bekomme ich keine traceroute auf 10.8.0.1 (also den Server im Netz). Ein Ping auf 10.8.0.1 dagegen funktioniert.....
danke für die Rückmeldung. So ganz untätig war ich dann doch nicht
Meine Netzkenntnisse sind allerdings eingeschränkt, von daher hier meine Erkenntnisse, die hoffentlich weiterhelfen
Wenn der Fehler auftritt, kann ich über die VPN-Verbindung auf dem Handy den Server unter 10.8.0.1 und das Gateway unter 10.8.0.136 anpingen und im Browser unter 10.8.0.136 das Gateway über die Weboberfläche erreichen und mich auch auf dem OpenWRT anmelden. Unter der lokalen Adresse 192.168.0.136 (OpenWRT) und 192.168.0.1 (Internet-Router) können diese jedoch nicht erreicht werden. Klingt für mich danach, dass die Nummer 10.8.0.136 im OpenWRT nicht nach 192.168.0.136 übersetzt wird , um den Zugriff auf das LAN zu erreichen. Nachfolgend meine Firewall-Einstellungen, falls das hilft....
iptables -I INPUT 1 -p udp --dport 1194 -j ACCEPT
- Erlaubt den VPN Clients den Zugriff auf routerinterne Prozesse (Weboberfläche, SSH etc)
- Erlaubt Verbindungen zwischen VPN Clients sofern "Client-to-Client" bei OpenVPN aktiviert ist.
- Erlaubt Verbindungen vom lokalen Netz ins VPN Netz und umgekehrt (br0 steht für LAN und WLAN).
iptables -I FORWARD -i tun0 -o br-lan -j ACCEPT
Grüße
Oliver
PS: ich habe eben nochmal pings und traceroutes auf dem OpenWRT abgesetzt. Fremde clients (z.B. 10.8.0.6) werden erreicht. Ein anpingen und traceroutes auf 192.168.0.136 und 192.168.0.1 funktionieren auch. Interessanterweise bekomme ich keine traceroute auf 10.8.0.1 (also den Server im Netz). Ein Ping auf 10.8.0.1 dagegen funktioniert.....
Wenn Du "Handy" sagst, gehe ich von einem öffentlichen Internet aus, das hat jedoch nichts mit 192.168 oder 10.8 zu tun. Am besten zeichnest du dein Konstrukt mal genau auf. Ich blicke selbst nach 5-fachen Lesen nicht durch wo was miteinander verbunden ist und wie die Routen laufen sollten.
Hallo Mike,
ich habe mal versucht mich küntlerisch zu betätigen. Ich hoffe damit wir es etwas klarer...
Viele Grüße
Oliver
ich habe mal versucht mich küntlerisch zu betätigen. Ich hoffe damit wir es etwas klarer...
Viele Grüße
Oliver
Jetzt sieht man es. Der VPN Tunnel darf nicht im gleichen IP Bereich sein, wie das entfernte Netzwerk. Es muss ein Transfernetz sein, das keinen der beiden Netze entsprechedn darf, z.B.: 192.168.99.x/24
Hallo Mike,
ich dachte das Netzwerk 10.8.0.0 ist das Transfernetz für den Tunnel ?
Das Handy ist nicht per LAN im Netz, sondern über 4G, damit sind LAN, Tunnel und Handy doch in verschiedenen Netzten, oder? Sobald ich VPN auf dem Handy starte, bekommt das Handy die "Tunnel-Nummer" 10.8.0.6. Damit ist dann ein Zugriff auf 10.8.0.136 möglich, allerdings kein Durchgriff auf das Netz 192.168.0.0/24.
Wenn ich den Tunnel auf dem Handy offen lasse und dann die OpenVPN Verbindung restarte (egal ob auf dem Server oder Gateway), funktioniert der Durchgriff auf das LAN....
Viele Grüße
Oliver
ich dachte das Netzwerk 10.8.0.0 ist das Transfernetz für den Tunnel ?
Das Handy ist nicht per LAN im Netz, sondern über 4G, damit sind LAN, Tunnel und Handy doch in verschiedenen Netzten, oder? Sobald ich VPN auf dem Handy starte, bekommt das Handy die "Tunnel-Nummer" 10.8.0.6. Damit ist dann ein Zugriff auf 10.8.0.136 möglich, allerdings kein Durchgriff auf das Netz 192.168.0.0/24.
Wenn ich den Tunnel auf dem Handy offen lasse und dann die OpenVPN Verbindung restarte (egal ob auf dem Server oder Gateway), funktioniert der Durchgriff auf das LAN....
Viele Grüße
Oliver
Heisst das, Du hast keine zwei Netze (Peer to Peer) sondern zu hast zwei einzelne Tunnel?
Das heisst dann dir fehlt die Route vom VPN Netz ins LAN oder die Route von LAN ins VPN Netz.
Poste mal route print und trace route von einem LAN Rechner zum V-Server
und vom V-Server zum Rechner im LAN.
Einer der beiden sieht dann ab irgendwann nur noch Sternchen...
Das heisst dann dir fehlt die Route vom VPN Netz ins LAN oder die Route von LAN ins VPN Netz.
Poste mal route print und trace route von einem LAN Rechner zum V-Server
und vom V-Server zum Rechner im LAN.
Einer der beiden sieht dann ab irgendwann nur noch Sternchen...
Hallo Mike,
habe den Fehler zwischenzeitlich gefunden. War wie immer kleine Ursache, grosse Wirkung. Routing und Firewall-Einstellungen haben gepasst, es lag an der Config des OpenVPN Servers.
Ich habe dem VPN Gateway eine feste VPN-IP gegeben und daher ein ccd Verzeichnis angelegt, in dem ich über ifconfig-push dem Gateway immer die 10.8.0.136 gebe und darüber hinaus eine iroute zurück in LAN eingerichtet habe. Als ich für das handy auch eine datei angelegt habe, habe ich die iroute blöderweise mitkopiert, die stört allerdings nur, das ja sowieso der ganze Datenverkehr über das Gateway läuft und die Info von daher nicht benötigt wird bzw. bei einer Initialisierung der VPN-Verbindung sogar stört...
Danke für Deine Hilfe
Viele Grüße
Oliver
habe den Fehler zwischenzeitlich gefunden. War wie immer kleine Ursache, grosse Wirkung. Routing und Firewall-Einstellungen haben gepasst, es lag an der Config des OpenVPN Servers.
Ich habe dem VPN Gateway eine feste VPN-IP gegeben und daher ein ccd Verzeichnis angelegt, in dem ich über ifconfig-push dem Gateway immer die 10.8.0.136 gebe und darüber hinaus eine iroute zurück in LAN eingerichtet habe. Als ich für das handy auch eine datei angelegt habe, habe ich die iroute blöderweise mitkopiert, die stört allerdings nur, das ja sowieso der ganze Datenverkehr über das Gateway läuft und die Info von daher nicht benötigt wird bzw. bei einer Initialisierung der VPN-Verbindung sogar stört...
Danke für Deine Hilfe
Viele Grüße
Oliver
