Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst RoadWarrior OpenVPN funktioniert nur in Richtung Client

Mitglied: orcape

orcape (Level 2) - Jetzt verbinden

25.02.2013, aktualisiert 19:24 Uhr, 3795 Aufrufe, 6 Kommentare

Hallo Leute,
Ein funktionierender OpenVPN-Tunnel bleibt eine Einbahnstraße.
Ist der Surfstick schuld ?

Ich habe pfSense auf einem ALIX installiert. Darauf laufen bereits 2 separate OpenVPN-Tunnel als funktionierende LAN-to-LAN Verbindung.
Da ich WAN-seitig keine feste IP habe, läuft das ganze mit DynDNS seit Monaten problemlos.
Nun habe ich einen weitern Tunnel als RoadWarrior aufgebaut, der nur dazu dienen soll, meinen Laptop von unterwegs mit dem Fileserver im Homenetz zu verbinden.
Zum Test habe ich zu Hause mal einen RTL-Prepaid Surfstick in den Laptop gesteckt, um den Tunnel mal zu checken.
Das Signal war mit gerade mal 20 % nicht gerade berauschend aber ich hatte Internetverbindung.
Der Tunnel funktioniert auch, leider nur nicht wie gewünscht.
Ich habe ssh-Verbindung von meinem Rechner im LAN der pfSense, zum Laptop.
Trotz in der pfSense gesetzter Rules, push "route zum Fileserver" und stehender Tunnelverbindung, ist keine Verbindung vom Laptop zur pfSense bzw. zum Fileserver möglich.
Anpingen kann ich vom Laptop aus nur die Tunnel-IP auf dem Laptop, die auf dem Server ist nicht pingbar, obwohl der Tunnel nach wie vor funktioniert und keine Fehlermeldungen bringt.
Die Routing Tabellen würde ich auch für OK halten.
Nun habe ich im Netz darüber leider nur wiedersprüchliches gelesen, was UMTS-Provider betrifft.
Könnte das Problem mit dem Surfstick zu tun haben ?
Gruß und Danke
orcape
Mitglied: aqui
25.02.2013 um 20:25 Uhr
Firewall Rules hast du richtig gesetzt bzw. mal ins Firewall Log geschaut ob da was geblockt wird ?
Lokale Server Firewalls entsprechend angepasst um den Zugriff zu erlauben ?
Bitte warten ..
Mitglied: orcape
25.02.2013, aktualisiert 26.02.2013
Hi aqui,
die WAN-Rule mit dem Tunnelport passt und der OpenVPN Eintrag zum Fileserver stimmt auch.
Müsste also eigentlich funktionieren. In den Firewall-Logs steht auch nichts.
Ich muss das noch mal von einem Fremdnetz ohne den Stick checken.
Dir ist auch nicht bekannt, ob da bei den Providern vielleicht NAT gemacht wird und das dann in eine Richtung geblockt wird.
Der Tunnel geht trotzdem, weil ja der Server auf der pfSense ist ?
Gruß orcape

Hier steht eventuell die Ursache...
http://www.lawblog.de/index.php/archives/2010/04/19/anonym-uber-umts/
Bitte warten ..
Mitglied: orcape
24.05.2013, aktualisiert 25.05.2013
Hi,

ich bin leider trotz einiger Recherchen im Netz nicht so richtig zum Ziel gekommen.
Der Tunnel steht, zumindest für ICMP und ssh weiter als Einbahnstraße.
nmap meldet mir "host down" für meine DMZ und für mein LAN.
Eingabe vom OpenVPN-Client aus.....
root@schrotti:/#ip r s
default via 192.168.0.1 dev wlan0 proto static
10.15.8.1 via 10.15.8.5 dev tun0
10.15.8.5 dev tun0 proto kernel scope link src 10.15.8.6
169.254.0.0/16 dev wlan0 scope link metric 1000
192.168.0.0/24 dev wlan0 proto kernel scope link src 192.168.0.100
192.168.155.0/24 via 10.15.8.5 dev tun0
Also ist mein Netz (192.168.155.0/24) über den Tunnel auch erreichbar.
Fakt ist, der Provider blockt hier einiges einfach ab, was wohl "NAPT" zuzuschreiben ist.

Gruß orcape
Bitte warten ..
Mitglied: aqui
25.05.2013, aktualisiert um 14:24 Uhr
Mit dem Provider kann es nichts zu tun haben ! Du hast einen SSL Tunnel mit UDP 1194, wenn der Fehlerfrei aufgebaut wird ist der Provider raus.
Alle Produktivdaten werden verschlüsselt im Tunnel selber übertragen. Daten im Tunnel sind somit vollkommen intransparent, sprich unsichtbar für den Provider.
Stell dir das wie einen Gartenschlauch vor. Der Provider sieht nur den Schlauch selber, nicht aber das Wasser was in ihm fliesst ! Er weiss noch nichtmal ob Wasser, Cola oder Bier im Gartenschlauch ist !
Folglich kann er also niemals dedizierte Inhalte aus dem "Schlauch" selber filtern.
Es sieht weiterhin irgendwie stark nach einem Regelfehler in der Firewall aus oder...nach einer Fehlkonfiguration lokaler Firewalls der Endsysteme.
Bedenek das du die Regeln beidseitig ! auf beiden Endgeräte Interfaces anpassen musst oder erstmal mit any zu any auf "Scheunentor" stellen solltest zum Test.
Bitte warten ..
Mitglied: orcape
25.05.2013, aktualisiert um 19:46 Uhr
Hi Aqui,

Du hast einen SSL Tunnel mit UDP 1194, wenn der Fehlerfrei aufgebaut wird ist der Provider raus.
Der Tunnel steht und ist auch von Serverseite aus problemlos nutzbar. Zugriff per ssh auf Linux-Client kein Thema.
Die Einstellungen auf der Serverseite (pfSense) sind identisch mit denen von 2 weiteren Tunneln, die problemlos funktionieren.
Der OpenVPN-Linux-Client ist "jungfräulich", d.h. iptables ist installiert aber keine Rule gesetzt.
Der UMTS-WLAN-Router hat keine Firewall aktiviert (NAT ist aus) unabhängig davon, nur mit UMTS-Stick, gleiches Ergebnis.
nmap liefert folgende Ergebnisse meines pfSense-DMZ-Interfaces vom Linux- (OpenVPN-Client) aus....
root@schrotti:/#nmap -sU 172.16.7.1
Starting Nmap 6.00 ( http://nmap.org ) at 2013-05-25 14:46 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.05 seconds
und....
root@schrotti:/#nmap -Pn 172.16.7.1
Starting Nmap 6.00 ( http://nmap.org ) at 2013-05-25 15:47 CEST
Nmap scan report for 172.16.7.1
Host is up.
All 1000 scanned ports on 172.16.7.1 are filtered
Nmap done: 1 IP address (1 host up) scanned in 201.39 seconds
Gleiche Ergebnisse bei Zugriff auf das LAN-Interface.
Es werden definitiv die Pings geblockt, warum auch immer...
Der Versuch mit ssh....
root@schrotti:/#ssh -w 172.16.7.1
Bad tun device '172.16.7.1'
Siehst Du noch eine Möglichkeit das mit nmap genauer zu lokalisieren.
Wireshark hat mir auch nichts anderes gebracht.
Leider habe ich im Internet dazu nur Halbwahrheiten zu lesen bekommen.
UMTS-Prepaid ist so eine "Grauzone"

Gruß orcape

Kleiner Nachtrag....
root@schrotti:/#nmap -Pn 10.15.8.1
Starting Nmap 6.00 ( http://nmap.org ) at 2013-05-25 18:49 CEST
Nmap scan report for 10.15.8.1
Host is up.
All 1000 scanned ports on 10.15.8.1 are filtered
Nmap done: 1 IP address (1 host up) scanned in 201.59 seconds
Bitte warten ..
Mitglied: orcape
26.05.2013, aktualisiert um 14:52 Uhr
Hi Aqui,

Du hattest wie fast immer mal wieder Recht.
Ich habe noch mal die pfSense Rules gecheckt.
Es war nur eine Rule auf den Server in der DMZ gesetzt, der ist aber im Moment offline.
Eine Rule von OpenVPN auf das pfSense LAN-Interface gesetzt und ich kann dieses pingen und mich per ssh verbinden.
Ändert aber nichts daran, das sich das Servertunnelende 10.15.8.1, vom OpenVPN-Client aus, nicht pingen lässt.
root@schrotti:/#nmap 10.15.8.1
Starting Nmap 6.00 ( http://nmap.org ) at 2013-05-26 14:32 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.04 seconds
.....und.....
root@schrotti:/#nmap -Pn 10.15.8.1
Starting Nmap 6.00 ( http://nmap.org ) at 2013-05-26 14:42 CEST
Nmap scan report for 10.15.8.1
Host is up.
All 1000 scanned ports on 10.15.8.1 are filtered
Nmap done: 1 IP address (1 host up) scanned in 201.41 seconds

nmap lügt nicht...
Hast Du eine Erklärung dafür, die den Provider ausschließt ?

Gruß orcape
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Netzwerk funktioniert nur in eine Richtung mit Gigabit

gelöst Frage von DrChiwagoLAN, WAN, Wireless28 Kommentare

Guten Tag zusammen, da ich leider, auch nach ausgiebiger Suche, keine Lösung für mein Problem finden konnte wende ich ...

Router & Routing

OpenVPN Client zu Client und weiter

gelöst Frage von lasterRouter & Routing9 Kommentare

Hallo, ich habe eine eher generelle Frage. Folgende Konfiguration: ein OpenVPN-Server, einen 'Admin'-Client (A) und weitere Clients (X,Y,Z). Die ...

Router & Routing

OpenVPN: Server2012R2 - Lokales Netzwerk (in zwei Richtungen)

gelöst Frage von Martin-FfMRouter & Routing4 Kommentare

Hallo zusammen, ich habe in einem Rechenzentrum einen Server 2012R2 mit fester IP und einem OpenVPN-Server mit privater IP ...

Windows Netzwerk

OpenVPN als Service funktioniert nicht!

Frage von mike7050Windows Netzwerk6 Kommentare

Hallo, mein Vorhaben ist wie folgt: Ich möchte einen Windows 7 Prof 64bit PC über OpenVPN mit einem Strato ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 3 StundenWindows 102 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 6 StundenAdministrator.de Feedback10 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 23 StundenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...