Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OpenVPN auf Linux-Server - Routing-Problem

Frage Netzwerke Router & Routing

Mitglied: MrUnce

MrUnce (Level 1) - Jetzt verbinden

25.08.2010, aktualisiert 18.10.2012, 6718 Aufrufe, 5 Kommentare

Es soll ein Subnetz hinter einem OpenVPN-Server von einem XP-Client erreicht werden. Welche Einstellugen muß man geau vornehmen?

Folgende Konstellation:
Suse 11.0 Server
Internes Netz 192.168.9.0
Externes Device 192.168.10.119
OpenVPN Device tun mit Adresse 192.168.20.1

Client:
Windows XP
Internes Netz 192.168.10.0
OpenVPN Device tun mit Adresse 192.168.20.4


Der VPN-Tunnel steht. Ping von XP zu VPN-Server (20.1) geht.
Was fehlt mir noch, um eine PC hinterm Server im 192.168.9.er Netz zu erreichen. Die Adresse 192.168.9.119 kann ich merkwürdiger Weise anpingen. Einen PC mit 192.168.9.21 komischerweise nicht. Hab schon alles mögliche durchprobiert, leider ohne den gewünschten Erfolg.

XP 192.168.10.125>---(Netzwerk)---<192.168.10.119 Linux 192.168.9.119>---Netzwerk--<192.168.9.21 XP>

Offensichtlich liegt es irgendwie am Routing auf der Linux-Maschine. Leider fehlen mir da die genauen Kenntnisse (mit welchem Befehl von wo nach wo routen)

Das ganze ist momentan nur der Versuchsaufbau, später hängt dann am externen Device des Linux-Servers nur der DSL-Router.


Die Client.conf:

client
dev tun
proto udp
remote 192.168.10.119 58536
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert notebook.crt
key notebook.key
ns-cert-type server
comp-lzo
verb 3
;mute 20

Die Server.conf:

port 58536
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 192.168.20.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.9.0 255.255.255.0"
keepalive 10 120
comp-lzo
max-clients 2
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
verb 9

Wäre toll ein paar hilfreiche Tipps zu bekommen.
Mitglied: Nailara
25.08.2010 um 22:55 Uhr
Hi,

Routing ist schon eine gute Idee - ich denke aber, dass das Netzwerk 192.168.20.x einigen Clients im Netzwerk 192.168.9.x nicht bekannt ist. Einer kanns - die 192.168.9.119, der Rest weiss nicht, auf welchem Weg das Netz 192.168.20.x zu erreichen ist.

Schau mal auf einem anderen Client (192.168.9.x) nach, ob der die 192.168.20.1 anpingen kann ...

CU
Bitte warten ..
Mitglied: MrUnce
25.08.2010 um 23:38 Uhr
Hi Nailara,

danke für den Tip. Habs überprüft, aber der Client 192.168.9.21 z.B. erreicht dei 192.168.20.1 mit dem Ping.
Aber müsste nicht auch die Linuxmaschine den OpnVPNClient bei aktiver Verbindung anpingen können. Das geht momentan nämlich nicht.
Bin da ein wenig verwirrt.

Gruß
Bitte warten ..
Mitglied: aqui
26.08.2010, aktualisiert 18.10.2012
Das Tutorial sollte alle deine Fragen beantworten:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...

Das "Zauberwort" ist push "route 192.168.9.0 255.255.255.0" was du ja auch richtig gemacht hast. Checken kannst du das am Client immer mit route print !
Das du den 192.168.9.21er PC nicht pingen kannst hat wie immer einen der 3 Gründe:
  • Der Rechner hat ein anderes Default gateway als den OpenVPN Server eingetragen.
  • Die Firewall des rechner ist nicht angepasst Pakete aus dem 192.168.20er Netz zuzulassen. Normal dürfen nur Pakete aus dem lokalen Netz passieren !!
  • ICMP (Ping) ist abgeschaltet. In der Win FW unter "ICMP" den Haken setzen bei "Auf echo Pakete antworten" !!
Damit dürfte der Rechner dann auch erreichbar sein !
Bitte warten ..
Mitglied: MrUnce
26.08.2010 um 14:21 Uhr
Hi aqui,

danke erst mal für den Hinweis.
1. Firewall - Der PC mit der .9.21 ist ne Win2k - Maschine. Da gibt es standardmäßig keine Firewall.
2. ICMP - vom Linuxserver aus lässt er sich ja anpingen.
3. Default Gateway - da fehlt mir ein bischen der Plan. Auf dem PC mit der .9.21 ist als Standard Gateway die Server-Adresse eingetragen, also die .9.119. Richtig ist, dass auf dem Server als Standardgateway der externe Router eingetragen ist (hier .10.199), weil das ist ja dort der reguläre Weg nach draussen ist. Heißt das nicht, dass alle Pakete die vom Server zum .9 er Netz gehen gar nichts mehr vom 20 er Netz des VPNs wissen, sondern automatisch vom Server maskiert werden (IP Forward)? Vielleicht verwechsle ich hier ja auch was. Den Standard Gateway vom 9 er PC brauch ich doch auch, wenn ich mit diesem ins Internet will (der gateway ist ja auf der anderen seite des Servers und diese kennt ja der das 9 er Netz nicht.
Bitte warten ..
Mitglied: MrUnce
26.08.2010 um 16:38 Uhr
Hallo nochmal,

das Problem ist gelöst. Es klemmte offensichtlich an der SuseFirewall. Die hat alle Pakete von 192.168.20.0 verworfen, weil ja der OpenVPN auf dem externen Device horcht. Den OpenVPN-Port hab ich ja aufgemacht (sonst würde er ja gar nicht erst verbinden).
Es musste nur noch im FirewallScript (über Yast gibt es den Eintrag nicht) ein Forwarding definiert werden.
Also /etc/sysconfig/SuSEfirewall2 editieren und Punkt 5.) FW_Route="YES" setzen und Punkt 13.) FW_Forward="192.168.20.0/24,192.168.9.0/24".

Will heißen, nimm alle Pakete die von der 20.0 kommen und schicksie so wie sie sind weiter ins .9er Netz.

Trotzdem vielen Dank für die Anregungen und Hinweise.

Gruß MrUnce
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Openvpn Routing Problem
Frage von Luciver1981Router & Routing6 Kommentare

Hallo und guten Morgen, ich habe ein Problem mit dem Routing von meinen Openvpn Site to Site. Haupstandort: Server ...

Netzwerke
Openvpn Problem routing
Frage von Rockerking22Netzwerke3 Kommentare

Hallo ich habe folgende situation habe mir einen debian root gemietet und habe dort einen openvpn server installiert. verbindung ...

Windows Server
Openvpn Server auf Win7 - Routing Probleme
gelöst Frage von vel2000Windows Server7 Kommentare

Hallo zusammen, erster Post und gleich eine Frage. Ich habe auf einem Win7/64 einen Openvpn Server installiert, so weit ...

Router & Routing
OpenVPN Access Server - Routing in ein anderes Netz
Frage von Holle1991Router & Routing9 Kommentare

Hallo erstmal zusammen! Ich bin neu hier und hoffe, dass ich alles richtig mache. Kämpfe nun seit über einer ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 13 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 15 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.