Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

über OpenVPN auf Client mit 3-Netzwerkarten zugreifen und Routen der Netze

Frage Netzwerke Router & Routing

Mitglied: DerosaMH

DerosaMH (Level 1) - Jetzt verbinden

16.02.2017, aktualisiert 09:28 Uhr, 354 Aufrufe, 10 Kommentare

Hallo
ich probiere seit Tagen das ich einen Zugriff auf die Client-Netze bekomme aber ohne Erfolg
einen aufbau des Netzwerkes habe ich angehängt
ich weis einfach nicht wie ich die Netze Routen soll auf dem Client Routen soll

kann mir jemand einen Tipp geben
unbenannt - Klicke auf das Bild, um es zu vergrößern
Mitglied: michi1983
16.02.2017 um 09:30 Uhr
Hallo,

wundert mich nicht wenn du mit öffentlichen IPs herum hantierst.

Und etwas dürftig sind deine Infos auch um ehrlich zu sein.

Gruß
Bitte warten ..
Mitglied: DerosaMH
16.02.2017 um 09:41 Uhr
Danke für die schnelle Anwort
ich möchte wegen Fernwartung (Anlage wird in Tunesien stehen) auf die SPS zugreifen
auf dem Client-PC läuft eine Anwender Software auf die komme ich ohne Problem drauf
über die Kunden-Netzwerkkarte bekommt die Anlage den zugang zum MSSQL-Server und Internet
an der SPS-Netzwerkkarte hängt nur die SPS(Steuerung der Anlage)
an der Prüfsystemnetzwerkkarte hängt ein Messystem das vom Kundengestellt wird Ip's sollten nicht wenn möglich nicht geändert werden
wegen austausch bei defekt

gibt es eine möglichkeit die SPS auf den Tunnel zu routen und wenn möglich das Prüfsystem auch

Gruß
Bitte warten ..
Mitglied: michi1983
16.02.2017 um 09:56 Uhr
Das ist alles etwas wirr formuliert von dir.

Verstehe ich das richtig:
Du möchtest mittels OpenVPN auf diesen besagten Client-PC (161.33.10.233) zugreifen um von dort aus, dann auf das SPS und auf das Prüfsystem zugreifen zu können?
Auf dem Client-PC läuft bereits ein OpenVPN Server auf den du erfolgreich einen Tunnel aufbauen kannst und Zugriff drauf hast?
Wie sehen die Routen auf diesem Client-PC aus?
route print
Dann halten wir trotzdem fest:
Du verwendest public IPs, das DARFST du nicht!
Ein Windows Client ist die SCHLECHTESTMÖGLICHE Variante so etwas umzusetzen.

Was mir an Infos noch fehlt ist:
WAS/WER stellt den Internetzugang her für diesen Client PC?
Da muss es ja einen Router/Firewall/whatever geben?
Bitte warten ..
Mitglied: aqui
16.02.2017, aktualisiert um 10:16 Uhr
Mmhhh, ist das 161.33er Netz deinst bzw. arbeitest du für Konica Minolta USA ??

NetRange: 161.33.0.0 - 161.33.255.255
CIDR: 161.33.0.0/16
NetName: KONICA-MINOLTA-PRINTING-SOLUTIONS-USA-INC
NetHandle: NET-161-33-0-0-1
NetType: Direct Assignment


Denen ist diese IP weltweit fest zugeteilt worden und es ist sehr töricht wenn du für ein privates Netz deren öffentliche IP nutzt. Jeder Grundschüler weiss heutzutage das man für private Netz den weltweit bekannten RFC 1918 Standard nutzt mit diesen IP Adressen:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Mit öffentlichen IPs ist das natürlich sehr kritisch, aber es sollte dennoch klappen.

Leider ist deine Beschreibung sehr oberflächlich, denn du postest hier weder deine OVPN Server Konfig noch die der Clients.
Dafür wird es auch für uns hier ein ziemlicher Blindflug und wir müssen die Kristallkugel mal wieder zur Hilfe nehmen.
Zudem ist deine Zeichnung ziemlich wirr und extrem unübersichtlich, sorry.
Man schafft es nicht auch nach intensiver Betrachtung daraus zu ersehen wo die VPN Tunnel sind und wer hier mit wem kommuniziert.
Also wenigstens die OVPN Konfig Dateien brauchen wir und eine etwas übersichtlichere Zeichnung so wie du sie hier z.B. im OVPN_Tutorial siehst wären sehr hilfreich um zu einer Lösung zu kommen. Denn funktionieren so wie du es willst tut das ganz sicher.
Sehr hilfreich wäre auch noch ein Output der Routing Tabellen der OVPN Teilnehmer ! (Server u. Client)
Bei aktivem Tunnel bitte mal ein route print posten (Winblows) um zu sehen ob die einzelnen Geräte überhaupt die Routen in deine Zielnetze kennen und du sie entsprechend in den OVPN Konfig Dateien bekannt gemacht hast ?!
Hier liegt meistens der Fehler der gemacht wird. Sehr wahrscheinlich auch bei dir.
Außerdem solltest du die Winblows Firewall immer auf dem Radar haben, denn die treibt auch am virtuellen Tunnel Interface ihr Unwesen und will entsprechend angepasst werden bei OVPN !!
Bitte warten ..
Mitglied: DerosaMH
16.02.2017 um 10:14 Uhr
auf dem Client PC- läuft der OpenVPN-Client der den Tunnel zum Server aufbaut der über DNS erreichbar ist
die Internet Verbindung wird vom Kunden an einer der NKen bereitgestelt
ich habe denn aufbau bei mir mit einen LTE-Router am laufen um das vorher zu Test
es kann schon sein das der Kunde die Verbindung erst in seine Firewall eintragen muss
das muss ich dann mit dem Kunden klären

"Du verwendest public IPs, das DARFST du nicht!"
das verstehe ich nicht

"Ein Windows Client ist die SCHLECHTESTMÖGLICHE Variante so etwas umzusetzen."
das habe ich mir schon gedacht
gibt es eine alternative?

anbei das Routing des Clients
routing - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
16.02.2017, aktualisiert um 10:29 Uhr
an einer der NKen bereitgestelt
Was verstehst du unter "NKen" ?
das der Kunde die Verbindung erst in seine Firewall eintragen muss
Ganz sicher muss er das !! Bitte erst wasserdicht klären bevor wir hier ins Eingemachte gehen !
"Du verwendest public IPs, das DARFST du nicht!"
Machen kann man das schon. Es birgt aber Risiken, denn die IANA IP Range ist nicht für dich registriert. Öffentlich verwendete IP Adressen zu verwenden ist nicht die feine Art und zeigt eher das hier jemand nicht wirklich weiss was er tut beim IP Adressdesign. Gerade und insbesondere wenn man über öffentliche Netze arbeitet.
Das weiss aber jeder Azubi im ersten Lehrjahr heutzutage auch das man so einen Fauxpas nicht macht.
Nichtsdestotrotz wird es auch mit deinen dir nicht gehörenden 161er Adressen klappen.

Die Client Routing Tabelle stimmt soweit. Du hättest sie etwas ökonomischer gestallten können und statt der Einzelnetze einfach ein:
ip route 161.33.0.0 255.255.192.0 <gateway_ip>
In die OVPN Konfig setzen können, dann würden ALLE deine 162.33er Subnetze (von .0.0 bis .63.0) mit einer einzigen Summary Route in den Tunnel geroutet.
Würde auch mit einer /16er Route gehen statt des obigen /18er Prefixes, das beinhaltet dann alle 161.33.0.0er Netze.
Aber egal, es geht auch über die umständliche Art..ist nur aufwändiger vom Routing Setup.
Wenn du mal ein Traceroute auf die Zielnetze oder nur das LAN Interface des Servers machst, klappt das ?
Wenn nicht wo stoppt der Hop ? An diesem Punkt fehlt meistens dann die Route oder es ist die Firewall die dort zuschlägt.
Bitte warten ..
Mitglied: michi1983
16.02.2017 um 10:23 Uhr
Zitat von DerosaMH:
das verstehe ich nicht
Deshalb bin ich auch der Meinung, dass du nicht der richtige Ansprechpartner für deinen Kunden bist, dieses Vorhaben umzusetzen.
Diese IP Adressen die du hier verwendest gehören wie Kollege @aqui schon sagt der Firma Konica Minolta in den USA.
Du solltest dich an RFC 1918 Adressen halten um dein Vorhaben umzusetzen.

Es ist einfach generell eine komplett falsche Herangehensweise zu diesem Projekt.

Im Normallfall würde der Kunde dir einen VPN Zugang auf seiner Firewall einrichten und dir über Firewall Regeln Zugriff auf die Systeme gewähren die du für die Fernwartung benötigst. Ende der Geschichte.
Bitte warten ..
Mitglied: DerosaMH
16.02.2017 um 10:27 Uhr
anbei die Server und Client config
#Server
port 1194
proto udp
mode server
dev tap
dev-node tap-bridge
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.9
client-to-client
client-config-dir ccd
route 10.0.0.0 255.255.255.0
push "redirect-gateway"
push "route 0.0.0.0 0.0.0.0"
tls-server
dh dh1024.pem
ca ca.crt
key server_natur_409_007.key
cert server_natur_409_007.crt
comp-lzo
push "route-gateway 10.0.0.1"
tun-mtu 1400
tun-mtu-extra 32
max-clients 4
verb 5
mute 50
keepalive 10 60
ping-timer-rem
persist-key
persist-tun

push "ping 10"
push "ping-restart 60"
push "ping-timer-rem"

push "route 161.33.1.0 255.255.255.0"
#Client

remote

port 1194
proto udp
dev tap

dev-node openvpn
tls-client
ca ca.crt
key client01_natur_409_007.key
cert client01_natur_409_007.crt
ns-cert-type server
comp-lzo
pull
tun-mtu 1400
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun
das 10.0.0.0 Netz ist das Tunnelnetz das ist keine öffentliche IP

Server PC
auf dem Router sind Static-Routen eingetragen
'SPS
161.33.10.0
255.255.255.0
161.33.1.95

'Tunnel
10.0.0.0
255.255.255.0
161.33.1.95

server route - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
LÖSUNG 16.02.2017, aktualisiert um 10:41 Uhr
Oha...du machst ein Bridging über den Tunnel
dev-node tap-bridge
Das sollte man niemals machen wenn man nicht wirklich zwingend muss !
OVPN rät selber strikt davon ab und auch jeder Netzwerker kennt die goldene Regel: "Route where you can, bridge where you must !"
Ganz ehrlich... Baue dein übles Bridging Szenario auf ein sauber geroutetes um. So im Bridging Mode kann das nicht funktionieren. Allein schon weil du ein Masken Mismatch Probklem so bekommst. Kein Wunder das die Kommunikation netzübergreifend dann fehlschlägt.
Im Bridge Mode sind natürlich Sachen wie push route... und sowas vollkommen obsolet, denn ein Routing gibt es ja nicht mehr. Du machst ja dann nur noch dummes Layer 2 Bridging auf Mac Adress Basis !
Bridging bedingt ja das du an ALLEN Tunnelendpunkten die gleiche IP Adresse im loaklen Netz hast. Tödlich...
Ein Bridging bringt zudem sämtlichen Broad- und Multicast Traffic aller beteiligten Netze in den Tunnel, was massiv die Performance in den Keller zieht. Willst du das wirklich ??
Das ist vermutlich der grundlegende Kardinalsfehler den du in deinem Setup machst.
Bridging und IANA registriertte IPs...das lässt wirklich vermuten das du nicht wirklich weisst was du da tust, sorry...
Dein ganzes OVPN Konzept ist damit eigentlich ad absurdum geführt, denn du mischst hier eine OVPN Bridging Konfig mit Routing in einem eigentlich gerouteten Umfeld.
Klar das das von vorn herein in die Hose gehen muss....
Fazit: Sauberes OVPN Routing aufsetzen, dann klappt das auch !
Bitte warten ..
Mitglied: DerosaMH
16.02.2017 um 10:46 Uhr
Oh Danke
das hab ich wohl übersehen

hier ist wohl der Fehler
ich werde gleich mal probieren das zu beheben

dev tap
dev-node tap-bridge

kann nicht funktionieren
Bitte warten ..
Ähnliche Inhalte
Linux Netzwerk
Openvpn client Netz ereichbar machen
Frage von schlampLinux Netzwerk33 Kommentare

Guten Tag ich bin neu hier! Habe des öfteren schon hier im Forum mitgelesen und bin begeistert. Jetzt möchte ...

Router & Routing
Router für OpenVPN (Client) und VLAN
Frage von damnbxRouter & Routing24 Kommentare

Hallo, ich suche einen Router der VLANs und OpenVPN als Client unterstützt. Als Internetbereisteller davor dient eine Fritzbox 7490, ...

Debian
OpenVPN: öffentliches Netz an Client weitergeben
gelöst Frage von TP-AlexDebian1 Kommentar

Hallo zusammen, ein Kumpel und ich versuchen folgendes zu realiesieren: Ausgangssituation: Wir haben einen virtuellen Server der bei einem ...

Router & Routing
OpenVPN Client Gateway Router Empfehlung?
Frage von Zero01Router & Routing5 Kommentare

Hallo, ich suche für das Unternehmen für das ich arbeite einen OpenVPN Router der als Client Gateway fungieren kann. ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 11 StundenWindows 101 Kommentar

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 13 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.