Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Probleme beim Routing

Frage Netzwerke Router & Routing

Mitglied: Xoroles

Xoroles (Level 1) - Jetzt verbinden

20.09.2013, aktualisiert 21.09.2013, 2029 Aufrufe, 6 Kommentare

Hallo zusammen,

bei einem Kunden habe ich das folgende Szenario, dieses hat bisher auch weites gehend Funktioniert.

Haupt Standort: IP Netz 192.168.1.0 Läuft OpenVPN als Server (ehemaliger Haus Router TP-Link R460) neuer Haus Router TP-Link TL-WR1043N
Zweigstelle 1: IP Netz 192.168.20.0 Läuft OpenVPN als Client, Haus Router TP-Link R460
Büro (anderer Standort) 192.168.0.0 Läuft OpenVPN als Client (FritzBox Cable)

VPN Tunnel Netz: 192.168.200.0

an keinem Standort ist open VPN direkt auf einem Rechner Installiert, welcher mit dem Internet verbunden ist. Der Hausrouter, routet entsprechend
1194 an den Rechner mit dem Server weiter.
Verbindungsaufbau und so klappt auch alles, bzw früher gab es nur das Problem, dass Zweigstelle 1 nicht Büro anpingen konnte und umgekehrt. Das war
aber zu diesem Zeitpunkt kein MustHave sondern wäre nur NiceToHave.

Vor kurzem wurde dann am Hauptstandort der Router ausgetauscht, der neue Router wurde aber mit den gleichen Statischen Routen ausgestattet wie vorher auch.
Jedoch gibt es seit dem das Problem, dass die Zweigstellen nur noch den Rechner mit dem OpenVPN Server erreichen können, und den Router in der Hauptstelle, alle anderen Rechner in dem Netz sind nicht Pingbar. Egal ob ich es von einem Client innerhalb des Netzes versuche, oder direkt von der Maschine, auf dem der OpenVPN Client läuft, bei allem das gleiche ergebnis.

Folgene Routen sind vorhanden
Zweigstelle 1 : 192.168.20.0 Netz OpenVPN Client 192.168.20.11
Aktive Routen:
01.
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik 
02.
          0.0.0.0          0.0.0.0     192.168.20.1    192.168.20.11    266 
03.
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306 
04.
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306 
05.
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306 
06.
      192.168.0.0    255.255.255.0   192.168.200.10    192.168.200.9     31 
07.
      192.168.1.0    255.255.255.0   192.168.200.10    192.168.200.9     31 
08.
     192.168.20.0    255.255.255.0   Auf Verbindung     192.168.20.11    266 
09.
    192.168.20.11  255.255.255.255   Auf Verbindung     192.168.20.11    266 
10.
   192.168.20.255  255.255.255.255   Auf Verbindung     192.168.20.11    266 
11.
    192.168.200.0    255.255.255.0   192.168.200.10    192.168.200.9     31 
12.
    192.168.200.8  255.255.255.252   Auf Verbindung     192.168.200.9    286 
13.
    192.168.200.9  255.255.255.255   Auf Verbindung     192.168.200.9    286 
14.
   192.168.200.11  255.255.255.255   Auf Verbindung     192.168.200.9    286 
15.
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306 
16.
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.20.11    266 
17.
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.200.9    286 
18.
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306 
19.
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.20.11    266 
20.
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.200.9    286	
Die Routen am Router in der Zweigstelle sind wie folgt:
01.
1	 192.168.200.0	 255.255.255.0	 192.168.20.11	 Enabled 
02.
2	 192.168.1.0	 255.255.255.0	 192.168.20.11	 Enabled	 
03.
3	 192.168.0.0	 255.255.255.0	 192.168.20.11	 Enabled	
openvpn Config
01.
client 
02.
dev tun 
03.
 
04.
proto udp 
05.
remote xx.xx.xx.xxx 1194 
06.
resolv-retry infinite 
07.
route-delay 2 
08.
route-method exe 
09.
nobind 
10.
persist-key 
11.
persist-tun 
12.
 
13.
ca "C:\\Program Files (x86)\\OpenVPN\\config\\ca.crt" 
14.
cert "C:\\Program Files (x86)\\OpenVPN\\config\\rd.crt" 
15.
key "C:\\Program Files (x86)\\OpenVPN\\config\\rd.key" 
16.
 
17.
comp-lzo 
18.
verb 3
Wie man sehen kann Windows Client, leider noch kein Linux Maschine vorhanden ;)

Standort 2 Büro

OpenVPN Client
01.
192.168.200.5   *               255.255.255.255 UH    0      0        0 tun0 
02.
192.168.20.0    192.168.200.5   255.255.255.0   UG    0      0        0 tun0 
03.
192.168.1.0     192.168.200.5   255.255.255.0   UG    0      0        0 tun0 
04.
localnet        *               255.255.255.0   U     0      0        0 eth0 
05.
192.168.200.0   192.168.200.5   255.255.255.0   UG    0      0        0 tun0 
06.
default         fritz.box       0.0.0.0         UG    0      0        0 eth0
FritzBox
01.
	192.168.1.0	255.255.255.0	192.168.0.18		 
02.
	192.168.200.0	255.255.255.0	192.168.0.18		 
03.
	192.168.20.0	255.255.255.0	192.168.0.18		 
04.
	192.168.30.0	255.255.255.0	192.168.0.18
und die Config

01.
client 
02.
dev tun 
03.
proto udp 
04.
remote xxxx.de 1194 
05.
 
06.
resolv-retry infinite 
07.
 
08.
nobind 
09.
 
10.
user nobody 
11.
group nogroup 
12.
 
13.
persist-key 
14.
persist-tun 
15.
 
16.
ca ... 
17.
cert ... 
18.
key ... 
19.
 
20.
ns-cert-type server 
21.
 
22.
com-lzo 
23.
verb 4 
24.
 
25.
daemon
Hauptstelle
01.
192.168.200.2   *               255.255.255.255 UH    0      0        0 tun0 
02.
192.168.20.0    192.168.200.2   255.255.255.0   UG    0      0        0 tun0 
03.
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0 
04.
192.168.0.0     192.168.200.2   255.255.255.0   UG    0      0        0 tun0 
05.
192.168.200.0   192.168.200.2   255.255.255.0   UG    0      0        0 tun0 
06.
192.168.30.0    192.168.200.2   255.255.255.0   UG    0      0        0 tun0 
07.
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0 
08.
 
Router:
01.
1       192.168.200.0	 255.255.255.0	 192.168.1.4	Enabled	 
02.
2	 192.168.0.0	 255.255.255.0	 192.168.1.4	Enabled	 
03.
3	 192.168.20.0	 255.255.255.0  	 192.168.1.4	Enabled
Config:
01.
local 192.168.1.4 
02.
port 1194 
03.
proto udp 
04.
dev tun0 
05.
ca ./easy-rsa2/keys/ca.crt 
06.
cert ./easy-rsa2/keys/server.crt 
07.
key ./easy-rsa2/keys/server.key 
08.
dh ./easy-rsa2/keys/dh1024.pem 
09.
server 192.168.200.0 255.255.255.0 
10.
ifconfig-pool-persist ipp.txt 
11.
 
12.
push "route 192.168.1.0 255.255.255.0" 
13.
push "route 192.168.0.0 255.255.255.0" 
14.
push "route 192.168.20.0 255.255.255.0" 
15.
push "iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE" 
16.
 
17.
client-config-dir ccd 
18.
route 192.168.0.0 255.255.255.0 # Büro 
19.
route 192.168.20.0 255.255.255.0 # Zweigstelle 1 
20.
;route 192.168.30.0 255.255.255.0 # Für die Zukunft 
21.
 
22.
 
23.
client-to-client 
24.
duplicate-cn 
25.
keepalive 10 120 
26.
comp-lzo 
27.
user openvpn 
28.
group openvpn 
29.
persist-key 
30.
persist-tun 
31.
status /var/log/openvpn-status.log 
32.
log         openvpn.log 
33.
verb 5
So das sollten alle Daten sein, wie gesagt das Problem kamm erst als der Router in der Hauptstelle ausgetauscht wurde, dieser ist auch nur ein Vorübergehender, da der alte keine Bandbreite mehr durch lies, und den Ping Hoch trieb.

Liebe Grüße

Xoroles

P.S.
Ein beispiel Routert von Büro auf drei systeme im Hauptsitz
Fall 1: Router Hauptsitz Erfolreich
01.
1    <1 ms    <1 ms     1 ms  fritz.box [192.168.0.13] 
02.
2    <1 ms    <1 ms     1 ms  Telefonanlage.fritz.box [192.168.0.18] 
03.
3    16 ms    16 ms    17 ms  PBX [192.168.200.1] 
04.
4    16 ms    15 ms    17 ms  192.168.1.1
Fall 2: OpenVPN Server
01.
1    <1 ms    <1 ms    <1 ms  fritz.box [192.168.0.13] 
02.
2     2 ms     1 ms    <1 ms  Telefonanlage.fritz.box [192.168.0.18] 
03.
3    17 ms    18 ms    17 ms  PBX [192.168.1.4]
Fall 3: Windows Server
01.
1    <1 ms    <1 ms     1 ms  fritz.box [192.168.0.13] 
02.
2    <1 ms    <1 ms    <1 ms  Telefonanlage.fritz.box [192.168.0.18] 
03.
3    17 ms    17 ms    17 ms  PBX [192.168.200.1] 
04.
4     *        *        *     Zeitüberschreitung der Anforderung. 
05.
5     *        *        *     Zeitüberschreitung der Anforderung.
usw...

Genauso sieht es natürlich von Zweigstelle 1 aus

Anbei noch ein tracert von Büro zu Zweigstelle 1
01.
   1 ms     1 ms    <1 ms  fritz.box [192.168.0.13] 
02.
   1 ms    <1 ms     1 ms  Telefonanlage.fritz.box [192.168.0.18] 
03.
   *        *        *     Zeitüberschreitung der Anforderung. 
04.
 577 ms   457 ms   639 ms  SERV-0004 [192.168.20.11]
Dieser funktioniert neuer Dings, das war früher nicht der fall.
Wie bereits erwähnt, ausser der Austausch des Routers wurde nichts verändert.

Danke
Mitglied: Dobby
20.09.2013 um 22:55 Uhr
Hallo,

Haupt Standort: IP Netz 192.168.1.0 Läuft OpenVPN als Server (ehemaliger Haus Router TP-Link R460) neuer Haus Router TP-Link TL-WR1043N
Ich gehe einmal davon aus dass sich auf diesen Routern DD-WRT installiert wurde, ist das richtig?

Zweigstelle 1: IP Netz 192.168.20.0 Läuft OpenVPN als Client, Haus Router TP-Link R460
Hier wird wohl auch DD-WRT auf dem Router installiert sein, ist das richtig?

Büro (anderer Standort) 192.168.0.0 Läuft OpenVPN als Client (FritzBox Cable)
Und wo bitte ist hier der OpenVPN Klient drauf installiert oder das DD-WRT oder was auch immer,
doch wohl eher weniger auf der Fritz!Box Cable, oder?

Denn sonst wäre die Aussage im nächsten Satz leider nicht richtig!
an keinem Standort ist open VPN direkt auf einem Rechner Installiert, welcher mit dem Internet verbunden ist.
Also wo ist denn nun hier der OpenVPN Klient installiert? Etwa doch auf einem Rechner bzw. PC der hinter einem
SPI/NAT Router sitzt?

Der Hausrouter, routet entsprechend 1194 an den Rechner mit dem Server weiter.
Mittels einer Portweiterleitung an den Port 1194 meinst Du damit sicherlich, oder?

Verbindungsaufbau und so klappt auch alles, bzw früher gab es nur das Problem, dass Zweigstelle 1 nicht Büro
anpingen konnte und umgekehrt. Das war aber zu diesem Zeitpunkt kein MustHave sondern wäre nur NiceToHave.

In der Regel sieht es doch wohl aber eher so aus, dass man wenn man zwischen zwei Routern eine VPN Verbindung
aufgebaut hat, dann das dahinter liegende Netzwerk voll und ganz angesprochen bzw. erreicht werden kann.

Ich persönlich denke das Ihr den einen Router ausgetauscht habt und dann sich natürlich auch die MAC Adresse des
WAN Ports bzw. WAN Interfaces geändert hat und es nun zu Problemen kommt, weil irgend wo IP / MAC Bindungen
(IP/MAC Bindings) noch vorhanden sind! Kann das sein?

Gruß
Dobby

P.S.
1. Bitte sage nicht immer Haus Router denn das ihr die Dinger nicht im Straßengraben aufgestellt habt ist doch wohl klar.
2. Bitte benutze die Code Tags hier im Forum das ließt sich besser und bleibt auch alles in Reihe und Glied.

< code > Hier steht Dein Code drin geschrieben </code>
Hinweis
Die ersten beiden Pfeilzeichen müssen dann nur noch wieder an das Wort code herangerückt werden dann sieht es so aus:
01.
Hier steht Dein Code drin geschrieben
Bitte warten ..
Mitglied: Xoroles
21.09.2013 um 08:49 Uhr
Hallo D.o.o.b.y

Alle OpenVPN Installationen sind auf normalen Computern Installiert 2x Debian Installation 1x Win2k8R2, die Router laufen alle mit Standard Firmware und stellen nur die Verbindung zwischen WAN-LAN her.
Und haben entsprechend am Hauptstandort eine Portweiterleitung für 1194 eingerichtet.

Liebe Grüße

Marc
Bitte warten ..
Mitglied: orcape
22.09.2013 um 07:43 Uhr
Hi Xoroles,

was mir bei Deiner Serverconfig fehlt, ist ein iroute Befehl auf das oder die remoten Netze.
Hat bei mir zumindest dazu geführt, das ich zwar die Tunnel-IP des Clienten erreichen konnte, aber nicht das remote Netz.
Solltest Du hier mal mit einfügen...
client-config-dir ccd
route 192.168.0.0 255.255.255.0 # Büro
route 192.168.20.0 255.255.255.0 # Zweigstelle 1
;route 192.168.30.0 255.255.255.0 # Für die Zukunft
Wobei das von @Dobby erwähnte....
Ich persönlich denke das Ihr den einen Router ausgetauscht habt und dann sich natürlich auch die MAC Adresse des
WAN Ports bzw. WAN Interfaces geändert hat und es nun zu Problemen kommt, weil irgend wo IP / MAC Bindungen
(IP/MAC Bindings) noch vorhanden sind! Kann das sein?
wohl auch eine Möglichkeit wäre.

Gruß orcape
Bitte warten ..
Mitglied: aqui
22.09.2013 um 12:05 Uhr
Richtig, denn die Push Route Kommandos oben sind Unsinn, denn der Server kann ja niemals Routen "pushen" die nicht an ihm direkt angeschlossen sind.
Das VPN Routing ist so totaler Murks und auch absehbar das es so nicht funktionieren kann.
Orcapes Lösung sollte das fixen.
Tip: Traceroute (tracert) und Pathping) sind bei sowas immer deine besten Freunde. Da wo es kneift, also kein Next Hop angezeigt werden ist auch meist das Routing Problem !
Bitte warten ..
Mitglied: Dobby
22.09.2013 um 14:30 Uhr
.....an keinem Standort ist open VPN direkt auf einem Rechner Installiert, welcher.......

Alle OpenVPN Installationen sind auf normalen Computern Installiert 2x Debian Installation 1x Win2k8R2, die Router laufen alle mit Standard Firmware und stellen nur die Verbindung zwischen WAN-LAN her.

Irgend wie passen doch die beiden Aussagen gar nicht zusammen, oder täusche ich mich jetzt!?
Das hat mich zuerst und persönlich eben ein wenig verwirrt!

Gruß
Dobby
Bitte warten ..
Mitglied: Xoroles
22.09.2013 um 18:15 Uhr
Hallo,

die aussage ist leicht Irreführend,

sollte nur bedeuten, dass keine Maschine auf dem OpenVPN installiert ist direkt mit dem Internet verbunden ist, sondern jeweils hinter dem Router sind.

Ich danke für die Hilfe, die Geschäftsleitung hat aber gestern einen anderen Router genehmigt, und seit dem dieser Installiert ist, hat sich das Problem wieder in Luft aufgelöst.

Auch dieses mal Ohne eine Konfiguration anzufassen. Jetzt funktioniert alles wie es sein soll. Alle Standorte können sich gegenseitig erreichen. Es erklärt zwar noch nicht, woran der Fehler genau liegt aber es läuft.

das pushen der Routen war damals ein nötiger schritt, ohne klappte es nicht, gut möglich das nun natürlich einige Einstellungen Überflüssig sind, oder auch zu Fehlern führen könnten. Es funktioniert aber.

Folgendes hab ich noch gefunden im Verzeichnis ccd liegen auch noch Konfigurationen

für Zweigstelle
01.
iroute 192.168.20.0 255.255.255.0 
02.
ifconfig-push 192.168.200.9 192.168.200.10
Für Büro
01.
iroute 192.168.0.0 255.255.255.0
Natürlich genau so bezeichnet, wie die Zertifikate auf der anderen Seite lauten.

Gruß

Xoroles
Bitte warten ..
Neuester Wissensbeitrag
DSL, VDSL

Telekom blockiert immer noch den Port 7547 in ihrem Netz

(3)

Erfahrungsbericht von joachim57 zum Thema DSL, VDSL ...

Ähnliche Inhalte
Router & Routing
Routing Windows OpenVPN Server mit Teltonika RUT500 als Client (1)

Frage von ahenngee zum Thema Router & Routing ...

Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (3)

Frage von Aubanan zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...