Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OpenVpn - Ping geht - RDP Nicht - Firewallproblem ?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: chr2002

chr2002 (Level 1) - Jetzt verbinden

25.07.2010, aktualisiert 18.10.2012, 11438 Aufrufe, 12 Kommentare

Hallo,

Ich bin langsam am verrücktwerden mit dem Openvpn.
Erstmal meine Netzwerkkonfig.



WAN <---> Bintec R1200 (Router) <-----> Cisco 2950 (Switch) <------> PC (RDP Server 192.168.1.10)
........................................................................................................|.|.'---------> Laptop (RDP Client 192.168.1.18)
........................................................................................................|.'-----------> Fritzbox (REINER Openvpn Server (192.168.1.252)
........................................................................................................'-------------> Bintec VPN Acces 25 (192.168.1.254)


Der OpenVpn Server vergibt die Adresse 10.8.0.6 an den Client.
Im Router hab ich die Route NET 10.8.0.0 / 255.255.255.0 gw 192.168.1.252


Mit meinem Android Handy kann ich ohne Probleme eine Openvpn Verbindung zur Fritzbox aufbauen und kann alle Teilnehmer im Lan anpingen. Das Internet läuft auch problemlos über den VPN Tunnel.(Somit bin ich T-com´s Pop3 Sperre schonmal los ^^)
Nur kann ich keine RDP Verbindung zum PC (192.168.1.10) aufbauen. Ich kann auch nur die Konfig Webseite des Routers 192.168.1.1 öffnen. Die Konfig Seite vom VPN Aces 25 (192.168.1.254) kann ich nicht öffen. Kann aber alle Geräte anpingen.

Wenn ich jetzt im Router (192.168.1.1) die Firewall komplett abschalte, dann kann ich die RDP Verbindung aufbauen.Und auch die Konfig Seite des VPN Access 25 erreichen.
Mich wundert aber, warum sich die Firewall im Router überhaupt auf meine RDP Verbindung auswirkt. Der Tunnelendpunkt liegt ja auf der Fritzbox. Diese hängt am Switch und da hängt auch der RDP Server (192.168.1.10) dran. Also gehen die RDP Packets gar nicht mehr durch den Router. Das einzigste was durch den Router geht, ist der Verschlüsselte Tunnel ( Ich habe den Tunnel über TCP 443 laufen, weil der Port mit grösster Wahrscheinlichkeit nirgends geblockt wird und weniger auffällt als ein Tunnel auf Port 80).


Mit dem Laptop (192.168.1.18) geht Rdp innerhalb meines Netzwerkes ohne Probleme, egal ob die FW im Router an oder aus ist.

Kann mir da jemand weiterhelfen ?

Am Routing kanns nicht liegen, weil ich ja alles anpingen kann und bei abgeschalteter Firewall gehts ja auch.
Im Syslog vom Router taucht keine Meldung auf, dass die FW was blockt.

lg

Chris
Mitglied: dog
25.07.2010 um 18:53 Uhr
Also gehen die RDP Packets gar nicht mehr durch den Router.

Doch, gehen sie.

Dein VPN-AC kennt die beiden Subnetze 10.8.0.0/24 und 192.168.1.0/24
Wenn jetzt also 10.8.0.6 ein Paket an 192.168.1.10 schickt wirft der AC es einfach auf dem Interface raus - alles ok.
Wenn jetzt aber 192.168.1.10 antworten will (das selbst nur 192.168.1.0/24 kennt) weiß es nicht wohin mit dem Paket und schickt es damit eben zu seinem Default Gateway (192.168.1.1), damit der sich darum kümmert...
Bitte warten ..
Mitglied: chr2002
25.07.2010 um 22:25 Uhr
Ok, das ist natürlich klar. Der Router kümmert sich dann drum, wohin die Packets gehen müssen.

Aber es ist seltsam, dass die Pings in alle Richtungen ohne Probleme gehen.

Ich habe in der FW testweiese eine Rule erstellt, die jeden Traffic von Jedem Interface und jeder Ip Adresse (ANY) zulässt. Trotzdem geht es nicht.
Was noch seltsamer ist, dass im Syslog nichts steht, dass was geblockt wurde,
Bitte warten ..
Mitglied: Der-Phil
26.07.2010 um 10:00 Uhr
Hallo,

Du kannst auf dem RDP-Server auch eine statische Route zum Open-VPN-Server einrichten, dann ist der Bintec-Router wirklich außen vor.

Phil
Bitte warten ..
Mitglied: chr2002
26.07.2010 um 19:04 Uhr
Das hab ich gestern noch gemacht, und es funktioniert auch.

Es geht zwar jetzt ohne Probleme, aber warum gehts nicht über den Router ? Wie gesagt, das Routing stimmt ja, weil es bei deaktivierter Firewall im Bintec Router ohne Probleme funktioniert. Ich frage mich, warum die Firewall was blockt, was gar nicht geblockt werden soll. Habe es mit mehreren Rules probiert, die FW blockt trotzdem. Habe folgende Rule erstellt :

10.8.0.0/24 ------> ANY (Services ANY) Accept (Interface LAN_EN1-0) (das ist das IF, welches mit dem Switch verbunden ist)
dann hab ich noch folgende Rule erstellt

192.168.1.0/24 ----> 10.8.0.0/24 (Services ANY) Accept (Interface LAN_EN1-0)
Klar, dass diese Rule eigentlich sinnlos ist, weil ich bei der Ersteinrichtung des Routers folgende Rule längst erstellt hab.

LAN_EN1-0 ---------> ANY (Services ANY) Accept (Alles was von meinem Lan kommt, darf überall hin.)

Was richtig seltsam ist, dass ich über den VPN Tunnel ohne Probleme Surfen kann, egal ob die FW an ist oder aus. Der Internettraffic vom VPN Tunnel geht ja dann über den Router und wird nicht geblockt. Nur alles was ins LAN geht, wirft der Router an der Firewall raus, ohne dass was im Syslog steht. Sonst steht jeder geblockte Traffic in der Firewall. (Ich blocke einige Werbeserver in der Firewall, das wird auch im Syslog angezeigt)

Mir ist am RDP Server auch noch aufgefallen, dass die RDP Pakete ankommen und der PC auch welche verschickt. Die ankommenden kommen direkt von der Fritzbox (OpenVpn Server), die abgehenden gehen zum Bintec Router (Hab mir mit Wireshark mal die MAC Adressen angesehen).


Echt seltsam

Theoretisch könnte ich die FW einfach aus lassen und mich mit dem Schutz vom NAT begnügen. Aber dann hätte ich mir auch so nen "Home Router" holen können und net nen Bintec Router ^^
Bitte warten ..
Mitglied: aqui
30.07.2010 um 13:38 Uhr
Dann hast du am RDP Server vermutlich ein anderes Gateway oder eine andere Route konfiguriert für das Zielnetz. Deshalb nimmt er einen anderen Router was logisch ist. Das müsstest du also mit dem route print Kommando mal checken.
Was deine FW anbetrifft bedenke das RDP TCP basierend ist es also auch Antwortpakete gibt. Die FW muss also zwingend auch eine Accessliste für den Rückweg haben. Vermutlich scheitert die RDP Verbindung deshalb.
Bitte warten ..
Mitglied: chr2002
31.07.2010 um 15:29 Uhr
Am RDP Server ist nur das Standard Gateway konfiguriert. Also mein Bintec R1200 Router, der auch für den DSL Zugang zuständig ist. Im Router hab ich eine Route zur Fritzbox für das Zielnetz vom Handy. Das Routing passt eigentlich, der RDP Server schickt seine Anzwortpakete an den Router und der leitet sie an die Fritzbox weiter, die die Packets dann in den Openvpn Tunnel packt und ans Handy zurückschickt. Das ganze funktioniert problemlos, wenn die Firewall im Router aus ist.

Ich habe in der Firewall jeden Traffic, der vom LAN Interface kommt erlaubt. Egal wohin der geht. ( LAN_EN1-0 --> ANY)
Habe auch zusätzlich noch jeden Traffic der ins Zielnetz vom Handy geht auch erlaubt. (ANY --> 10.8.0.0/24)

Mit der Statischen Route am RDP Server gehts zwar jetzt auch bei eingeschalterer FW, weil der Router umgangen wird. Aber ich würde es gerne ohne Konfiguration an den PCs schaffen, weil es einfach "sauberer" ist. Und wenn ich z.B. meine PS3 oder meinen Netzwerkdrucker vom Handy aus erreichen will, hab ich schon ein Problem, weil ich bei den Geräten keine Route konfigurieren kann.
Bitte warten ..
Mitglied: aqui
01.08.2010 um 10:36 Uhr
Es ist möglich das die FW trotzdem noch ICMP Pakete filtert, da ICMP oft separat gehandhabt wird in FWs. Stelle also sicher das auch ICMPs durchlaufen, da diese für Rediects usw. schon sinnvoll sind. Ebenso solltest du beim RDP Server checken ob dort ICMPs insbesondere ICMP redirects erlaubt sind.
Das siehst du in den erweiterten Eigenschaften der FW mit Klick auf ICMP und dann den Haken bei "Umleiten zulassen" setzen !
Bitte warten ..
Mitglied: chr2002
12.08.2011 um 23:59 Uhr
Bitte nicht schimpfen jetzt. Hab dieses Problem hier total aus den Augen verloren wegen Arbeit und Umzug. Und zu allem Überfluss gab meine Fritzbox auch noch den Geist auf.

Aber dieses Problem besteht weiterhin.

Das Problem ist nicht das ICMP, das geht ja bei eingeschalteter Firewall. Das ist das einzigste was geht. Was nicht geht ist HTTP, RDP und eigentlich alles andere. ICMP geht.

Die Sache mit den statischen Routen geht leider nicht überall. Mein Server hat ein IMPI Interface und da kann man keine statische Route festlegen.

Seltsamerweise zeigt die Firewall im Router auch nichts an, dass was geblockt wurde ....

EDIT :

Habe jetzt mal die SIF im Bintec abgeschaltet. Die "normale" Firewall ist noch an. Jetzt gehts, ist aber auch nicht der Sinn der Sache. Möchte die SIF Firewall lieber an lassen.

Es könnte evtl daran liegen, dass der VPN Client über den Openvpn Server direkt den Ziel Rechner anspricht, der kennt die IP vom VPN Client (10.8.0.6) aber nicht und schickt seine Antwort brav an den Router, die SIF weis aber nichts von der Anfrage des VPN Clients, weil diese direkt an den Zielrechner ( ohne über den Router und somit auch die SIF) gegangen ist. Dann wirft die SIF das Antwortpacket einfach raus. (Leider auch ohne Eintrag im Syslog)

Könnte das ein richtiger Ansatz sein ? Dann muss die Openvpn Konfigs nur noch dazu bewegen alles über den Router abzuwickeln und dann müsste es ja gehen. Weis nur leider nicht, wie ich den Openvpn Client dazu bringe

EDIT :

Oh Mann, befasst man sich mit dem Mist fast ein Jahr lang nicht, fällt es einem wie Schuppen von den Augen. Jetzt gehts, auch mit SIF.

Die SIF hat mich erst drauf gebracht. Wohl logisch dass es nicht geht, warum war ich vor nem Jahr nicht soweit ? ^^
Hab im Openvpn Server eine Route auf meinen den Bintec Router im selben Subnetz gesetzt. Fritzbox Openvpn Server und Bintec hängen am selben Switch.

Das ist ne einigermassen saubere Lösung für mich, obwohl Omnipeek ständig mit "IP Local Routing" mault. Aber besser gehts leider nicht. Ich setze im Openvpn Server einfach eine Host Route auf die Geräte, bei denen man keine statischen Routen festlegen kann. Bei PCs kann man ne Netzwerk Route setzen. Bei der PS3 und dem IPMI Server geht das nicht und dann muss ne Route im Openvpn Server her. Ne Netzwerk Route im Openvpn Server ist noch unsauberer, man muss ja nicht den gesamten Traffic vom Tunnel doppelt über den Router schicken.

Hiermit ist dieses Problem GELÖST
Bitte warten ..
Mitglied: aqui
13.08.2011 um 11:00 Uhr
Auch das Problem liesse sich lösen wenn du die Routern richtig vergeben würdest und zwar am zentralen Router den die Clients im lokalen Netzwerk als Default Gateway haben !!
Dort müssen die statischen Routen auf das interne OpenVPN Netz eingetragen werden und fertig ist der Lack !
Dann verschwinden auch diese Fehler, die dir sagen das du immer noch inkorrekte Routen verwendest ! Ein typischer Fehler wenn man Routen direkt auf Endgeräten verwendet was immer kontraproduktiv ist !!
Bitte warten ..
Mitglied: chr2002
13.08.2011 um 12:44 Uhr
Am zentralen Router (R1200) hab ich eine Network Route vergeben. 10.8.0.0 255.255.255.0 GW 192.168.1.252.
192.168.1.252 ist die Fritzbox mit dem Openvpn Server. In der Openvpn server.conf hab ich eine Route für den RDP PC. 192.168.1.10 255.255.255.0 GW 192.168.1.1.

Ohne die Route im Openvpn Server, wirft mir die SIF im zentralen Router die Antwork Pakete von 192.168.1.10 immer raus, weil die Anfrage dann direkt vom VPN Client über die Fritzbox direkt zum PC (192.168.1.10) geht.

Wenn ich die Route im Openvpn Server und im Zentralen Router weglasse und stattdessen ein statische Route auf dem PC festlege (10.8.0.0 255.255.255.0 GW 192.168.1.252) dann läuft es sauber und Omnipeek mault nicht.
Das Problem bei mir könnte sein, weil ich die Fritzbox nicht als zentralen Router verwende, sondern nur als Openvpn Server. Aber das wird auch so bleiben, weil ein R1200 doch was anderes ist als eine uralte FB ^^

Wenn es einen anderen, saubereren Weg gibt, währe ich über jeden Tip dankbar. Vielleicht übersehe ich irgend ein kleines Detail bei den Routen.
Bitte warten ..
Mitglied: aqui
13.08.2011, aktualisiert 18.10.2012
Eine Route muss dort gar nicht hin. In die Server Konfig Datei auf dem OpenVPN Server muss lediglich das Kommando:
push "route 192.168.1.0 255.255.255.0"
hinzugefügt werden, was das zentral erledigt ! Damit "lernt" der OpenVPN Client dann das lokale Netz. Ein route print am Client zeigt dir das auch !
Das folgende Tutorial beschreibt so ein Design im Detail und ist für dein Netzwerk identisch:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: chr2002
13.08.2011 um 16:39 Uhr
Das push Route habe ich auch drin. Aber es geht dann nicht. Ohne die 2. Route auf dem openvpn Server läuft es nicht

Das Tutorial passt leider nicht ganz zu meinem Netzwerk. Der VPN Tunnel wird HINTER meinem Router terminiert. Die Fritzbox läuft nicht als zentrales Gateway.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Netzwerke
gelöst Ping zu Windows Server funktioniert im OpenVPN netz nicht (5)

Frage von ketanest112 zum Thema Netzwerke ...

Windows Tools
Zwischenspeicher TS RDP-Verbindung (3)

Frage von Yannosch zum Thema Windows Tools ...

Windows Netzwerk
Kein RDP über VPN per MS-TSC möglich (9)

Frage von survial555 zum Thema Windows Netzwerk ...

Windows Server
Drucken via RDP, Papier kommt aus falschem Schacht

Frage von torcolato zum Thema Windows Server ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...