Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

über OpenVPN auf Client mit 3-Netzwerkarten zugreifen und Routen der Netze

Frage Netzwerke Router & Routing

Mitglied: DerosaMH

DerosaMH (Level 1) - Jetzt verbinden

16.02.2017, aktualisiert 09:28 Uhr, 316 Aufrufe, 10 Kommentare

Hallo
ich probiere seit Tagen das ich einen Zugriff auf die Client-Netze bekomme aber ohne Erfolg
einen aufbau des Netzwerkes habe ich angehängt
ich weis einfach nicht wie ich die Netze Routen soll auf dem Client Routen soll

kann mir jemand einen Tipp geben
unbenannt - Klicke auf das Bild, um es zu vergrößern
Mitglied: michi1983
16.02.2017 um 09:30 Uhr
Hallo,

wundert mich nicht wenn du mit öffentlichen IPs herum hantierst.

Und etwas dürftig sind deine Infos auch um ehrlich zu sein.

Gruß
Bitte warten ..
Mitglied: DerosaMH
16.02.2017 um 09:41 Uhr
Danke für die schnelle Anwort
ich möchte wegen Fernwartung (Anlage wird in Tunesien stehen) auf die SPS zugreifen
auf dem Client-PC läuft eine Anwender Software auf die komme ich ohne Problem drauf
über die Kunden-Netzwerkkarte bekommt die Anlage den zugang zum MSSQL-Server und Internet
an der SPS-Netzwerkkarte hängt nur die SPS(Steuerung der Anlage)
an der Prüfsystemnetzwerkkarte hängt ein Messystem das vom Kundengestellt wird Ip's sollten nicht wenn möglich nicht geändert werden
wegen austausch bei defekt

gibt es eine möglichkeit die SPS auf den Tunnel zu routen und wenn möglich das Prüfsystem auch

Gruß
Bitte warten ..
Mitglied: michi1983
16.02.2017 um 09:56 Uhr
Das ist alles etwas wirr formuliert von dir.

Verstehe ich das richtig:
Du möchtest mittels OpenVPN auf diesen besagten Client-PC (161.33.10.233) zugreifen um von dort aus, dann auf das SPS und auf das Prüfsystem zugreifen zu können?
Auf dem Client-PC läuft bereits ein OpenVPN Server auf den du erfolgreich einen Tunnel aufbauen kannst und Zugriff drauf hast?
Wie sehen die Routen auf diesem Client-PC aus?
route print
Dann halten wir trotzdem fest:
Du verwendest public IPs, das DARFST du nicht!
Ein Windows Client ist die SCHLECHTESTMÖGLICHE Variante so etwas umzusetzen.

Was mir an Infos noch fehlt ist:
WAS/WER stellt den Internetzugang her für diesen Client PC?
Da muss es ja einen Router/Firewall/whatever geben?
Bitte warten ..
Mitglied: aqui
16.02.2017, aktualisiert um 10:16 Uhr
Mmhhh, ist das 161.33er Netz deinst bzw. arbeitest du für Konica Minolta USA ??

NetRange: 161.33.0.0 - 161.33.255.255
CIDR: 161.33.0.0/16
NetName: KONICA-MINOLTA-PRINTING-SOLUTIONS-USA-INC
NetHandle: NET-161-33-0-0-1
NetType: Direct Assignment


Denen ist diese IP weltweit fest zugeteilt worden und es ist sehr töricht wenn du für ein privates Netz deren öffentliche IP nutzt. Jeder Grundschüler weiss heutzutage das man für private Netz den weltweit bekannten RFC 1918 Standard nutzt mit diesen IP Adressen:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Mit öffentlichen IPs ist das natürlich sehr kritisch, aber es sollte dennoch klappen.

Leider ist deine Beschreibung sehr oberflächlich, denn du postest hier weder deine OVPN Server Konfig noch die der Clients.
Dafür wird es auch für uns hier ein ziemlicher Blindflug und wir müssen die Kristallkugel mal wieder zur Hilfe nehmen.
Zudem ist deine Zeichnung ziemlich wirr und extrem unübersichtlich, sorry.
Man schafft es nicht auch nach intensiver Betrachtung daraus zu ersehen wo die VPN Tunnel sind und wer hier mit wem kommuniziert.
Also wenigstens die OVPN Konfig Dateien brauchen wir und eine etwas übersichtlichere Zeichnung so wie du sie hier z.B. im OVPN_Tutorial siehst wären sehr hilfreich um zu einer Lösung zu kommen. Denn funktionieren so wie du es willst tut das ganz sicher.
Sehr hilfreich wäre auch noch ein Output der Routing Tabellen der OVPN Teilnehmer ! (Server u. Client)
Bei aktivem Tunnel bitte mal ein route print posten (Winblows) um zu sehen ob die einzelnen Geräte überhaupt die Routen in deine Zielnetze kennen und du sie entsprechend in den OVPN Konfig Dateien bekannt gemacht hast ?!
Hier liegt meistens der Fehler der gemacht wird. Sehr wahrscheinlich auch bei dir.
Außerdem solltest du die Winblows Firewall immer auf dem Radar haben, denn die treibt auch am virtuellen Tunnel Interface ihr Unwesen und will entsprechend angepasst werden bei OVPN !!
Bitte warten ..
Mitglied: DerosaMH
16.02.2017 um 10:14 Uhr
auf dem Client PC- läuft der OpenVPN-Client der den Tunnel zum Server aufbaut der über DNS erreichbar ist
die Internet Verbindung wird vom Kunden an einer der NKen bereitgestelt
ich habe denn aufbau bei mir mit einen LTE-Router am laufen um das vorher zu Test
es kann schon sein das der Kunde die Verbindung erst in seine Firewall eintragen muss
das muss ich dann mit dem Kunden klären

"Du verwendest public IPs, das DARFST du nicht!"
das verstehe ich nicht

"Ein Windows Client ist die SCHLECHTESTMÖGLICHE Variante so etwas umzusetzen."
das habe ich mir schon gedacht
gibt es eine alternative?

anbei das Routing des Clients
routing - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
16.02.2017, aktualisiert um 10:29 Uhr
an einer der NKen bereitgestelt
Was verstehst du unter "NKen" ?
das der Kunde die Verbindung erst in seine Firewall eintragen muss
Ganz sicher muss er das !! Bitte erst wasserdicht klären bevor wir hier ins Eingemachte gehen !
"Du verwendest public IPs, das DARFST du nicht!"
Machen kann man das schon. Es birgt aber Risiken, denn die IANA IP Range ist nicht für dich registriert. Öffentlich verwendete IP Adressen zu verwenden ist nicht die feine Art und zeigt eher das hier jemand nicht wirklich weiss was er tut beim IP Adressdesign. Gerade und insbesondere wenn man über öffentliche Netze arbeitet.
Das weiss aber jeder Azubi im ersten Lehrjahr heutzutage auch das man so einen Fauxpas nicht macht.
Nichtsdestotrotz wird es auch mit deinen dir nicht gehörenden 161er Adressen klappen.

Die Client Routing Tabelle stimmt soweit. Du hättest sie etwas ökonomischer gestallten können und statt der Einzelnetze einfach ein:
ip route 161.33.0.0 255.255.192.0 <gateway_ip>
In die OVPN Konfig setzen können, dann würden ALLE deine 162.33er Subnetze (von .0.0 bis .63.0) mit einer einzigen Summary Route in den Tunnel geroutet.
Würde auch mit einer /16er Route gehen statt des obigen /18er Prefixes, das beinhaltet dann alle 161.33.0.0er Netze.
Aber egal, es geht auch über die umständliche Art..ist nur aufwändiger vom Routing Setup.
Wenn du mal ein Traceroute auf die Zielnetze oder nur das LAN Interface des Servers machst, klappt das ?
Wenn nicht wo stoppt der Hop ? An diesem Punkt fehlt meistens dann die Route oder es ist die Firewall die dort zuschlägt.
Bitte warten ..
Mitglied: michi1983
16.02.2017 um 10:23 Uhr
Zitat von DerosaMH:
das verstehe ich nicht
Deshalb bin ich auch der Meinung, dass du nicht der richtige Ansprechpartner für deinen Kunden bist, dieses Vorhaben umzusetzen.
Diese IP Adressen die du hier verwendest gehören wie Kollege @aqui schon sagt der Firma Konica Minolta in den USA.
Du solltest dich an RFC 1918 Adressen halten um dein Vorhaben umzusetzen.

Es ist einfach generell eine komplett falsche Herangehensweise zu diesem Projekt.

Im Normallfall würde der Kunde dir einen VPN Zugang auf seiner Firewall einrichten und dir über Firewall Regeln Zugriff auf die Systeme gewähren die du für die Fernwartung benötigst. Ende der Geschichte.
Bitte warten ..
Mitglied: DerosaMH
16.02.2017 um 10:27 Uhr
anbei die Server und Client config
#Server
port 1194
proto udp
mode server
dev tap
dev-node tap-bridge
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.9
client-to-client
client-config-dir ccd
route 10.0.0.0 255.255.255.0
push "redirect-gateway"
push "route 0.0.0.0 0.0.0.0"
tls-server
dh dh1024.pem
ca ca.crt
key server_natur_409_007.key
cert server_natur_409_007.crt
comp-lzo
push "route-gateway 10.0.0.1"
tun-mtu 1400
tun-mtu-extra 32
max-clients 4
verb 5
mute 50
keepalive 10 60
ping-timer-rem
persist-key
persist-tun

push "ping 10"
push "ping-restart 60"
push "ping-timer-rem"

push "route 161.33.1.0 255.255.255.0"
#Client

remote

port 1194
proto udp
dev tap

dev-node openvpn
tls-client
ca ca.crt
key client01_natur_409_007.key
cert client01_natur_409_007.crt
ns-cert-type server
comp-lzo
pull
tun-mtu 1400
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun
das 10.0.0.0 Netz ist das Tunnelnetz das ist keine öffentliche IP

Server PC
auf dem Router sind Static-Routen eingetragen
'SPS
161.33.10.0
255.255.255.0
161.33.1.95

'Tunnel
10.0.0.0
255.255.255.0
161.33.1.95

server route - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
LÖSUNG 16.02.2017, aktualisiert um 10:41 Uhr
Oha...du machst ein Bridging über den Tunnel
dev-node tap-bridge
Das sollte man niemals machen wenn man nicht wirklich zwingend muss !
OVPN rät selber strikt davon ab und auch jeder Netzwerker kennt die goldene Regel: "Route where you can, bridge where you must !"
Ganz ehrlich... Baue dein übles Bridging Szenario auf ein sauber geroutetes um. So im Bridging Mode kann das nicht funktionieren. Allein schon weil du ein Masken Mismatch Probklem so bekommst. Kein Wunder das die Kommunikation netzübergreifend dann fehlschlägt.
Im Bridge Mode sind natürlich Sachen wie push route... und sowas vollkommen obsolet, denn ein Routing gibt es ja nicht mehr. Du machst ja dann nur noch dummes Layer 2 Bridging auf Mac Adress Basis !
Bridging bedingt ja das du an ALLEN Tunnelendpunkten die gleiche IP Adresse im loaklen Netz hast. Tödlich...
Ein Bridging bringt zudem sämtlichen Broad- und Multicast Traffic aller beteiligten Netze in den Tunnel, was massiv die Performance in den Keller zieht. Willst du das wirklich ??
Das ist vermutlich der grundlegende Kardinalsfehler den du in deinem Setup machst.
Bridging und IANA registriertte IPs...das lässt wirklich vermuten das du nicht wirklich weisst was du da tust, sorry...
Dein ganzes OVPN Konzept ist damit eigentlich ad absurdum geführt, denn du mischst hier eine OVPN Bridging Konfig mit Routing in einem eigentlich gerouteten Umfeld.
Klar das das von vorn herein in die Hose gehen muss....
Fazit: Sauberes OVPN Routing aufsetzen, dann klappt das auch !
Bitte warten ..
Mitglied: DerosaMH
16.02.2017 um 10:46 Uhr
Oh Danke
das hab ich wohl übersehen

hier ist wohl der Fehler
ich werde gleich mal probieren das zu beheben

dev tap
dev-node tap-bridge

kann nicht funktionieren
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Eine Steuerung hinter dem OpenVPN Client erreichen (15)

Frage von cannonball zum Thema Router & Routing ...

Netzwerke
gelöst OpenVPN Client kommt nicht auf zweites Netzwerk hinter Server (7)

Frage von morrasen zum Thema Netzwerke ...

Router & Routing
gelöst VPN über nachgelagerten DDWRT Router mit Client im selben Netz (4)

Frage von kuckucksuhr zum Thema Router & Routing ...

Netzwerke
gelöst Common name von openvpn client ändern (1)

Frage von rike34 zum Thema Netzwerke ...

Neue Wissensbeiträge
Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

Information von thomasreischer zum Thema Windows 10 ...

Microsoft

Die neuen RSAT-Tools für Win10 1709 sind da

(1)

Information von DerWoWusste zum Thema Microsoft ...

Humor (lol)

Wohnt jemand in Belgien und kann nicht mehr ruhig ausschlafen?

(6)

Information von LordGurke zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Hosting & Housing
Mailserver Software Empfehlungen (21)

Frage von sunics zum Thema Hosting & Housing ...

Voice over IP
DeutschlandLAN IP Voice Data M Premium, Erfahrung mit Faxgeräte? (16)

Frage von liquidbase zum Thema Voice over IP ...

TK-Netze & Geräte
TK-Anlage VoIP - DECT Erweiterung (15)

Frage von Lynkon zum Thema TK-Netze & Geräte ...