OpenVPN client kann LAN hinter OpenVPN Server nicht erreichen

Hallo,

ich habe wieder einmal ein kleineres Problem zu lösen...

Ich möchte OpenVPN einsetzen und die Clients sollen das Firmen-Netzwerk hinter dem OpenVPN-Server erreichen können. Ich habe schon sehr viele Foren und Beiträge durchforstet und bisher noch keinen Erfolg gehabt.

der client kann eine Verbindung zum Server herstellen, erhält die IP 192.168.10.6 und kann 192.168.10.1 pingen, aber nicht 192.168.0.152 bzw. 192.168.0.xyz. Ich habe auch im Router (fritz.box) eine statische Route angelegt. Somit kann ich auch von jedem Firmenrechner auf 192.168.10.1 pingen allerdings nicht auf 192.168.10.6 (wenn VPN-Tunnel aufgebaut ist). Firewall ist auf allen Rechnern deaktiviert.

Hier meine Konfig:

Windows Server 2008 x64
OpenVPN 2.1
LAN-IP 192.168.0.152
OpenVPN Server IP 192.168.10.1

client win xp SP3
OpenVPN 2.1
LAN-IP 192.168.50.31

Server.conf:

port 1112
proto udp
dev tun
ca   "C:\\Program files (x86)\\openvpn\\easy-rsa\\keys\\ca.crt"  
key  "C:\\Program files (x86)\\openvpn\\easy-rsa\\keys\\server2.key"  
cert "C:\\Program files (x86)\\openvpn\\easy-rsa\\keys\\server2.crt"  
dh   "C:\\Program files (x86)\\openvpn\\easy-rsa\\keys\\dh2048.pem"  
server 192.168.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
crl-verify "C:\\Program files (x86)\\openvpn\\easy-rsa\\keys\\crl.pem"  
push "route 192.168.0.0 255.255.255.0 192.168.10.1"  
client-to-client
keepalive 10 60
comp-lzo
persist-key
persist-tun
log         openvpn.log
log-append  openvpn.log
float
verb 4
mute 20

Client.conf

client
dev tun
proto udp
remote abcd.dyndns.org 1112
nobind
persist-key
persist-tun
ca   C:\\Programme\\openvpn\\config\\ca.crt
key  C:\\Programme\\openvpn\\config\\name.key
cert C:\\Programme\\openvpn\\config\\name.crt
pull
comp-lzo
verb 4
mute 20
float

die routingtabelle des server 2008 zeigt folgendes an:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.152    276
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.0.0    255.255.255.0   Auf Verbindung     192.168.0.152    276
    192.168.0.152  255.255.255.255   Auf Verbindung     192.168.0.152    276
    192.168.0.255  255.255.255.255   Auf Verbindung     192.168.0.152    276
     192.168.10.0    255.255.255.0     192.168.10.2     192.168.10.1     30
     192.168.10.0  255.255.255.252   Auf Verbindung      192.168.10.1    286
     192.168.10.1  255.255.255.255   Auf Verbindung      192.168.10.1    286
     192.168.10.3  255.255.255.255   Auf Verbindung      192.168.10.1    286
    192.168.110.0    255.255.255.0   Auf Verbindung     192.168.110.1    276
    192.168.110.1  255.255.255.255   Auf Verbindung     192.168.110.1    276
  192.168.110.255  255.255.255.255   Auf Verbindung     192.168.110.1    276
    192.168.245.0    255.255.255.0   Auf Verbindung     192.168.245.1    276
    192.168.245.1  255.255.255.255   Auf Verbindung     192.168.245.1    276
  192.168.245.255  255.255.255.255   Auf Verbindung     192.168.245.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.245.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.110.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.10.1    286
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.0.152    276
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.245.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.110.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.10.1    286
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.0.152    276
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0      192.168.0.1  Standard

nun meine Frage: wo hab ich den Denkfehler, dass der OpenVPN-Client nicht auf LAN zugreifen kann?

Danke für eure Hilfe!

MfG, Ronny

Please also mark the comments that contributed to the solution of the article

Content-Key: 120438

Url: https://administrator.de/contentid/120438

Printed on: April 26, 2024 at 06:04 o'clock

5 Comments

Latest comment

Die Änderung des push route Kommandos in der Server Konfig auf:

push "route 192.168.0.0 255.255.255.0"

sollte dein Problem lösen !!

Hi aqui,

danke für deinen Tipp! Jetzt hat es funktioniert! ich versteh nur nicht, warum es heut Nachmittag nicht funktioniert hat. da habe ich das auch schon versucht. Allerdings war ich da im lokalen LAN mit einem anderen vpn-server verbunden, wo ne virtuelle maschine als test hergehalten hat.

MfG, Ronny

Hallo,

seit einigen Tagen habe ich das Problem, dass ich keinen Ping mehr in das remote-netz absetzen kann. da bekomme ich immer die Meldung "Zeitüberschreitung der Anforderung."

An den Configs habe ich NICHTS geändert nachdem es funktioniert hat. Im Servernetzwerk habe ich im Router (fritz.box) die statische Route "192.168.10.0 255.255.255.0 192.168.0.152" angelegt um auch vom internen lan auf vpn-clients zugreifen zu können. auch dieses hat nach dem Tipp von aqui funktioniert.

In der log-Datei des Clients bekomme ich am laufenden Band folgenden Fehler :
"Mon Aug 17 11:53:26 2009 us=187000 Authenticate/Decrypt packet error: bad packet ID (may be a replay): [ #20 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings"

Weiß jemand einen Rat, warum es "auf einmal" nicht mehr funktioniert?

MfG, Ronny

Hallo,

ich kann leider auch keine Clients aus dem Netz 192.168.178.* erreichen . Kann mir jemand bitte helfen ?

server.ovpn

#################################################
# OpenVPN (MvA-Networks Conf)
# VPN Server Configuration
#
# Copyright 2006-2021 (01.07.2021) www.mva.ch
# MvA Internet Services GmbH
#################################################
local 192.168.178.137
port 1194
proto udp4
dev tun

#----------------------------------------------
#Zertifikate
#----------------------------------------------
dh "C:\\easy-rsa\\pki\\dh.pem"  
ca "C:\\easy-rsa\\pki\\ca.crt"  
cert "C:\\easy-rsa\\pki\\issued\\Server.crt"  
key "C:\\easy-rsa\\pki\\private\\Server.key"  

#----------------------------------------------
#Server-Setup
#----------------------------------------------
server 10.19.15.0 255.255.255.0
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\ipp.txt"  
client-to-client

#----------------------------------------------
#Client-Settings (inkl Special Dir) Files - OPTIONAL
#----------------------------------------------
#client-config-dir "C:\\Program Files\\OpenVPN\\ccd"   
push "route 192.168.178.0 255.255.255.0"  
push "dhcp-option DNS 192.168.178.137"  
push "dhcp-option WINS 192.168.178.137"  
#----------------------------------------------
#Defaults
#----------------------------------------------
keepalive 10 120
persist-key
persist-tun
cipher AES-256-GCM
data-ciphers-fallback AES-256-CBC

#----------------------------------------------
# Logging
# ----------------------------------------------
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"  
log "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"  
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"  
verb 3

client.ovpn

##############################################
# MvA-Networks Connect. OpenVPN ClientScript #
##############################################

client
dev tun
proto udp
remote ******** 1194

# Einstellungen
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
verb 3

# Zertifikate
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"  
cert "C:\\Program Files\\OpenVPN\\config\\Robert.crt"  
key "C:\\Program Files\\OpenVPN\\config\\Robert.key"  

statische ipv4 Route in Fritzbox:
10.19.15.0 Netzwerk
255.255.255.0
10.19.15.1 Gateway

Routingtabelle auf Server

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.178.1  192.168.178.137    281
       10.19.15.0    255.255.255.0       10.19.15.2       10.19.15.1      1
       10.19.15.0  255.255.255.252   Auf Verbindung        10.19.15.1    257
       10.19.15.1  255.255.255.255   Auf Verbindung        10.19.15.1    257
       10.19.15.3  255.255.255.255   Auf Verbindung        10.19.15.1    257
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
    192.168.178.0    255.255.255.0   Auf Verbindung   192.168.178.137    281
  192.168.178.137  255.255.255.255   Auf Verbindung   192.168.178.137    281
  192.168.178.255  255.255.255.255   Auf Verbindung   192.168.178.137    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung   192.168.178.137    281
        224.0.0.0        240.0.0.0   Auf Verbindung        10.19.15.1    257
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung   192.168.178.137    281
  255.255.255.255  255.255.255.255   Auf Verbindung        10.19.15.1    257
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0    192.168.178.1  Standard

Routingtabelle Client

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.204     30
       10.19.15.0    255.255.255.0       10.19.15.5       10.19.15.6    225
       10.19.15.4  255.255.255.252   Auf Verbindung        10.19.15.6    281
       10.19.15.6  255.255.255.255   Auf Verbindung        10.19.15.6    281
       10.19.15.7  255.255.255.255   Auf Verbindung        10.19.15.6    281
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      192.168.1.0    255.255.255.0   Auf Verbindung     192.168.1.204    286
    192.168.1.204  255.255.255.255   Auf Verbindung     192.168.1.204    286
    192.168.1.255  255.255.255.255   Auf Verbindung     192.168.1.204    286
    192.168.178.0    255.255.255.0       10.19.15.5       10.19.15.6    225
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung        10.19.15.6    281
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.1.204    286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung        10.19.15.6    281
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.1.204    286
===========================================================================
Ständige Routen:
  Keine

Netz1: 192.168.178.*
openvpn netz 10.19.15.*

ich kann mit den Client über VPN (10.19.15.6) den openVPN Server (10.19.15.1) anpingen
aber leider erreiche ich keine anderen Geräte aus dem Netz 192.168.178.*

was habe ich falsch gemacht ?

ich kann leider auch keine Clients aus dem Netz 192.168.178.* erreichen . Kann mir jemand bitte helfen ?
Im Servernetzwerk habe ich im Router (fritz.box) die statische Route

Die ist fehlerhaft, denn hier fehlt die statische Route für das interne OVPN Netz. Auf der Server- und Clientseite müssen jeweils 2 statische Routen definiert sein. Die auf das interne OVPN IP Netz und die auf das jeweils remote Zielnetz. Beim Client natürlich nur wenn man eine Site to Site Kopplung macht. Sollte das bei dir nicht der Fall sein und die Clients einzig nur auf das remote Netz zugreifen ist das dort natürlich NICHT erforderlich!
Guckst du dazu auch hier:
OpenVPN - Erreiche Netzwerk hinter Client nicht

ich kann mit den Client über VPN (10.19.15.6) den openVPN Server (10.19.15.1) anpingen

Wichtig wäre zu wissen ob du vom Client auch die LAN IP 192.168.178.* des OVPN Servers pingen kannst??

Bedenke zusätzlich wenn diese zu erreichbaren Clients Winblows rechner sind das deren lokale Winblows Firewall generell ICMP (Ping) Pakete blockt und du die erst explizit freigeben musst:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Desweiteren blockt die Windows Firewall generell den Zugriff wenn Traffic aus remoten Netzen also mit nicht lokalen Absender IP Adressen kommen. Das musst du für die entsprechenden Dienste customizen!!
Nur das du das im Falle von Winblows auf dem Radar hast!!
Weitere ToDos beschreibt das OpenVPN Tutorial und seine weiterführenden Links!

German Question Networks