Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Problem Route fehlt

Mitglied: morrasen

morrasen (Level 1) - Jetzt verbinden

14.02.2018 um 08:28 Uhr, 224 Aufrufe, 10 Kommentare

vpn - Klicke auf das Bild, um es zu vergrößern

Mein Problem: Ich komme vom Client (172.16.0.2) nicht auf den Rechner 192.168.178.57, wenn dieser mit dem OpenVPN-Server (10.8.0.1)verbunden ist.
Zu anderen Rechnern im internen Netzwerk habe ich Verbindung.
tracert 192.168.178.57 kommt bis 172.16.0.1 (Fritzbox).

Es fehlt vermutlich ein Routing-Eintrag, statische Route in der Fritzbox.

Kann mir bitte jemand helfen?

Gruß
morrasen
Mitglied: spec1re
14.02.2018 um 08:52 Uhr
01.
# Gebe dem Client Routen-Informationen mit, damit dieser  
02.
# das private Subnetz findet 
03.
push "route 192.168.178.0 255.255.255.0"

im OpenVPN-Server für die Client-Config versucht?

Gruß Spec
Bitte warten ..
Mitglied: aqui
14.02.2018, aktualisiert um 09:02 Uhr
Deine Adressierungsangaben sind etwas verwirrend. Du gibts Netzwerk IP Adressen an (Hostbits = 0) dann wieder Gateway IPs so das die Struktur relativ unklar und verwirrend ist
Da die FritzBox selber kein OpenVPN supportet interpretiert man diese etwas wirre Zeichnung mal so:
  • FritzBox mit lokalem LAN in der Standard AVM Adressierung 192.168.178.0 mit der .1 für die FB
  • In diesem lokalen LAN befindet sich ein OpenVPN Server auf den vom Internet zugegriffen wird und dessen lokale LAN IP Adresse unbekannt ist (fehlt in der Zeichnung) und dessen interne OVPN Adressierung 172.16.0.0 ist. Allerdings fehlt hier wie bei allen anderen Adressen auch die Subnetzmaske !
  • Desweiteren befindet sich in dem lokalen LAN Netz ein OpenVPN Client mit der IP .57 der (vermutlich) über die FB auf einen remoten OVPN Server zugreift dessen interne OVPN Adresse 10.8.0.0 lautet auch hier wieder mit fehlender Subnetzmaske.
  • Ist das soweit richtig ??

Wenn ja benötigst du mehrere statische Routen:
  • Auf der FritzBox müssen 2 statische Routen auf die internen OVPN Netze eingetragen sein:
  • 1.) Netzwerk: 172.16.0.0, Maske: 255.255.255.0, Gateway: <LAN IP OVPN Server> (Wobei die Maske hier mal mit 24 Bit geraten ist)
  • 2.) Netzwerk: 10.8.0.0, Maske: 255.255.255.0, Gateway: 192.168.178.57 (Wobei die Maske hier wieder mit 24 Bit geraten ist)

Man könnte noch direkte statische Routen auf dem OVPN Server und Client zu deren jeweiliges internes OVPN Netz eintragen, das muss aber nicht sein, da diese rechner ja die FB als Default gateway konfiguriert haben und die FB ja mit den jeweiligen 2 Routen oben diese IP Netze routet.
Wie immer ist hier Pathping oder Traceroute (tracert bei Win) dein bester Freund beim Troubleshooting !
Mein Problem: Ich komme vom Client (172.16.0.2) nicht auf den Rechner 192.168.178.57, wenn dieser mit dem OpenVPN-Server (10.8.0.1)verbunden ist.
Das du die lokale Firewall entsprechend auf den virtuellen VPN Interfaces korrekt und richtig konfiguriert hast setzen wir hier jetzt mal als gegeben voraus ?!!
Das könnte sein das du die OVPN Konfig mit einem Gateway redirect konfiguriert hast, sprich das das Default Gateway des Clients bei aktivem VPN Tunnel auf die VPN Verbindung gelegt wird. ("push "redirect-gateway def1"" Kommado in der Server Konfig !)
Dann wirst du diesen Client Rechner natürlich niemals erreichen, da der alles in den Tunnel routet.
Leider hast du es wie bei den Masken oben auch versäumt hier mal die entsprechende OVPN Server Konfig Datei zu posten so das eine zielführende Hilfe so gut wie unmöglich ist ohne diese Information
Wie gesagt Traceroute ist dein Freund hier.
Bitte warten ..
Mitglied: morrasen
14.02.2018, aktualisiert um 10:00 Uhr
Ein OpenVPN-Server läuft auf der Fritzbox, der andere auf einem VPS.

Wenn ja benötigst du mehrere statische Routen:
  • Auf der FritzBox müssen 2 statische Routen auf die internen OVPN Netze eingetragen sein:
  • 1.) Netzwerk: 172.16.0.0, Maske: 255.255.255.0, Gateway: <LAN IP OVPN Server> (Wobei die Maske hier mal mit 24 Bit geraten ist)
  • 2.) Netzwerk: 10.8.0.0, Maske: 255.255.255.0, Gateway: 192.168.178.57 (Wobei die Maske hier wieder mit 24 Bit geraten ist)

Eigentlich müsst dann die zweite statische Route ausreichen. Ich werde das mal probieren, wenn ich wieder zuhause bin.
Danke.

Geht leider nicht, habe es gerade getestet.
Die Fritzbox (gleichzeitig OpenVPN-Server) leitet die Anfragen vom VPN-Client mit IP 172.16.0.2 nicht intern an die 192.168.178.57 weiter.
Bitte warten ..
Mitglied: aqui
14.02.2018 um 09:59 Uhr
Ein OpenVPN-Server läuft auf der Fritzbox
Die ist dann "gefreezt", richtig ? Anders wäre es ja nicht möglich !
Eigentlich müsst dann die zweite statische Route ausreichen.
Ja, das stimmt. Wenn der OVPN Server auf der FB ist dann reicht für den natürlich die Default Route an den Clients.
Wenn du ein route print an den (Windows) Clients eingibst bei aktivem VPN Tunnel kannst du immer sehen welche Routen automatisch auf den Client gepusht werden.
Geht leider nicht, habe es gerade getestet
Dann hast du ein Firwall Problem der lokalen Firewall auf Server oder Client !
Wenn das Winblows ist musst du immer das Profil des Interfaces auf Privat ändern. Durch die scheiternde Gateway Discovery setzt Windows das Profil auf Öffentlich und blockiert damit dann jeglichen Traffic !
Bitte warten ..
Mitglied: morrasen
14.02.2018 um 10:06 Uhr
Die Fritzbox (gleichzeitig OpenVPN-Server) leitet die Anfragen vom VPN-Client mit IP 172.16.0.2 nicht intern an die 192.168.178.57 weiter.

Alle anderen Geräte die an der Fritzbox hängen sind aber erreichbar. Nur eben die 192.168.178.57 nicht, weil diese als OpenVPN-Client mit dem OpenVPN-Server vom VPS verbunden ist.
Bitte warten ..
Mitglied: LordGurke
14.02.2018 um 10:14 Uhr
Und du bist dir sicher, dass die Fritzbox die Pakete wirklich nicht routet?
Lausche doch mal mit Wireshark auf dem Client am OpenVPN-Interface und sieh dir an, ob die Pakete da ankommen.
Bitte warten ..
Mitglied: morrasen
14.02.2018, aktualisiert um 11:44 Uhr
Ja, es kommen keine Pakete auf 192.168.178.57 an.
Ein tracert 192.168.178.57 zeigt als ersten Eintrag 172.16.0.1 Fritzbox, danach ist Ende.
Bitte warten ..
Mitglied: aqui
14.02.2018 um 15:57 Uhr
Ja, es kommen keine Pakete auf 192.168.178.57 an.
Entweder forwardet die FB das dann also nicht oder die lokale Firewall am 192.168.178.57 schlägt zu !

Sinnvoll wäre es wenn du den LAN Port von der FB mal snifferst mit dem Wireshark.
Das würde zumindestens klären ob die FB versucht den .57er Rechner zu erreichen (ARP Request).
Kann man also ARPs der FB auf die .57 sehen dann ist es nicht die FB sondern die Firewall des .57er Rechners.
Auch wenn der nicht antwortet timed der Traceroute dann an der 172.16.0.1 aus.
Was sagt zudem ein route print am remoten Client ?
Siehst du dort eine Route für das 192.168.178.0 /24 Netz in den VPN Tunnel ??
Bitte warten ..
Mitglied: morrasen
15.02.2018 um 07:27 Uhr
Route print zeigt mir eine Route für 192.168.178.0 255.255.255.0 Gateway 172.16.0.5 in den VPN Tunnel.
Der Rechner mit 192.168.178.57 ist ein raspberry, auf dem debian läuft. Wenn dieser nicht mit dem OpenVPN-Server vom VPS verbunden ist, bekomme ich eine Verbindung über den VPN-Client 172.16.0.2.
Im internen Netzwerk 192.168.178.0 komme ich von jedem Rechner auf den raspberry, egal ob er mit dem VPN-Server verbunden ist oder nicht.
Bitte warten ..
Mitglied: aqui
15.02.2018 um 16:47 Uhr
Route print zeigt mir eine Route für 192.168.178.0 255.255.255.0 Gateway 172.16.0.5 in den VPN Tunnel.
So sollte es sein. Das ist dann richtig.
Hilfreich um weiterzukommen wäre mal die OVPN Konfig Datei für den RasPi. Es kann eigentlich nur sein das du dort mit "push "redirect-gateway def1"" eine Gateway Redirection machst.
Damit dann zwar der RasPi immer lokal erreichbar aber sowie er z.B. Pakete bekommt die eine Absender IP aus einem fremden Netz haben (wie dein VPN Client) er dann durch das erzwungene Gateway Redirect diese Pakte zwangsweise in den VPN Tunnel das RasPis sendet.
Damit gehen dann die Antwortpakete für den VPN Client 172.16.0.2 ins Nirwana....
Works as designed...
Ein Gateway Redirect wäre dann natürlich eine falsche Konfig !! Leider kam zu dem Punkt bis dato keinerlei Feedback von dir
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Routen bei openvpn
Frage von davmanNetzwerkgrundlagen4 Kommentare

Hallo zusammen Ich habe ein Problem mit openvpn. Ich habe folgendes Netzwerk. Rechner A (Ubuntu) -> lan -> DSLRouter ...

Windows Netzwerk

Verbindung zu OpenVPN Server schlägt fehlt

Frage von HuperisWindows Netzwerk4 Kommentare

Hallo zusammen, ich habe folgendes Szenario: Ich habe einen vServer bei Strato gemietet auf dem eine Dateifreigabe sowie ein ...

Netzwerke

OpenVPN-Server auf Router, Geschwindigkeit

gelöst Frage von arvaxtrNetzwerke11 Kommentare

Hallo Leute, ich habe auf meinem Router (Asus RT-AC68U) die Funktion OpenVPN-Server aktiviert. Ziel ist es, unterwegs mich mit ...

Router & Routing

Alternative - Router die OPENVPN unterstützen

gelöst Frage von planetITRouter & Routing9 Kommentare

Liebe Community, im Bereich Standordvernetzung setzen wir auf IPSec und OpenVPN. Warum Open VPN: OpenVPN ist mit eins der ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 41 MinutenGoogle Android

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 StundeSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 4 StundenMicrosoft2 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 22 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server35 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

CPU, RAM, Mainboards
32 gb RAM zu wenig?
Frage von pcguyCPU, RAM, Mainboards13 Kommentare

Hallo zusammen, mein PC verfügt über 32GB Ram. Nun kriege ich bei grossen Dateien im Illustrator die Fehlermeldung das ...

Google Android
Welche nützliche kostenpflichtige Android-Apps nutzt ihr?
Frage von DennisWeberGoogle Android12 Kommentare

Hallo Leute, mal eine Frage: Welche Android App habt ihr gekauft was ihr für sehr nützlich findet? Gemeind sind ...