137766
Nov 07, 2018, updated at Nov 28, 2018 (UTC)
11529
27
0
Zwei Netzwerke über OpenVPN dauerhaft verbinden
Hallo,
ich möchte gerne dauerhaft von meinem Heim-Netzwerk auf Netzwerk-Resourcen (Webcam etc.) in meinem entfernten Gartenhaus zugreifen.
Zuhause: Fritzbox 6360, Internetzugang mit öffentlicher IP, DYNDNS eingerichtet, Raspi mit Domoticz(Smarthome), Netzwerk 192.168.178.0
Gartenhaus: Fritzbox 7272, Internetzugang über Prepaid-Stick, Keine öffentliche IP, Raspi mit Domoticz(Smarthome), Webcam, Netzwerk 192.168.177.0
Die Netzwerke über die Fritzboxen über VPN zu verbinden scheitert an der nicht vorhandenen öffentlichen IP auf der Garten-Seite.
Meine Idee wäre nun:
OpenVPN Server auf dem Raspi zu Hause mit Autostart
OpenVPN Client auf dem Raspi im Gartenhaus mit Autostart und Autoconnect zum Server
Meine Frage an die Expertenrunde:
Geht das mit dieser Konfiguration und kann ich dann auch vom Netz des Servers aus auf Geräte im Netz des Clients zugreifen ?
Wie genau muß ich die Installation/Configuration auf Server und Client machen ? Gibt es dafür Tutorials ?
ich möchte gerne dauerhaft von meinem Heim-Netzwerk auf Netzwerk-Resourcen (Webcam etc.) in meinem entfernten Gartenhaus zugreifen.
Zuhause: Fritzbox 6360, Internetzugang mit öffentlicher IP, DYNDNS eingerichtet, Raspi mit Domoticz(Smarthome), Netzwerk 192.168.178.0
Gartenhaus: Fritzbox 7272, Internetzugang über Prepaid-Stick, Keine öffentliche IP, Raspi mit Domoticz(Smarthome), Webcam, Netzwerk 192.168.177.0
Die Netzwerke über die Fritzboxen über VPN zu verbinden scheitert an der nicht vorhandenen öffentlichen IP auf der Garten-Seite.
Meine Idee wäre nun:
OpenVPN Server auf dem Raspi zu Hause mit Autostart
OpenVPN Client auf dem Raspi im Gartenhaus mit Autostart und Autoconnect zum Server
Meine Frage an die Expertenrunde:
Geht das mit dieser Konfiguration und kann ich dann auch vom Netz des Servers aus auf Geräte im Netz des Clients zugreifen ?
Wie genau muß ich die Installation/Configuration auf Server und Client machen ? Gibt es dafür Tutorials ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 391919
Url: https://administrator.de/contentid/391919
Printed on: April 23, 2024 at 20:04 o'clock
27 Comments
Latest comment
Hallo,
Vermutlich wirst du schon daran scheitern, dass die Ports nicht offen sind (@Gartenhaus), das wäre als erstes zu prüfen. Daneben ist auch fraglich, ob die FB 6360 überhaupt die notwendigen Ports bereitstellt, das am einfachsten über eine andere Box testen.
VG
Vermutlich wirst du schon daran scheitern, dass die Ports nicht offen sind (@Gartenhaus), das wäre als erstes zu prüfen. Daneben ist auch fraglich, ob die FB 6360 überhaupt die notwendigen Ports bereitstellt, das am einfachsten über eine andere Box testen.
VG
Mein Plan war, den Port 443 für OpenVPN zu nutzen. Der sollte überall offen sein und in die Richtung brauche ich sonst kein HTTPS.
Wichtig ist, dass die VPN Verbindung von Deinem Gartenhaus initiiert wird, da LTE und Co. keine brauchbare IP liefert, die man mit DynDNS verwursten könnte.
Das sollten auch die Fritten hinbekommen.
Gruß
Looser
Das sollten auch die Fritten hinbekommen.
Gruß
Looser
Schon klar. Nur genau das bekommen die Fritten eben nicht hin.
Wenn man der offiziellen AVM Anleitung zur Verbindung von zwei Fritten über VPN folgt,
dann kann man nämlich gar nicht angeben, welche Fritte die Verbindung initiiert.
Möglicherweise wird auch der Standard-VPN-Port nicht durch die Prepaid-Internet-Verbindung durchgelassen.
Der läßt sich aber auf den Fritten nicht verändern.
Daher die Idee mit OpenVPN auf den Raspis.
Gruß
Claus
Wenn man der offiziellen AVM Anleitung zur Verbindung von zwei Fritten über VPN folgt,
dann kann man nämlich gar nicht angeben, welche Fritte die Verbindung initiiert.
Möglicherweise wird auch der Standard-VPN-Port nicht durch die Prepaid-Internet-Verbindung durchgelassen.
Der läßt sich aber auf den Fritten nicht verändern.
Daher die Idee mit OpenVPN auf den Raspis.
Gruß
Claus
Zitat von @137766:
Schon klar. Nur genau das bekommen die Fritten eben nicht hin.
Wenn man der offiziellen AVM Anleitung zur Verbindung von zwei Fritten über VPN folgt,
dann kann man nämlich gar nicht angeben, welche Fritte die Verbindung initiiert.
Möglicherweise wird auch der Standard-VPN-Port nicht durch die Prepaid-Internet-Verbindung durchgelassen.
Der läßt sich aber auf den Fritten nicht verändern.
Daher die Idee mit OpenVPN auf den Raspis.
Gruß
Claus
Schon klar. Nur genau das bekommen die Fritten eben nicht hin.
Wenn man der offiziellen AVM Anleitung zur Verbindung von zwei Fritten über VPN folgt,
dann kann man nämlich gar nicht angeben, welche Fritte die Verbindung initiiert.
Möglicherweise wird auch der Standard-VPN-Port nicht durch die Prepaid-Internet-Verbindung durchgelassen.
Der läßt sich aber auf den Fritten nicht verändern.
Daher die Idee mit OpenVPN auf den Raspis.
Gruß
Claus
M.M.n. bekommen die Fritten das hin, aber egal. Den Port lassen die durch. Schließlich kann man auch vom Handy aus VPN aufbauen.
Hallo,
so wie du das beschrieben hast, würde dein Vorhaben ohne Probleme funktionieren.
Wichtig ist, dass du den OpenVPN Server bei dir zu Hause betreibst, wo du auch eine dynamische öffentliche IP + DynDNS hast.
Beim Gartenhaus soll sich der Raspberry Pi sich bei dem OpenVPN Server einwählen.
Den Port ggf. auf Port 443 ändern, falls der Provider andere Ports u.a. der Standardport für OpenVPN 1194 gesperrt hat.
Ansonsten gibt es keine Besonderheiten für dein Vorhaben.
Einfach einen ganz normalen OpenVPN Server bereitstellen. Dazu findest du tausende Tutorials im Netz.
https://openvpn.net/community-resources/how-to/
Viele Grüße,
Exception
so wie du das beschrieben hast, würde dein Vorhaben ohne Probleme funktionieren.
Wichtig ist, dass du den OpenVPN Server bei dir zu Hause betreibst, wo du auch eine dynamische öffentliche IP + DynDNS hast.
Beim Gartenhaus soll sich der Raspberry Pi sich bei dem OpenVPN Server einwählen.
Den Port ggf. auf Port 443 ändern, falls der Provider andere Ports u.a. der Standardport für OpenVPN 1194 gesperrt hat.
Ansonsten gibt es keine Besonderheiten für dein Vorhaben.
Einfach einen ganz normalen OpenVPN Server bereitstellen. Dazu findest du tausende Tutorials im Netz.
https://openvpn.net/community-resources/how-to/
Viele Grüße,
Exception
Geht das mit dieser Konfiguration
Ja, geht natürlich problemlos.Guckst du auch hier:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
https://jankarres.de/2014/10/raspberry-pi-openvpn-vpn-client-installiere ...
Mit einem Orange Pi Zero wirds sogar noch preiswerter
https://www.ebay.de/itm/Orange-Pi-Zero-H2-Quad-Core-Open-source-256MB-De ...
Oder auch ein RasPi Zero reicht, dann brauchst du allerdings noch einen LAN Adapter mit Micro USB Anschluss.
Es sei denn WLAN reicht dir ?!
https://buyzero.de/collections/boards-kits/products/raspberry-pi-zero-w? ...
https://www.amazon.de/Plugable-Ethernet-Kompatible-Raspberry-AX88772A/dp ...
Da ist der Orange Pi besser da er alles on Board hat.
Vielen Dank an Alle für die guten Tipps !
Habe es jetzt hinbekommen, sowohl mit dem direkten Verbinden der Fritzboxen
als auch mit OpenVPN-Server auf dem Raspberry.
Gruß
Claus
Habe es jetzt hinbekommen, sowohl mit dem direkten Verbinden der Fritzboxen
als auch mit OpenVPN-Server auf dem Raspberry.
Gruß
Claus
Dann kannst du dir ja das Schönste von beiden aussuchen
So jetzt brauche ich doch nochmal Eure Hilfe.
Also die Fritten-Verbindung hat sich als äußerst instabil herausgestellt.
Daher habe ich also nochmal eine saubere OpenVPN Installation auf den beiden Raspis aufgesetzt,
die prinzipiell auch funktioniert. Allerdings kann ich zwar vom Garten-Netzwerk auf das Heim-Netzwerk zugreifen,
aber nicht umgekehrt - und genau das brauche ich natürlich.
Die Routen habe ich gesetzt, aber es geht trotzdem nicht.
Heim-Netzwerk:
192.168.178.0/24
OpenVPN Server auf Raspi (192.168.178.63)
TUN: 10.8.0.1
sudo ip route add 192.168.177.0/24 via 10.8.0.1
ping 10.8.0.6 => funktioniert
ping 192.168.177.24 => funktioniert NICHT
Garten-Netzwerk:
192.168.177.0/24
OpenVPN Client auf Raspi (192.168.177.24)
TUN: 10.8.0.6
sudo ip route add 192.168.178.0/24 via 10.8.0.6
ping 10.8.0.1 => funktioniert
ping 192.168.178.63 => funktioniert
Was mache ich hier falsch ?
Also die Fritten-Verbindung hat sich als äußerst instabil herausgestellt.
Daher habe ich also nochmal eine saubere OpenVPN Installation auf den beiden Raspis aufgesetzt,
die prinzipiell auch funktioniert. Allerdings kann ich zwar vom Garten-Netzwerk auf das Heim-Netzwerk zugreifen,
aber nicht umgekehrt - und genau das brauche ich natürlich.
Die Routen habe ich gesetzt, aber es geht trotzdem nicht.
Heim-Netzwerk:
192.168.178.0/24
OpenVPN Server auf Raspi (192.168.178.63)
TUN: 10.8.0.1
sudo ip route add 192.168.177.0/24 via 10.8.0.1
ping 10.8.0.6 => funktioniert
ping 192.168.177.24 => funktioniert NICHT
Garten-Netzwerk:
192.168.177.0/24
OpenVPN Client auf Raspi (192.168.177.24)
TUN: 10.8.0.6
sudo ip route add 192.168.178.0/24 via 10.8.0.6
ping 10.8.0.1 => funktioniert
ping 192.168.178.63 => funktioniert
Was mache ich hier falsch ?
Nachschlag:
Habe mich hier schlau gemacht:
https://community.openvpn.net/openvpn/wiki/RoutedLans
Jetzt sieht es so aus:
Heim-Netzwerk:
192.168.178.0/24
OpenVPN Server auf Raspi (192.168.178.63)
TUN: 10.8.0.1
Garten-Netzwerk:
192.168.177.0/24
OpenVPN Client auf Raspi (192.168.177.24)
TUN: 10.8.0.10
Wenn ich die Pings von den jeweiligen Raspis starte,
dann kann ich jetzt alle Netzwerkteilnehmer auf der jeweiligen anderen Seite erreichen.
In meinem Heimnetz habe ich jetzt noch eine statische Route auf der Fritzbox (192.168.178.1) angelegt:
Netzwerk Subnetz Gateway
192.168.177.0 255.255.255.0 192.168.178.63
Jetzt kann ich zwar von jedem Rechner in meinem Heimnetz den Raspi im Gartennetz erreichen (192.168.177.24),
aber kein anderes Netzwerkgerät im Gartennetz.
Was ist da los ?
Habe mich hier schlau gemacht:
https://community.openvpn.net/openvpn/wiki/RoutedLans
Jetzt sieht es so aus:
Heim-Netzwerk:
192.168.178.0/24
OpenVPN Server auf Raspi (192.168.178.63)
TUN: 10.8.0.1
Garten-Netzwerk:
192.168.177.0/24
OpenVPN Client auf Raspi (192.168.177.24)
TUN: 10.8.0.10
Wenn ich die Pings von den jeweiligen Raspis starte,
dann kann ich jetzt alle Netzwerkteilnehmer auf der jeweiligen anderen Seite erreichen.
In meinem Heimnetz habe ich jetzt noch eine statische Route auf der Fritzbox (192.168.178.1) angelegt:
Netzwerk Subnetz Gateway
192.168.177.0 255.255.255.0 192.168.178.63
Jetzt kann ich zwar von jedem Rechner in meinem Heimnetz den Raspi im Gartennetz erreichen (192.168.177.24),
aber kein anderes Netzwerkgerät im Gartennetz.
Was ist da los ?
Guten Abend,
vermutlich fehlt die Rückroute. Hast du bei dem Router im Gartennetz auch eine statische Route auf das Heimnetz eingerichtet?
IP Forwarding ist auf dem Raspberry Pi im Garten aktiviert?
Ist auf dem Raspberry Pi iptables aktiv? Wenn ja sind im Forward Chain entsprechende Regeln vorhanden?
Viele Grüße
Exception
aber kein anderes Netzwerkgerät im Gartennetz.
vermutlich fehlt die Rückroute. Hast du bei dem Router im Gartennetz auch eine statische Route auf das Heimnetz eingerichtet?
IP Forwarding ist auf dem Raspberry Pi im Garten aktiviert?
Ist auf dem Raspberry Pi iptables aktiv? Wenn ja sind im Forward Chain entsprechende Regeln vorhanden?
Viele Grüße
Exception
Guten Morgen,
Statische Route auf das Heimnetz ist im Gartennetz eingerichtet.
IP Forwarding ist auf beiden Raspis aktiviert.
Folgender iptables Eintrag wurde auf beiden Raspis eingerichtet:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Ich kann ja nun von den beiden Raspis jeweils alle Rechner im entfernten Netz erreichen.
Ich kann auch von allen anderen Rechnern in Heimnetz den Raspi im Gartennetz erreichen.
Die anderen Geräte im Gartennetz kann ich allerdings nur vom Raspi im Heimnetz erreichen,
nicht aber von anderen Rechnern im Heimnetz.
Ich denke also das Problem liegt eher beim Routing im Heimnetz,
weiss aber nicht, wie ich das lösen kann.
Die Route ins Gartennetz habe ich ja auf dem Fritzbox-Router im Heimnetz eingetragen (siehe mein letzter Beitrag)
Viele Grüße
Claus
Statische Route auf das Heimnetz ist im Gartennetz eingerichtet.
IP Forwarding ist auf beiden Raspis aktiviert.
Folgender iptables Eintrag wurde auf beiden Raspis eingerichtet:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Ich kann ja nun von den beiden Raspis jeweils alle Rechner im entfernten Netz erreichen.
Ich kann auch von allen anderen Rechnern in Heimnetz den Raspi im Gartennetz erreichen.
Die anderen Geräte im Gartennetz kann ich allerdings nur vom Raspi im Heimnetz erreichen,
nicht aber von anderen Rechnern im Heimnetz.
Ich denke also das Problem liegt eher beim Routing im Heimnetz,
weiss aber nicht, wie ich das lösen kann.
Die Route ins Gartennetz habe ich ja auf dem Fritzbox-Router im Heimnetz eingetragen (siehe mein letzter Beitrag)
Viele Grüße
Claus
die prinzipiell auch funktioniert.
Wieso nur prinzipiell ?Was mache ich hier falsch ?
Das du im Betriebssystem Routen hinzufügst !Das ist Blödsinn und das macht man IMMER über die OVPN Konfig, niemals aber im Bestriebssystem !
Die Routen sollen nur dann zugefügt werden wenn der VPN Tunnel steht, also dynamisch und nur so macht es Sinn !
Passe also deine OVPN Konfig entsprechend an dazu !
Das Kommando netstat -r -n Zeigt dir dann immer die aktuelle Routing Tabelle an.
aber kein anderes Netzwerkgerät im Gartennetz. Was ist da los ?
Wenn das Winblows Rechner sind dann schlägt dort die lokale Firewall zu !Pingen ist dort immer deaktiviert, das musst du erst wieder aktivieren:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Folgender iptables Eintrag wurde auf beiden Raspis eingerichtet:
Das ist FALSCH !!Damit machst du NAT auf den RasPis und schaffst dir auf beiden Seiten eine NAT Firewall die den transparenten Zugriff auf Endgeräte in den beiden lokalen LANs sicher verhindert !
Das ist Blödsinn und solltest du so schnell wie möglich wieder entfernen ! KEIN NAT auf den OVPN Komponenten.
Das hier sind deine einzigen ToDos:
- IPv4 Forwarding (Routing) unbedingt auf den beiden RasPis aktivieren ! (Im Default ist das AUS) Das geht mit Editieren der Datei /etc/sysctl.conf und Entkommentieren der Zeile #net.ipv4.ip_forward=1 (# entfernen) und anschliessendem Reboot !
- Statische Routen der jeweils gegenüberligenden IP Netz und des internen OVPN Netzes auf den FritzBoxen
- Anpassung der lokalen Winblows Firewall
- Fertisch !
Hi Aqui,
habe Deine ToDos umgesetzt und jetzt geht es wunderbar.
Allerdings nicht ohne die NAT Einträge mit iptables.
Wenn ich die rausnehme, dann geht nichts mehr.
Ich hatte übrigens keine statischen Routen im Betriebssystem gesetzt,
sondern nur über die conf Dateien von OVPN, da hatte ich mich falsch ausgedrückt.
Ping auf Winblows brauche ich nicht.
Danke nochmals.
Gruß
Claus
habe Deine ToDos umgesetzt und jetzt geht es wunderbar.
Allerdings nicht ohne die NAT Einträge mit iptables.
Wenn ich die rausnehme, dann geht nichts mehr.
Ich hatte übrigens keine statischen Routen im Betriebssystem gesetzt,
sondern nur über die conf Dateien von OVPN, da hatte ich mich falsch ausgedrückt.
Ping auf Winblows brauche ich nicht.
Danke nochmals.
Gruß
Claus
Guten Abend,
dann hast du noch ein Problem beim Routing. Nutzen die Clients den Raspberry Pi als Gateway?
Falls die Clients den Raspberry Pi nicht als Gateway verwenden, wurde bei dem Router eine statische (Rück)Route hinterlegt?
Mach mal am besten eine kleinen Netzplan und poste bitte die OpenVPN Server Config und ggf. die Routing Tabelle.
Viele Grüße
Exception
Allerdings nicht ohne die NAT Einträge mit iptables.
Wenn ich die rausnehme, dann geht nichts mehr.
Wenn ich die rausnehme, dann geht nichts mehr.
dann hast du noch ein Problem beim Routing. Nutzen die Clients den Raspberry Pi als Gateway?
Falls die Clients den Raspberry Pi nicht als Gateway verwenden, wurde bei dem Router eine statische (Rück)Route hinterlegt?
Mach mal am besten eine kleinen Netzplan und poste bitte die OpenVPN Server Config und ggf. die Routing Tabelle.
Viele Grüße
Exception
Kollege @129580 hat Recht !
Das zeigt deutlich das du wieder vergessen hast das IPv4 Forwarding auf BEIDEN RasPis zu aktivieren !
Editiere mit dem Nano Editor dort die Datei /etc/sysctl.conf und entkommentiere die Zeile #net.ipv4.ip_forward=1 (# entfernen) und anschliessendem Reboot !
Es geht de facto natürlich auch OHNE die vollkommen überflüssigen NAT Einträge. Ein Testaufbau mit einem RasPi und einem RasPi Zero hier zeigt das eindeutig. Irgendwas machst du also noch falsch !
Das zeigt deutlich das du wieder vergessen hast das IPv4 Forwarding auf BEIDEN RasPis zu aktivieren !
Editiere mit dem Nano Editor dort die Datei /etc/sysctl.conf und entkommentiere die Zeile #net.ipv4.ip_forward=1 (# entfernen) und anschliessendem Reboot !
Es geht de facto natürlich auch OHNE die vollkommen überflüssigen NAT Einträge. Ein Testaufbau mit einem RasPi und einem RasPi Zero hier zeigt das eindeutig. Irgendwas machst du also noch falsch !
OK. Hier kommt der Netzplan, Routing-Tabellen auf den Fritzboxen und die OVPN Konfig Dateien von Server und Client.
Ich teste das z.Zt. zwischen Heim-Netz und Fewo-Netz. Wenn das funktioniert, dann setzte ich das Garten-Netz nach dem gleichen Prinzip wie das Fewo-Netz auf.
OVPN-Server-Config auf Raspi 192.168.178.63:
ccd/client2-bad auf Raspi 192.168.178.63:
OVPN-Client-Config auf Raspi 192.168.179.63:
Ich teste das z.Zt. zwischen Heim-Netz und Fewo-Netz. Wenn das funktioniert, dann setzte ich das Garten-Netz nach dem gleichen Prinzip wie das Fewo-Netz auf.
dev tun
persist-tun
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
proto tcp
port 1194
route 192.168.177.0 255.255.255.0
route 192.168.179.0 255.255.255.0
route 10.8.0.10
route 10.8.0.11
push "route 192.168.177.0 255.255.255.0"
push "route 192.168.178.0 255.255.255.0"
push "route 192.168.179.0 255.255.255.0"
client-to-client
client-config-dir /etc/openvpn/ccd
push "redirect-gateway def1 bypass-dhcp bypass-dns"
keepalive 10 120
duplicate-cn
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
persist-key
comp-lzo
status /var/log/openvpn-status.log
log-append /var/log/openvpn
verb 3ccd/client2-bad auf Raspi 192.168.178.63:
iroute 192.168.179.0 255.255.255.0
ifconfig-push 10.8.0.11 255.255.255.0OVPN-Client-Config auf Raspi 192.168.179.63:
dev tun
persist-tun
client
proto tcp
remote <MYDYNIP> 443
resolv-retry infinite
ca ca.crt
cert client2-bad.crt
key client2-bad.key
persist-key
comp-lzo
status /var/log/openvpn-status.log
log-append /var/log/openvpn
verb 3
Den ersten gravierenden Fehler sieht man schon in der Server Konfig !!
Niemals sollte hier TCP Encapsulation verwendet werden !! Immer UDP !
Sogar OpenVPN rät dringenst von der Verwendung von TCP ab, da es die Performance verschlechtert und den VPN Overhead massiv vergrößert.
Das solltest du also besser entfernen und dort "proto udp" verwenden !
Die Kommandos "route 10.8.0.10" sind völliger Unsinn und können ersatzlos entfernt werden. Das ist das lokale OVPN Netz was so oder so jeder der beiden Komponenten kennt da es an ihm direkt angeschlossen ist. Eine Route ist also vollkommen überflüssig !
Komplett falsch ebenso die Push Route Kommandos für das .177 und das .179er Netz. Das würde ja schon mit den beiden "route..." Kommandos erledigt. Auch das kann ersatzlos verschwinden.
Noch viel falscher ist das "push "redirect-gateway def1 bypass-dhcp bypass-dns" was eine Gateway Redirection bewirkt also das das Default Gateway der rasPis komplett redirected wird in den Tunnel. Das erklärt auch den Fehler warum es ohne NAT nicht geht.
Das ist in einer LAN zu LAN Kopplung natürlich völliger Unsinn und muss da raus !
Ebenso falsch client-to-client !! Eine Client Kommunikation der VPN Clients untereinander gibt es bei dir ja gar nicht. Kann auch ersatzlos raus !
Noch ein gravierender Fehler:
Server hat proto tcp und port 1194 !!!
Client aber: proto tcp und port 443 !!!
Diese beiden können also so NIEMALS zusammenkommen und einen VPN Tunnel aufbauen !! Klar wenn der eine auf TCP 1194 sendet und der andere aber nur TCP 443 kann !
Dein OpenVPN Log unter /var/log/openvpn-status.log sollte dir das auch sofort zeigen wenn du dir die Log Datei mal mit less /var/log/openvpn-status.log ansiehst !
Beide OVPN Seiten solltest du hier zwingend ! auf proto udp und port 1194 setzen !! (Keine TCP Encapsulierung !!)
Auch die 10er Routen sind vollkommen falsch in den FritzBoxen angelegt !!
Dort sind Hostadressen konfiguriert die dann aber mit einer Netzwerk Subnetzmaske versehen sind, was natürlich völliger Unsinn ist.
Alle löschen und nur eine ! Route ins 10.8.0.0er Netz dort anlegen:
10.8.0.0 Maske: 255.255.255.0 Gateway: 192.168.178.63
Analog natürlich auch noch auf der anderen Seite !
Ne Menge ziemlich gravierender Kardinalsfehler also die es zu bereinigen gibt !
Der Rest ist soweit OK.
Niemals sollte hier TCP Encapsulation verwendet werden !! Immer UDP !
Sogar OpenVPN rät dringenst von der Verwendung von TCP ab, da es die Performance verschlechtert und den VPN Overhead massiv vergrößert.
Das solltest du also besser entfernen und dort "proto udp" verwenden !
Die Kommandos "route 10.8.0.10" sind völliger Unsinn und können ersatzlos entfernt werden. Das ist das lokale OVPN Netz was so oder so jeder der beiden Komponenten kennt da es an ihm direkt angeschlossen ist. Eine Route ist also vollkommen überflüssig !
Komplett falsch ebenso die Push Route Kommandos für das .177 und das .179er Netz. Das würde ja schon mit den beiden "route..." Kommandos erledigt. Auch das kann ersatzlos verschwinden.
Noch viel falscher ist das "push "redirect-gateway def1 bypass-dhcp bypass-dns" was eine Gateway Redirection bewirkt also das das Default Gateway der rasPis komplett redirected wird in den Tunnel. Das erklärt auch den Fehler warum es ohne NAT nicht geht.
Das ist in einer LAN zu LAN Kopplung natürlich völliger Unsinn und muss da raus !
Ebenso falsch client-to-client !! Eine Client Kommunikation der VPN Clients untereinander gibt es bei dir ja gar nicht. Kann auch ersatzlos raus !
Noch ein gravierender Fehler:
Server hat proto tcp und port 1194 !!!
Client aber: proto tcp und port 443 !!!
Diese beiden können also so NIEMALS zusammenkommen und einen VPN Tunnel aufbauen !! Klar wenn der eine auf TCP 1194 sendet und der andere aber nur TCP 443 kann !
Dein OpenVPN Log unter /var/log/openvpn-status.log sollte dir das auch sofort zeigen wenn du dir die Log Datei mal mit less /var/log/openvpn-status.log ansiehst !
Beide OVPN Seiten solltest du hier zwingend ! auf proto udp und port 1194 setzen !! (Keine TCP Encapsulierung !!)
Auch die 10er Routen sind vollkommen falsch in den FritzBoxen angelegt !!
Dort sind Hostadressen konfiguriert die dann aber mit einer Netzwerk Subnetzmaske versehen sind, was natürlich völliger Unsinn ist.
Alle löschen und nur eine ! Route ins 10.8.0.0er Netz dort anlegen:
10.8.0.0 Maske: 255.255.255.0 Gateway: 192.168.178.63
Analog natürlich auch noch auf der anderen Seite !
Ne Menge ziemlich gravierender Kardinalsfehler also die es zu bereinigen gibt !
Der Rest ist soweit OK.
@aqui:
Welcher Rest ?
So sehr ich Deine fachlichen Ratschläge schätze,
so überflüssig ist es, den Fragesteller als Volldeppen erscheinen zu lassen.
Ich habe eben NICHT "wieder vergessen hast das IPv4 Forwarding auf BEIDEN RasPis zu aktivieren".
Das war von Anfang an auf beiden Raspis aktiviert.
TCP Protokoll habe ich sehr bewußt gewählt, da ich auf das OVPN auch über einen Firmenproxy zugreifen möchte,
der kein UDP auf 446 durchlässt.
Natürlich wird der Port 443 auf der Fritzbox 6360 auf den Port 1194 des Raspis geroutet.
So schlau war ich denn auch und wenn Du meine bisherigen Posts nicht nur auf
"Kardinalsfehler" durchforstet hättest, dann wäre Dir aufgefallen, das die Verbindungen sehr wohl funktionieren.
@129580:
Danke für Deine sachliche, nicht anklagende Hilfestellung
Welcher Rest ?
So sehr ich Deine fachlichen Ratschläge schätze,
so überflüssig ist es, den Fragesteller als Volldeppen erscheinen zu lassen.
Ich habe eben NICHT "wieder vergessen hast das IPv4 Forwarding auf BEIDEN RasPis zu aktivieren".
Das war von Anfang an auf beiden Raspis aktiviert.
TCP Protokoll habe ich sehr bewußt gewählt, da ich auf das OVPN auch über einen Firmenproxy zugreifen möchte,
der kein UDP auf 446 durchlässt.
Natürlich wird der Port 443 auf der Fritzbox 6360 auf den Port 1194 des Raspis geroutet.
So schlau war ich denn auch und wenn Du meine bisherigen Posts nicht nur auf
"Kardinalsfehler" durchforstet hättest, dann wäre Dir aufgefallen, das die Verbindungen sehr wohl funktionieren.
@129580:
Danke für Deine sachliche, nicht anklagende Hilfestellung
Welcher Rest ?
Der in der OVPN Konfig und auf den FBs natürlich War nicht beabsichtigt so. Da musst du wohl was ziemlich missverstanden haben. Allerdings sollte man auch etwas Rückgrat mitbringen in einem Administrator Forum wenn man sich dort als Anfänger reinwagt. Etwas mehr Gelassenheit also und weniger missverstehen...
Du hast ja genud andere größere Kardinalsfehler begangen außer der v4 Forwarding Geschichte.
Natürlich wird der Port 443 auf der Fritzbox 6360 auf den Port 1194 des Raspis geroutet.
Geroutet ist natürlich technischer Unsinn, wenn dann ist das Port Translation ! Das erklärt dann natürlich die Port Differenz.TCP ist Performance technisch und auch aus MTU Sicht ein großer Nachteil. OK, wenn du es musst ist es deine Sache... Du darfst dann allerdings auch keine Wunder vom VPN erwarten.
das die Verbindungen sehr wohl funktionieren.
Scheinbar ja nicht...siehe dein Post das mit (überflüssigem) NAT nix geht !Aber sei mal etwas fair zur Community und gehe mal in dich.... Betrachtest du mal deine Konfig erkennst du sicher auch selber was du da verbockt hast. Ob man das so kommentiert wie du selber oben muss jeder für sich entscheiden.
Egal ob man das jetzt mal mit etwas rauherem Wind sagt oder gesungen mit Veilchenduft.... Es ist Freitag und Wochenende...also entspannen !
Und..... deine Konfig korrigieren !
Hallo wäre es möglich einmal die kompletten Routing Einträge zu posten. Ich habe einen Ähnlichen Aufbau. Mein OVPN Server ist ein QNAP NAS und mein OVP Client ist ein GL iNet Router LTE...
Danke
Danke
Hier findest du die vollständige Doku zu solch einem Design:
OpenVPN - Erreiche Netzwerk hinter Client nicht
OpenVPN - Erreiche Netzwerk hinter Client nicht
Ich komme damit nicht so recht klar....bzw kann es auf meinen Aufbau übertragen.Wäre es möglich für jedes Teil die Route anzugeben?
Zum Beispiel...Fritzbox statische Route 192.168.... 255.255.255.0 ...Gateway...Route im LTE Router....Route im NAS OVP Server...
ggf. Routen über VPN IP´s 10.8.0...
Danke
Zum Beispiel...Fritzbox statische Route 192.168.... 255.255.255.0 ...Gateway...Route im LTE Router....Route im NAS OVP Server...
ggf. Routen über VPN IP´s 10.8.0...
Danke
Das musst du sogar, jedenfalls auf der FritzBox !
Auf der FritzBox müssen 2 statische Routen definiert sein:
1.) Zielnetz: 10.8.0.0 Maske: 255.255.255.0 Gateway: 192.168.170.200
2.) Zielnetz: 192.168.180.0 Maske: 255.255.255.0 Gateway: 192.168.170.200
Die zweite Route natürlich nur wenn der LTE Router auch OpenVPN Client ist sonst kann diese entfallen.
Der OVPN Client erhält seine Routen immer dynamisch bei der VPN Einwahl. Dort muss also nix eingetragen werden in puncto Routen. Bei aktivem Client (Windows) kannst du das immer checken wenn du dir mit route print die Routing Tabelle ansiehst. Das macht das Kommando push route... in der Server Konfig Datei.
Also letztlich alles ganz easy und genau wie im o.a. Tutorial beschrieben.
OpenVPN Grundlagen ansonsten auch hier:
Merkzettel: VPN Installation mit OpenVPN
Auf der FritzBox müssen 2 statische Routen definiert sein:
1.) Zielnetz: 10.8.0.0 Maske: 255.255.255.0 Gateway: 192.168.170.200
2.) Zielnetz: 192.168.180.0 Maske: 255.255.255.0 Gateway: 192.168.170.200
Die zweite Route natürlich nur wenn der LTE Router auch OpenVPN Client ist sonst kann diese entfallen.
Der OVPN Client erhält seine Routen immer dynamisch bei der VPN Einwahl. Dort muss also nix eingetragen werden in puncto Routen. Bei aktivem Client (Windows) kannst du das immer checken wenn du dir mit route print die Routing Tabelle ansiehst. Das macht das Kommando push route... in der Server Konfig Datei.
Also letztlich alles ganz easy und genau wie im o.a. Tutorial beschrieben.
OpenVPN Grundlagen ansonsten auch hier:
Merkzettel: VPN Installation mit OpenVPN
Danke erst einmal...
Wenn ich mich mit einem weiteren Rechner am OVPN Server anmelde, kann ich leider nicht ins Subnetz 192.168.180.0 kommen. Ist dafür ein weiteres Routing nötig??
Wenn ich mich mit einem weiteren Rechner am OVPN Server anmelde, kann ich leider nicht ins Subnetz 192.168.180.0 kommen. Ist dafür ein weiteres Routing nötig??
Nein, denn wie obe;n bereits beschrieben wird jedem Client ja automatisch alle relevanten Routen beim VPN Dialin übertragen. Siehe Open VPN Merkzettel Tutorial ! (Bitte lesen)
Es ist also de facto irgendetwas falsch an deiner OpenVPN Konfigurations Datei.
Ohne das du die hier einmal postest zum Troubleshooten und auch mal ein route Print des aktiven Client (Windows) können wir hier nur im freien Fall raten wie du sicher auch selber weißt.
Etwas mehr Infos für eine zielführende Hilfe und Lösung benötigen wir also schon.
Konfig des Servers und des Clients und die Routing Tabelle des aktiven Clients sind das Mindeste.
Es ist also de facto irgendetwas falsch an deiner OpenVPN Konfigurations Datei.
Ohne das du die hier einmal postest zum Troubleshooten und auch mal ein route Print des aktiven Client (Windows) können wir hier nur im freien Fall raten wie du sicher auch selber weißt.
Etwas mehr Infos für eine zielführende Hilfe und Lösung benötigen wir also schon.
Konfig des Servers und des Clients und die Routing Tabelle des aktiven Clients sind das Mindeste.
