fiolito
Goto Top

OpenVPN durch Fritzbox (6360 Cable) und durch Lancom (1781VA) auf Domänen PC auf dem der OpenVPN Server läuft

Liebe Community,
ich bräuchte eure Hilfe. Ich möchte von einem Notebook welches einen Internetzugang über DSL oder Kabel hat, eine OpenVPN Verbindung zu einem OpenVPN Server herstellen.

In einer Teststellung klappt das auch wunderbar. Zertifikate und IP Adresse sind so, wie sie sein sollen.

Sobald ich den "Server" dort hin stelle, wo er benötigt wird, kommt die Verbindung nicht mehr zustande. Es ist also kein OpenVPN Thema, sondern eine Routing/Netzwerkthema.

Das Netzwerk sie folgendermaßen aus:
- Unitymedia Kabelanschluss mit fester IP
- Fritzbox (192.168.178.1 intern und extern mit fester IP) (Portforwarding von 1194 UDP ist eingerichtet), DHCP nach intern
- Lancom (Von der Fritzbox 192.168.178.10, IP intern: 10.153.x.x), Firewall Filterregel ist erstellt. Trigger steht auf Sofort - Übertragen, Stationen - Objekt LOCALNET und bei Diensten - alle Protokolle/QuellDienste
- Dahinter eine Domäne mit festen IP für Kabelnetz und DHCP über WLAN Accesspoints (alle aus dem 10.153.x.x Netz)
- am Lancom ist der Port 1194 auf die feste IP des "Servers" weitergeleitet.
- Mit einem PC aus dem Netzwerk (also nicht von außen) kann der VPN aufgebaut werden.
- Das Netzwerk hinter dem Lancom kann untereinander kommunizieren und kommt ins Internet

Zusatzinfo: Wir haben RDP auf den DC aus dem 10.153.x.x mit Portforwarding eingerichtet. Das funktioniert.

Wo könnte der Fehler stecken? An der Fritzbox oder am Lancom?

Vielen Dank

Content-Key: 377743

Url: https://administrator.de/contentid/377743

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: aqui
Lösung aqui 21.06.2018 aktualisiert um 11:28:05 Uhr
Goto Top
Sobald ich den "Server" dort hin stelle, wo er benötigt wird, kommt die Verbindung nicht mehr zustande.
Das ist auch klar, weil du vermutlich in deinem Testsetup sowas wie Firewall und NAT (IP Adress Translation) wie so oft nicht beachtet hast face-sad Kann das sein ?

Wichtig ist das du es alles getestet hast so das wie du schon richtig sagst OpenVPN Problematiken ausschliessen können.
Der Klassiker was falsch gemacht wird ist meist an der OVPN Server Lokation.
Wenn der OVPN Server dort hinter einem NAT Router steht musst du dort lokischerweise eine Port Forwarding Regel einrichten, die Inbound Traffic mit Port UDP 1194 (OVPN Port) auf die interne IP des OVPN Servers im lokalen LAN forwardet. Hast du das gemacht ?
Der OVPN Server sollte natürlich tunlichst eine feste, statische IP im lokalen Netz haben !
Anders kann der externe Traffic des OVPN Clients niemals die NAT Firewall des Routers auf der Serverseite überwinden !!

Unity Media Anschluss ist der zweite Knackpunkt. Die nutzen oft DS-Lite Anschlüsse, was dann der Todesstoß für VPNs ist.
Aber da du ja schreibst das du eine feste, öffentliche IPv4 Adresse dort am Router hast, kann man das Problem der externen Erreichbarkeit abhaken.
Du solltest natürlich auf dem Radar haben das der OVPN Client dann diese Router IP als Zieladresse konfiguriert haben !
Alles weitere zu dem Thema und was du zu beachten hast steht hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Im Grunde ist die Einrichtung vollkommen identisch zu dem Port Forwarding für RDP nur das du zusätzlich zu TCP 3389 auch noch UDP 1194 einstellen musst.
Sehr sinnvoll für ein Troubleshooting wäre mal die Aussage ob überhaupt eingehden OVPN Client Pakete am Server zu sehen sind (Logauszug) sprich ob der Server überhaupt auf Client Requests reagiert.
Tut er das gar nicht kommt am Server nichts an von UDP 1194 und dann hast du in der Tat ein Firewall und Port Forwarding Problem.
Am Client selber bzw. in dessen Netz und Router muss gar nichts gemacht werden in Bezug auf Firewall und NAT. Logisch, denn der hat ja wechselnde Standorte und dort würde es ja wenig Sinn machen immer die Infrastruktur anpassen zu müssen.
Mitglied: Fiolito
Fiolito 21.06.2018 um 15:33:26 Uhr
Goto Top
Hallo aqui,
nach deiner "Liste" habe ich alle Ports noch einmal auf Plausibilität geprüft. Letztlich scheiterte es am Portforwarding im Lancom. Allerdings ist das Routing und NAT mit zwei Routern echt ein sch....
Ich danke dir für die schnelle und kompetente Hilfe.
Mitglied: goscho
goscho 21.06.2018 um 16:56:27 Uhr
Goto Top
Mahlzeit
Zitat von @Fiolito:

Hallo aqui,
nach deiner "Liste" habe ich alle Ports noch einmal auf Plausibilität geprüft. Letztlich scheiterte es am Portforwarding im Lancom. Allerdings ist das Routing und NAT mit zwei Routern echt ein sch....
Ist es keine Option, das VPN am Lancom zu terminieren?
Geht zwar kein OpenVPN, aber IPSECv2-VPN.
Mitglied: aqui
aqui 21.06.2018 aktualisiert um 17:26:17 Uhr
Goto Top
Hi Fiolito,
Das ist auch gleichzeitig auch der Schwachpunkt deines VPN Design. Den VPN Tunnel direkt ins interne LAN zu ziehen ist nicht gerade ein sauberes Design. Dadurch exponierst du dein lokales LAN schon einem Sicherheitsproblem.
Sinnigerweise terminiert man deshalb VPNs immer auf der Peripherie, sprich dem Router und der Firewall direkt um sowas zu verhindern.
Die Router Kaskade von Lancom und FritzBox ist natürlich auch nicht das Gelbe vom Ei. Kann man nur hoffen das du dem Lancom zwingend wenigstens eine statische IP verpasst hast im Transfer Netz. Denn wenn die DHCP abhängig ist und sich duch die Dynmaik von DHCP mal ändern sollte alles wieder für die Katz ist mit dem Port Forwarding. PFW erzwingt immer ein statisches Adress design.
Doppeltes NAT, Doppeltes Port Forwarding usw. ist auch immer kontraproduktiv in einem VPN Design.
Fragt man sich warum du sowas machst und nicht mit einem nur Modem arbeitest oder gleich mit einer gescheiten Firewall die auch das VPN terminiert... Aber egal. Wenns nun erstmal rennt ist ja alles gut.
Case closed.
Mitglied: goscho
goscho 22.06.2018 um 10:28:55 Uhr
Goto Top
Zitat von @aqui:
Fragt man sich warum du sowas machst und nicht mit einem nur Modem arbeitest oder gleich mit einer gescheiten Firewall die auch das VPN terminiert... Aber egal. Wenns nun erstmal rennt ist ja alles gut.
Das mit dem "nur Modem" ist bei den Kabelanbietern so eine Sache.
Ich habe einen Business-Anschluss bei Vodafone (Kabel Deutschland) und dort eine Fritzbox6490.
Lieber würde ich ein Kabelmodem einsetzen, jedoch ist es fast unmöglich eines zu bekommen, was von Vodafone auch registriert wird.
Mitglied: aqui
aqui 22.06.2018 um 10:43:18 Uhr
Goto Top
Stimmt, du hast Recht was Modems für Kabelkunden anbetrifft. Da sieht es in der Tat nicht rosig aus und man ist dann fast immer auf eine Kaskade verhaftet. Oder muss Glück haben das die Router HW auch via Passthrough als reines Modem betrieben werden kann.