Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Routingprobleme

Frage Netzwerke Router & Routing

Mitglied: enceee

enceee (Level 1) - Jetzt verbinden

04.02.2011, aktualisiert 18.10.2012, 3849 Aufrufe, 19 Kommentare

Hallo Leute,

nach etlichen Versuchen und so manchen grauen Haaren, wende ich mich jetzt an euch. Ich habe mit OpenVPN erfolgreich eine Verbindung zwischen clients und dem server aufgebaut. Ich krieg es einfach nicht, die Routes so zu setzen, das ich auf das LAN hinter dem Server zugreifen kann. Ich habe glaub ich schon so ziemlich alles tuts durchgekämpft, die passen könnten. Ich find den Fehler einfach nicht. Ports auf Serverseite sind auf dem Router zum Server-PC geforwarded und eine statische Route ist ebenfalls vergeben (siehe unten).

Situation wie folgt:

LAN1 (ServerLAN)
IP-Bereich: 192.168.1.0/255.255.255.0 (alles statisch vergeben)
lokale IP Server: 192.168.1.180
VPN IP Server: 10.0.10.1/255.255.255.0
IP Router (Gateway): 192.168.1.1
WAN-IP und DNS des Routers sind statisch vergeben

LAN2
IP-Bereich: 192.168.34.0/255.255.255.0 (via DHCP)
VPN-Clients-Bereich: 10.0.10.0/255.255.255.0 (dynamisch vergeben, siehe server-conf)
IP Router (Gateway): 192.168.34.250
WAN-IP dynamisch über ISP


SERVER-Config

mode server
tls-server
proto udp
port 1194
dev tap
dev-node XXXXX
dh "PFAD"\dh1024.pem
ca "PFAD"\ca.crt
key "PFAD"\server.key
cert "PFAD"\server.crt
ifconfig 10.0.10.1 255.255.255.0
ifconfig-pool 10.0.10.2 10.0.10.10
client-to-client
float
push "route 192.168.1.0 255.255.255.0"
push "route-gateway 10.0.10.1"
tun-mtu 1500
tun-mtu-extra 32
max-clients 6
verb 3
mute 50
keep-alive 10 60
ping-timer-rem
persist-key
persist-tun


CLIENT-Config

remote WWW.XXX.YYY.ZZZ
port 1194
dev tap
dev-node XXXXX
tls-client
ca "PFAD"\ca.crt
key "PFAD"\client.key
cert "PFAD"\client.crt
ns-cert-type server
pull
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun


Die statische Route auf dem Router der Serverseite sieht so aus
Destination IP-Adress: 10.0.10.0
IP Subnet Mask: 255.255.255.0
Gateway IP-Adress: 192.168.1.180


Folgend die Routing-tabelle der Clientseite (interessant ist die schnittstelle des vorletzten eintraese der aktiven routen)

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.34.250 192.168.34.150 25
10.0.10.0 255.255.255.0 10.0.10.2 10.0.10.2 30
10.0.10.2 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.10.2 10.0.10.2 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 192.168.34.150 192.168.34.150 30
192.168.1.0 255.255.255.0 10.0.10.1 10.0.10.2 1
192.168.34.0 255.255.255.0 192.168.34.150 192.168.34.150 25
192.168.34.150 255.255.255.255 127.0.0.1 127.0.0.1 25
192.168.34.255 255.255.255.255 192.168.34.150 192.168.34.150 25
224.0.0.0 240.0.0.0 10.0.10.2 10.0.10.2 30
224.0.0.0 240.0.0.0 192.168.34.150 192.168.34.150 25
255.255.255.255 255.255.255.255 10.0.10.2 10.0.10.2 1
255.255.255.255 255.255.255.255 192.168.34.150 b0004 1
255.255.255.255 255.255.255.255 192.168.34.150 192.168.34.150 1
Standardgateway: 192.168.34.250
Ständige Routen:
Keine





Ich hoffe Ihr könnt mir helfen und meinen Fehler finden. Würde die ganze Sache gerne mal zum Abschluss bringen.

Gruss
enceee
Mitglied: aqui
04.02.2011, aktualisiert 18.10.2012
Dieses Tutorial hast du gelesen...??
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Das steht eigentlich alles um das auf Anhieb zum Fliegen zu bringen !
Die Konfig ist immer identisch, egal welche HW.
Bitte warten ..
Mitglied: enceee
04.02.2011 um 23:02 Uhr
Router ist nicht DD-WRT-fähig.
Bitte warten ..
Mitglied: MiniStrator
05.02.2011 um 01:55 Uhr
Die statische Route auf dem Router der Serverseite sieht so aus
Destination IP-Adress: 10.0.10.0
IP Subnet Mask: 255.255.255.0
Gateway IP-Adress: 192.168.1.180

Hi,

fehlt da vielleicht ne Route 192.168.34.0/24 10.0.10.1?
kenn mich mit openVPN nicht wirklich aus, aber der Router sollte doch erfahren wo er Pakete an 192.168.34.0/24 hinschicken soll?

Ne Routing Tabelle vom Server wär gut und die Ausgabe eines tracert auf beiden Seiten

Gruß
MiniStrator
Bitte warten ..
Mitglied: enceee
05.02.2011 um 06:59 Uhr
Hier die RT der Serverseite

Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.180 10
10.0.10.0 255.255.255.0 10.0.10.1 10.0.10.1 30
10.0.10.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.10.1 10.0.10.1 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.180 192.168.1.180 10
192.168.1.180 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.180 192.168.1.180 10
224.0.0.0 240.0.0.0 10.0.10.1 10.0.10.1 30
224.0.0.0 240.0.0.0 192.168.1.180 192.168.1.180 10
255.255.255.255 255.255.255.255 10.0.10.1 10.0.10.1 1
255.255.255.255 255.255.255.255 10.0.10.1 2 1
255.255.255.255 255.255.255.255 192.168.1.180 192.168.1.180 1
Default Gateway: 192.168.1.1
Persistent Routes:
None




fehlt da vielleicht ne Route 192.168.34.0/24 10.0.10.1?
kenn mich mit openVPN nicht wirklich aus, aber der Router sollte doch erfahren wo er Pakete an 192.168.34.0/24 hinschicken soll?


Meinst du den Route brauche ich? Im Prinzip soll er ja die Pakete an die Clients zurückschicken (10.0.10.0/10). Welche lokale IP die Clients haben ist doch erstmal egel, oder?

Ich habe die Vermutung, dass es mit dem statischen WAN-DNS auf der Serverseite zu tun hat. Ist das möglich?
Bitte warten ..
Mitglied: broecker
05.02.2011 um 09:05 Uhr
fehlt da vielleicht ne Route 192.168.34.0/24 10.0.10.1?
genau!
und noch ein Hinweis, wenn man eh alles anfaßt, vielleicht sollte man 10. als Tunnel meiden, im Zusammenspiel mit UMTS-Adaptern wird häufig "als quasi öffentliche" ein bischen 10. vergeben und scheidet dann komplett (!!!) aus, ich habe gute Erfahrungen mit 172.16-31.x.x in dem Szenario gemacht.
Bitte warten ..
Mitglied: enceee
05.02.2011 um 09:47 Uhr
das versteh ich nicht ganz. Also die o.a. Route soll auf der Serverseite eingerichtet werden? spielt denn die 192.168.34.0 Subnet überhaupt eine rolle? Das würde ja bedeuten, dass die Verbindung dann nur klappt, wenn ich in dem besagten Netzwerk LAN2 bin. Wenn ich jetzt von unterwegs auf das LAN1 zugreifen möchte, dann klappt das ja nicht mehr oder?
Bitte warten ..
Mitglied: aqui
06.02.2011 um 13:56 Uhr
@enceee
.. ."Router ist nicht DD-WRT-fähig." = Diese Aussage ist völlig irrelevant ! Es spielt bei OpenVPN keinerlei Rolle ob das auf DD-WRT oder Debian, SuSE oder Mac OS-X oder was auch immer rennt. Das solltest du als OpenVPN Benutzer eigentlich ja mittlerweile wissen.
Relevant ist einzig die Konfig Datei.
Genau die ist explizit im o.a. Tutorial beschrieben. Wenn du dem also schritt für Schritt folgst und das entsprechend umsetzt wird das in wenigen Minuten genau so funktionieren wie du es willst !!
Das ist eine einfache und simple Standard Konfig !!
Bitte warten ..
Mitglied: MiniStrator
06.02.2011 um 15:44 Uhr
Hi,

DNS glaub ich nicht. Ausser du testest mit 'ping server1' oder sowas. Was geht denn eigentlich genau nicht? Sollte sich der Tunnnel aufbauen lassen, was gibt am Client ein tracert '192.168.1.180' aus?
Wenn du auf das LAN hinter dem VPN-Server zugreifen willst, was haben die für ein Standardgateway? Den Server oder den Router? Funktioniert auf diesen ein 'Ping 10.0.10.1' ?
Ist auf dem Server Routing überhaupt aktiviert?

Gruß
MiniStrator
Bitte warten ..
Mitglied: enceee
07.02.2011 um 17:52 Uhr
also ping vom client auf 192.168.1.180 geht. Die Rechner im LAN hinter dem Server haben die 192.168.1.1 (Router) als Standardgateway. Der wiederum hat ne statische Route auf 192.168.1.180 für Anfragen des 10.0.10.0er Netzes. Ich kann auf keinen der REchner im LAn hinter dem Server zugreifen (kein Ping und auch kein Zugriff). Es befindet sich auch noch ein NAS hinter dem Server. Hab da mal die 192.168.1.180 als Standardgateway definiert. geht auch nicht. Hab dann beim NAS mal ne statische Route eingefügt. 10.0.10.0er Netz auf 192.168.1.180 leiten. Geht auch nicht. Hoffe euch fällt noch was ein.

tracert vom client aus ergibt:

Routenverfolgung zu 192.168.1.180 über maximal 30 Abschnitte

1 83 ms 55 ms 55 ms 192.168.1.180

Ablaufverfolgung beendet.
Bitte warten ..
Mitglied: MiniStrator
07.02.2011 um 18:09 Uhr
Hi!

Was hat auf dem Server in der Registry HKLM/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/IPEnableRouter für einen Wert?
Wenn 0 dann probier mal mit 1.

MiniStrator
Bitte warten ..
Mitglied: enceee
07.02.2011 um 18:24 Uhr
Die Änderung bewirkt auch kein erfolgreiches Resultat.
Bitte warten ..
Mitglied: MiniStrator
07.02.2011 um 18:31 Uhr
Was sagt ein tracert 192.168.1.andererrechner vom Client?
Und ein tracert 10.0.10.1 von nem anderen Rechner im 192.168.1 Netz?
Bitte warten ..
Mitglied: enceee
07.02.2011 um 19:36 Uhr
>Was sagt ein tracert 192.168.1.andererrechner vom Client?

C:\>tracert 192.168.1.254

Routenverfolgung zu 192.168.1.254 über maximal 30 Abschnitte

1 85 ms 56 ms 55 ms 10.0.10.1
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.
5 * * * Zeitüberschreitung der Anforderung.

usw.

>Und ein tracert 10.0.10.1 von nem anderen Rechner im 192.168.1 Netz?

traceroute to 10.0.10.1 (10.0.10.1), 30 hops max, 40 byte packets
1 10.0.10.1 (10.0.10.1) 164.574 ms

Edit:

Merke gerade, dass ich zugriff auf den Router im 192.168.1.0er LAN habe. Aber komme nicht an die REchner dahinter
Bitte warten ..
Mitglied: MiniStrator
07.02.2011 um 20:17 Uhr
Also ist der Server der Blocker. Von 192.168.1.x geht, nehm ich an, auch kein ping nach 10.0.10.2 aber vom VPN Server aus schon.

Hast du mit den registrysettings mal einen reboot gemacht? Diese Einstellung wäre, falls RAS nicht konfiguriert ist, wichtig.

Merke gerade, dass ich zugriff auf den Router im 192.168.1.0er LAN habe. Aber komme nicht an die REchner dahinter

Gib mal dem Testclient ne hart verdrahtete Route 192.168.1.0/24 gw 10.0.10.1 mit.
Wenns dann immer noch nicht tut, dem Rechner im 1er Netz noch ne Route 10.0.10.0/24 gw 192.168.1.180

Harter Brocken das...
Bitte warten ..
Mitglied: enceee
07.02.2011 um 20:34 Uhr
Zitat von MiniStrator:
Also ist der Server der Blocker. Von 192.168.1.x geht, nehm ich an, auch kein ping nach 10.0.10.2 aber vom VPN Server aus schon.

ping vom 192.168.1.1 zu 10.0.10.2:

Operation succeeded.
64 bytes from 10.0.10.2: icmp_seq=0 ttl=127
64 bytes from 10.0.10.2: icmp_seq=1 ttl=127
64 bytes from 10.0.10.2: icmp_seq=2 ttl=127
64 bytes from 10.0.10.2: icmp_seq=3 ttl=127

geht also schon


trace route von 192.168.1.1 zu 10.0.10.2:
traceroute to 10.0.10.2 (10.0.10.2), 30 hops max, 40 byte packets
1 192.168.1.180 (192.168.1.180) 144.232 ms
2 10.0.10.2 (10.0.10.2) 66.129 ms

geht auch

also schiebt er die pakete anscheinend doch über den Server (lokal 192.168.1.180->VPN10.0.10.1) auf den Client (10.0.10.2). Irgendwie ist das strange.

Zitat von MiniStrator:
Hast du mit den registrysettings mal einen reboot gemacht? Diese Einstellung wäre, falls RAS nicht konfiguriert ist,
wichtig.

Hab ich!!!


Zitat von MiniStrator:
Harter Brocken das....

Du sagst bzw. schreibst es!!!!
Bitte warten ..
Mitglied: MiniStrator
07.02.2011 um 20:42 Uhr
also schiebt er die pakete anscheinend doch über den Server (lokal 192.168.1.180->VPN10.0.10.1) auf den Client (10.0.10.2). Irgendwie ist das strange.

Ja nö, der Server ist ja das einzige wo das 10.0.10.x Netz kennt. Das müss über den gehen.

Also wenn du von 192.168.1.1 nach 10.0.10.2 kommst (und zurück, sonst tät ja kein Ping gehen) was ist es dann wo nicht geht?

Edit: Öhm, nimm mal die 10.0.10.0 Route vom Router raus

Edit2: Ich seh grad, 192.168.1.1 ist ja der Router. Was sagt das tracert von einem anderen Rechner in dem Netz?
Bitte warten ..
Mitglied: MiniStrator
07.02.2011 um 21:09 Uhr
Der Fernseher und der Wein rufen mich gerade, sorry, morgen weiter..

N8
Bitte warten ..
Mitglied: enceee
07.02.2011 um 21:15 Uhr
Kein Ding, jetzt komm ich eh gar nicht mehr auf den Server nach dem ich die Route gelöscht habe.
Muss wohl morgen auch erstmal wieder schauen, was da los ist.

gutes nächtle und lass dir den wein schmecken

EDIT:

Zitat von MiniStrator:
Edit: Öhm, nimm mal die 10.0.10.0 Route vom Router raus

Ohne die Route kein Ping oder erfolgreicher tracert vom 192.168.1.0er Netz auf 10.0.10.1 möglich

mit Route:

C:\>tracert 10.0.10.1

Routenverfolgung zu 10.0.10.1 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms 192.168.1.1
2 3 ms 2 ms 3 ms 10.0.10.1

Ablaufverfolgung beendet.

Gruss enceee
Bitte warten ..
Mitglied: MiniStrator
09.02.2011 um 22:15 Uhr
Hi,

sorry, edit löst keine Mail aus...

Und was macht ein tracert 10.0.10.2? (wenn ein VPN-Client verbunden ist und diese Adresse hat)

Gruß MiniStrator

Ach ja, danke, Wein war gut
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Netzwerkgrundlagen
gelöst Heimnetzwerk über Server im Internet und OpenVPN erreichbar machen (16)

Frage von byt0xm zum Thema Netzwerkgrundlagen ...

Linux Netzwerk
OpenVPN, zwei OpenWRT Router verbinden und VLAN durchs VPN leiten (6)

Frage von sharbich zum Thema Linux Netzwerk ...

Router & Routing
Eine Steuerung hinter dem OpenVPN Client erreichen (15)

Frage von cannonball zum Thema Router & Routing ...

Router & Routing
gelöst OpenVPN und PPTP Verbindung (3)

Frage von Veritas zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (9)

Frage von JayyyH zum Thema Switche und Hubs ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...