4
openvpn Win2003 SBS Routing ins Heimnetz
OpenVPN Routing ins Heimnetz
erstmal Hallo an alle, bin hier schon seit jahren ein stiller leser und habe viel dadurch lösen können.
Nun habe ich aber ein Problem bei dem ich nicht weiterkomme.
Auf der Server Seite ist ein Windows 2003 SBS Server (Firewall deaktiviert, DNS, RAS, eingeschaltetem IP Forwarding), Netzwerk: 192.168.178.0 (Server .100)
Auf der Client Seite ist ein Windows XP SP2 Client ohne Firewall., Netzwerk: 192.168.0.0 (Client .50)
Beide Netze besitzen die Subnetmask 255.255.255.0
Ich möchte gerne eine VPN Verbindung (mit openvpn) vom Client zum Server aufbauen. Die Verbindung funktioniert auch bestens. Ich kann folgende Sachen anpingen:
vom Client zum Server:
192.168.179.1 (IP vom VPN Server)
192.168.178.100 (IP vom SBS Server)
vom Server zum Client
192.168.179.2 (IP vom VPN Client)
wenn ich jetzt einen ping an 192.168.178.1 (Hardware Router auf SBS Seite) starte, funktioniert dies nicht. Wenn ich vom Client aus, bei bestehneder VPN Verbindung) ins Internet möchte (ping google.de) geht dies auch nicht. Der DNS Server löst google.de auf, jedoch erhalte ich keine Pakete.
Ich hoffe mal, dass ich das exakt genug erklärt habe. Alle Client Pakete sollen später über die VPN Verbindung geroutet werden.
hier die Konfiguration des VPN Servers:
port 9000
proto udp
mode server
tls-server
dev tap
ifconfig 192.168.179.1 255.255.255.0
ifconfig-pool 192.168.179.2 192.168.179.254
mssfix
dh certs/dh1024.pem
ca certs/ca.crt
cert certs/server.crt
key certs/server.key
ifconfig-pool-persist ipp.txt
keepalive 10 120
auth SHA1
comp-lzo
persist-key
persist-tun
verb 0
push "route 192.168.178.0 255.255.255.0"
push "dhcp-option DNS 192.168.178.100"
hier die Konfiguration des clients:
client
float
dev tap
mssfix
proto udp
remote # 9000
resolv-retry infinite
tls-remote #-Server
ca certs/ca.crt
cert certs/client1.crt
key certs/client1.key
auth SHA1
nobind
comp-lzo
persist-key
persist-tun
verb 5
route-gateway 192.168.179.1
redirect-gateway
route 0.0.0.0 0.0.0.0
ich hoffe, dass mir einer helfen kann
Wünsche allen ein frohes Weihnachtsfest....
Nun habe ich aber ein Problem bei dem ich nicht weiterkomme.
Auf der Server Seite ist ein Windows 2003 SBS Server (Firewall deaktiviert, DNS, RAS, eingeschaltetem IP Forwarding), Netzwerk: 192.168.178.0 (Server .100)
Auf der Client Seite ist ein Windows XP SP2 Client ohne Firewall., Netzwerk: 192.168.0.0 (Client .50)
Beide Netze besitzen die Subnetmask 255.255.255.0
Ich möchte gerne eine VPN Verbindung (mit openvpn) vom Client zum Server aufbauen. Die Verbindung funktioniert auch bestens. Ich kann folgende Sachen anpingen:
vom Client zum Server:
192.168.179.1 (IP vom VPN Server)
192.168.178.100 (IP vom SBS Server)
vom Server zum Client
192.168.179.2 (IP vom VPN Client)
wenn ich jetzt einen ping an 192.168.178.1 (Hardware Router auf SBS Seite) starte, funktioniert dies nicht. Wenn ich vom Client aus, bei bestehneder VPN Verbindung) ins Internet möchte (ping google.de) geht dies auch nicht. Der DNS Server löst google.de auf, jedoch erhalte ich keine Pakete.
Ich hoffe mal, dass ich das exakt genug erklärt habe. Alle Client Pakete sollen später über die VPN Verbindung geroutet werden.
hier die Konfiguration des VPN Servers:
port 9000
proto udp
mode server
tls-server
dev tap
ifconfig 192.168.179.1 255.255.255.0
ifconfig-pool 192.168.179.2 192.168.179.254
mssfix
dh certs/dh1024.pem
ca certs/ca.crt
cert certs/server.crt
key certs/server.key
ifconfig-pool-persist ipp.txt
keepalive 10 120
auth SHA1
comp-lzo
persist-key
persist-tun
verb 0
push "route 192.168.178.0 255.255.255.0"
push "dhcp-option DNS 192.168.178.100"
hier die Konfiguration des clients:
client
float
dev tap
mssfix
proto udp
remote # 9000
resolv-retry infinite
tls-remote #-Server
ca certs/ca.crt
cert certs/client1.crt
key certs/client1.key
auth SHA1
nobind
comp-lzo
persist-key
persist-tun
verb 5
route-gateway 192.168.179.1
redirect-gateway
route 0.0.0.0 0.0.0.0
ich hoffe, dass mir einer helfen kann
Wünsche allen ein frohes Weihnachtsfest....
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 76587
Url: https://administrator.de/contentid/76587
Printed on: April 19, 2024 at 19:04 o'clock
4 Comments
Latest comment
Schau doch mal bitte in die Routingtable am client, ob der push-befehl funktioniert hat. Das kann vorkommen, das das nicht 1A klappt. Du kannst die Route am client in der ovpn config oder per route add -p ... statisch eintragen.
Sind die Routen vorhanden, hat dein Router auf SBS Seite warscheinlich keine Route für das 192.168.179.0/24 Netzwerk über den SBS.
Deine Tabellen sollten in etwa so aussehen:
Table Client:
192.168.0.0 255.255.255.0 192.168.0.50 0
192.168.179.0 255.255.255.0 192.168.179.2 0
192.168.178.0 255.255.255.0 192.168.179.1 10
Table Server:
192.168.178.0 255.255.255.0 192.168.178.100 0
192.168.179.0 255.255.255.0 192.168.179.1 0
0.0.0.0 0.0.0.0 1 192.168.178.1 1
Table Router:
0.0.0.0 0.0.0.0 216.217.218.219 1 ISP-Gateway
192.168.178.0 255.255.255.0 192.168.178.1 0 Lokales Netz
192.168.179.0 255.255.255.0 192.168.178.100 1 // VPN-Netz über SBS-Server
Prüfe das bitte und melde dich wieder. Deine OpenVPN config ist soweit OK.
Sind die Routen vorhanden, hat dein Router auf SBS Seite warscheinlich keine Route für das 192.168.179.0/24 Netzwerk über den SBS.
Deine Tabellen sollten in etwa so aussehen:
Table Client:
192.168.0.0 255.255.255.0 192.168.0.50 0
192.168.179.0 255.255.255.0 192.168.179.2 0
192.168.178.0 255.255.255.0 192.168.179.1 10
Table Server:
192.168.178.0 255.255.255.0 192.168.178.100 0
192.168.179.0 255.255.255.0 192.168.179.1 0
0.0.0.0 0.0.0.0 1 192.168.178.1 1
Table Router:
0.0.0.0 0.0.0.0 216.217.218.219 1 ISP-Gateway
192.168.178.0 255.255.255.0 192.168.178.1 0 Lokales Netz
192.168.179.0 255.255.255.0 192.168.178.100 1 // VPN-Netz über SBS-Server
Prüfe das bitte und melde dich wieder. Deine OpenVPN config ist soweit OK.
Hallo,
danke für die schnelle Antwort.
Log vom Client:
Mon Dec 24 12:32:29 2007 us=245248 Route addition via IPAPI succeeded
Mon Dec 24 12:32:29 2007 us=245472 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.0.1
Mon Dec 24 12:32:29 2007 us=256345 Route deletion via IPAPI succeeded
Mon Dec 24 12:32:29 2007 us=256565 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.179.1
Mon Dec 24 12:32:29 2007 us=263031 Route addition via IPAPI succeeded
Mon Dec 24 12:32:29 2007 us=263253 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.179.1
Mon Dec 24 12:32:29 2007 us=268292 Route addition via IPAPI succeeded
Mon Dec 24 12:32:29 2007 us=268502 route ADD 192.168.178.0 MASK 255.255.255.0 19
2.168.179.1
Mon Dec 24 12:32:29 2007 us=270857 Route addition via IPAPI succeeded
Route print vom Client:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.179.1 192.168.179.2 1
72.14.221.104 255.255.255.255 192.168.0.1 192.168.0.50 1
82.149.225.22 255.255.255.255 192.168.0.1 192.168.0.50 1
91.0.71.55 255.255.255.255 192.168.0.10 192.168.0.50 1
91.0.71.55 255.255.255.255 192.168.0.1 192.168.0.50 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.50 192.168.0.50 20
192.168.0.50 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.50 192.168.0.50 20
192.168.178.0 255.255.255.0 192.168.179.1 192.168.179.2 1
192.168.179.0 255.255.255.0 192.168.179.2 192.168.179.2 30
192.168.179.2 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.179.255 255.255.255.255 192.168.179.2 192.168.179.2 30
193.189.137.205 255.255.255.255 192.168.0.1 192.168.0.50 1
194.129.79.23 255.255.255.255 192.168.0.1 192.168.0.50 1
209.62.177.57 255.255.255.255 192.168.0.1 192.168.0.50 1
209.85.129.104 255.255.255.255 192.168.0.1 192.168.0.50 1
209.85.129.147 255.255.255.255 192.168.0.1 192.168.0.50 1
209.85.135.165 255.255.255.255 192.168.0.1 192.168.0.50 1
213.61.112.191 255.255.255.255 192.168.0.1 192.168.0.50 1
213.203.217.105 255.255.255.255 192.168.0.1 192.168.0.50 1
224.0.0.0 240.0.0.0 192.168.0.50 192.168.0.50 20
224.0.0.0 240.0.0.0 192.168.179.2 192.168.179.2 30
255.255.255.255 255.255.255.255 192.168.0.50 192.168.0.50 1
255.255.255.255 255.255.255.255 192.168.179.2 192.168.179.2 1
Standardgateway: 192.168.179.1
Ständige Routen:
Keine
Route print vom Server:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.100 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.178.0 255.255.255.0 192.168.178.100 192.168.178.100 20
192.168.178.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.178.255 255.255.255.255 192.168.178.100 192.168.178.100 20
192.168.179.0 255.255.255.0 192.168.179.1 192.168.179.1 30
192.168.179.1 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.179.255 255.255.255.255 192.168.179.1 192.168.179.1 30
224.0.0.0 240.0.0.0 192.168.178.100 192.168.178.100 20
224.0.0.0 240.0.0.0 192.168.179.1 192.168.179.1 30
255.255.255.255 255.255.255.255 192.168.178.100 192.168.178.100 1
255.255.255.255 255.255.255.255 192.168.179.1 192.168.179.1 1
Standardgateway: 192.168.178.1
Ständige Routen:
Keine
Ich glaube, du hast recht. Habe vieleicht einen Denkfehler drin.
Meine Überlegung:
Netzwerk mit ca. 10 Rechnern + Server
2 VPN Clients für administrativen Zugriff via Laptop
Die VPN Client müssten dann im selben IP Bereich hängen wie das Netz oder? Momentan geben ich ja via openvpn "dhcp" ein neuen Bereich für die Clients aus.
Oder muss ich die NAT funktionalität des SBS für meine momentane Konfiguration im zusammenspiel mit meiner Überlegung nutzen? Die VPN Clients sollen ja später im Netzwerk genau so hängen, als ob sie am lokalen Switch sein würden.
danke für die schnelle Antwort.
Log vom Client:
Mon Dec 24 12:32:29 2007 us=245248 Route addition via IPAPI succeeded
Mon Dec 24 12:32:29 2007 us=245472 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.0.1
Mon Dec 24 12:32:29 2007 us=256345 Route deletion via IPAPI succeeded
Mon Dec 24 12:32:29 2007 us=256565 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.179.1
Mon Dec 24 12:32:29 2007 us=263031 Route addition via IPAPI succeeded
Mon Dec 24 12:32:29 2007 us=263253 route ADD 0.0.0.0 MASK 0.0.0.0 192.168.179.1
Mon Dec 24 12:32:29 2007 us=268292 Route addition via IPAPI succeeded
Mon Dec 24 12:32:29 2007 us=268502 route ADD 192.168.178.0 MASK 255.255.255.0 19
2.168.179.1
Mon Dec 24 12:32:29 2007 us=270857 Route addition via IPAPI succeeded
Route print vom Client:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.179.1 192.168.179.2 1
72.14.221.104 255.255.255.255 192.168.0.1 192.168.0.50 1
82.149.225.22 255.255.255.255 192.168.0.1 192.168.0.50 1
91.0.71.55 255.255.255.255 192.168.0.10 192.168.0.50 1
91.0.71.55 255.255.255.255 192.168.0.1 192.168.0.50 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.50 192.168.0.50 20
192.168.0.50 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.50 192.168.0.50 20
192.168.178.0 255.255.255.0 192.168.179.1 192.168.179.2 1
192.168.179.0 255.255.255.0 192.168.179.2 192.168.179.2 30
192.168.179.2 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.179.255 255.255.255.255 192.168.179.2 192.168.179.2 30
193.189.137.205 255.255.255.255 192.168.0.1 192.168.0.50 1
194.129.79.23 255.255.255.255 192.168.0.1 192.168.0.50 1
209.62.177.57 255.255.255.255 192.168.0.1 192.168.0.50 1
209.85.129.104 255.255.255.255 192.168.0.1 192.168.0.50 1
209.85.129.147 255.255.255.255 192.168.0.1 192.168.0.50 1
209.85.135.165 255.255.255.255 192.168.0.1 192.168.0.50 1
213.61.112.191 255.255.255.255 192.168.0.1 192.168.0.50 1
213.203.217.105 255.255.255.255 192.168.0.1 192.168.0.50 1
224.0.0.0 240.0.0.0 192.168.0.50 192.168.0.50 20
224.0.0.0 240.0.0.0 192.168.179.2 192.168.179.2 30
255.255.255.255 255.255.255.255 192.168.0.50 192.168.0.50 1
255.255.255.255 255.255.255.255 192.168.179.2 192.168.179.2 1
Standardgateway: 192.168.179.1
Ständige Routen:
Keine
Route print vom Server:
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.100 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.178.0 255.255.255.0 192.168.178.100 192.168.178.100 20
192.168.178.100 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.178.255 255.255.255.255 192.168.178.100 192.168.178.100 20
192.168.179.0 255.255.255.0 192.168.179.1 192.168.179.1 30
192.168.179.1 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.179.255 255.255.255.255 192.168.179.1 192.168.179.1 30
224.0.0.0 240.0.0.0 192.168.178.100 192.168.178.100 20
224.0.0.0 240.0.0.0 192.168.179.1 192.168.179.1 30
255.255.255.255 255.255.255.255 192.168.178.100 192.168.178.100 1
255.255.255.255 255.255.255.255 192.168.179.1 192.168.179.1 1
Standardgateway: 192.168.178.1
Ständige Routen:
Keine
Ich glaube, du hast recht. Habe vieleicht einen Denkfehler drin.
Meine Überlegung:
Netzwerk mit ca. 10 Rechnern + Server
2 VPN Clients für administrativen Zugriff via Laptop
Die VPN Client müssten dann im selben IP Bereich hängen wie das Netz oder? Momentan geben ich ja via openvpn "dhcp" ein neuen Bereich für die Clients aus.
Oder muss ich die NAT funktionalität des SBS für meine momentane Konfiguration im zusammenspiel mit meiner Überlegung nutzen? Die VPN Clients sollen ja später im Netzwerk genau so hängen, als ob sie am lokalen Switch sein würden.
Die Routen sind OK. Ich würde allerdings nicht das DefaultGW über die VPN umleiten wenn es ein admin-zugang sein soll. Das kann man machen wenn in der Firma ein ISA steht den die user ihn mitnutzen müssen. Die VPN-Clients dürfen sich bei dieser Konfig nicht im selben netz befinden. Dein Prob scheint nur zu sein, das die Hosts im SBS-Netz nicht wissen wie sie das VPN-Netzwerk erreichen sollen. Schau dir bitte mal die routen am gateway an (192.168.178.1). Dort musst du eine route hinzufügen, die in das Netz der VPN-clients über den SBS zeigt. Dann sollte das Gate pingbar sein.
Um das schnell zu testen, füge auf einem PC in deinem internem Netz eine route zu 192.168.179.0 über 192.168.178.100 hinzu.
Um das schnell zu testen, füge auf einem PC in deinem internem Netz eine route zu 192.168.179.0 über 192.168.178.100 hinzu.
Hallo,
danke für deine Hilfe. Ist erledigt.
Das Problem bei meiner Konstellation war, dass ich die Rückroute, wie vermutet, vergessen hatte.
Nun habe ich noch das kleine Problem, dass ich über das VPN nicht ins Internet komme. Ich denke aber, dass das das identische Problem ist.
Server hat nun folgende Routen:
0.0.0.0. 0.0.0.0 über 192.168.178.1 Router
192.168.179.0 255.255.255.0 über 192.168.179.1 SBS Server
Clients bekommen nun als Standard Gateway den SBS Server.
Um ins Internet zu kommen, benötige ich dann wahrscheinlich eine Route auf dem Hardware Router 192.168.178.1.
Damit sollte dann alles bestens sein oder? ich danke Dir für deine Hilfe und wünsche allen im Forum ein Frohes Fest und einen guten Rutsch ins neue Jahr ....
MFG Heiko
danke für deine Hilfe. Ist erledigt.
Das Problem bei meiner Konstellation war, dass ich die Rückroute, wie vermutet, vergessen hatte.
Nun habe ich noch das kleine Problem, dass ich über das VPN nicht ins Internet komme. Ich denke aber, dass das das identische Problem ist.
Server hat nun folgende Routen:
0.0.0.0. 0.0.0.0 über 192.168.178.1 Router
192.168.179.0 255.255.255.0 über 192.168.179.1 SBS Server
Clients bekommen nun als Standard Gateway den SBS Server.
Um ins Internet zu kommen, benötige ich dann wahrscheinlich eine Route auf dem Hardware Router 192.168.178.1.
Damit sollte dann alles bestens sein oder? ich danke Dir für deine Hilfe und wünsche allen im Forum ein Frohes Fest und einen guten Rutsch ins neue Jahr ....
MFG Heiko
