jensgebken
Goto Top

Probleme mit openvpn im lan

hallo gemeinschaft

ich habe eine fritzbox - diese kann ich von "aussen" ansprechen - innerhalb der fritzbox ist ein portforwarding von 1194 auf die ip adresse des ubuntu, auf dem openvpn läuft

von aussen kann ich, nachdem ich die openvpn verbindung aufgebaut habe, diesen rechner anpingen

nun soll der ubuntu, der bei mir im lan netz hängt es ermöglichen, dass ich auch meinen windowsserver 192.168.25.5 ansprechen kann

verwende am ubuntu diesen befehl
push "route 192.168.25.0 255.255.255.0"

Content-Key: 331380

Url: https://administrator.de/contentid/331380

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: orcape
orcape 07.03.2017 um 10:24:22 Uhr
Goto Top
Hallo Jens,
Shift Taste kaputt? face-wink
Wie schon gesagt. Zum Test, Windows Firewall aus?
Gruss orcape
Mitglied: 132272
132272 07.03.2017 aktualisiert um 11:55:39 Uhr
Goto Top
Das ist kein Problem sondern eine Wissenslücke!

Entweder am Ubuntu mit iptables den Traffic aus dem Tunnel NATen
iptables -t nat -A POSTROUTING -i tun0 -o eth0 -j MASQUERADE
oder bevorzugt im LAN des Servers eine statische Route für das OVPN Netz auf dem Default GW anlegen welche auf den Ubuntu-Server zeigt!
Simpelste Routing-Grundlagen, wenn man sich den Paketverlauf mal vor Augen führt...

Gruß
Mitglied: michi1983
michi1983 07.03.2017 um 10:27:51 Uhr
Goto Top
Hallo,

und wie immer wäre eine kleine Zeichnung deines Netzes als Übersicht sehr hilfreich für alle hier.

Wo hängt denn dein Windows Server? An der Fritzbox?
Wie ist die IP Adressierung der Fritzbox konfiguriert?
Wie ist die IP Adressierung des OpenVPN Servers konfiguriert?
Switche? Router? Firewalls?

Gruß
Mitglied: jensgebken
jensgebken 07.03.2017 um 10:46:30 Uhr
Goto Top
fritzbox 192.168.25.254
ubuntu 192.168.25.110
windowsserver 192.168.25.5
verbindung über switch
Mitglied: orcape
orcape 07.03.2017 um 10:50:37 Uhr
Goto Top
Kannst Du denn vom Ubuntu aus, den Windowsserver pingen?
Mitglied: michi1983
michi1983 07.03.2017 um 10:52:17 Uhr
Goto Top
Zitat von @orcape:
Kannst Du denn vom Ubuntu aus, den Windowsserver pingen?
Dazu müsste er mit hoher Wahrscheinlicheit wie @132272 bereits gesagt hat den OpenVPN Traffic mit iptables NATen.
Mitglied: jensgebken
jensgebken 07.03.2017 um 10:56:52 Uhr
Goto Top
anpingen innerhalb des lan kann ich den windows rechner von ubuntu aus
Mitglied: orcape
orcape 07.03.2017 um 10:57:03 Uhr
Goto Top
Zitat von orcape:
Kannst Du denn vom Ubuntu aus, den Windowsserver pingen?
Dazu müsste er mit hoher Wahrscheinlicheit wie @132272 bereits gesagt hat den OpenVPN Traffic mit iptables NATen.
Der hängt bei Ihm im LAN 192.168.25.0/24, sollte als funktionieren.
Im übrigen ist das Netz dem OpenVPN-Server bekannt....
push "route 192.168.25.0 255.255.255.0"
Mitglied: 132272
132272 07.03.2017 aktualisiert um 11:04:33 Uhr
Goto Top
Zitat von @orcape:
Im übrigen ist das Netz dem OpenVPN-Server bekannt....
Tja min Jung, dem schon aber dem Windows Server nicht denn der würde dann sein GW fragen wenn geroutet statt genattet wird! Deswegen @jensgebken obiger Anleitung folgen und es läuft ...
Mitglied: orcape
orcape 07.03.2017 um 11:04:51 Uhr
Goto Top
Tja min Jung, dem schon aber dem Windows Server nicht!
Ja min Jung, da scheinst Du wohl wahr zu haben. face-wink
Mitglied: jensgebken
jensgebken 07.03.2017 um 11:34:23 Uhr
Goto Top
wie würde denn dann der befehl aussehen?

lg und danke erstmal
Mitglied: 132272
132272 07.03.2017 aktualisiert um 11:36:22 Uhr
Goto Top
Zitat von @jensgebken:
wie würde denn dann der befehl aussehen?
Steht doch oben in meinem ersten Post. Interfaces natürlich an deine Umgebung anpassen!
Mitglied: jensgebken
jensgebken 07.03.2017 um 11:44:27 Uhr
Goto Top
eth0 ist es bei mir

dann würdest du es so nehemen

iptables -t nat -A POSTROUTING -i tun0 -o eth0 -j MASQUERADE
Mitglied: 132272
132272 07.03.2017 aktualisiert um 11:52:41 Uhr
Goto Top
Zitat von @jensgebken:

eth0 ist es bei mir

dann würdest du es so nehemen

iptables -t nat -A POSTROUTING -i tun0 -o eth0 -j MASQUERADE
Ja, und wenn "tun0" das OpenVPN Tunnel-Interface ist.

Natürlich ist das nur für deinen laufenden Test da die Regeln ja nach einem Neustart wieder rausfliegen, für die Übernahme nach einem Neustart musst du das natürlich dauerhaft in die config laden. Z.B. über das iptables-persistent-Package und iptables-save.

Das steht aber alles in fast jeder OpenVPN Anleitung...
Mitglied: aqui
aqui 07.03.2017 aktualisiert um 11:55:50 Uhr
Goto Top
Nein !
NAT ist kontraproduktiv und solltest du besser lassen wenn irgend möglich.

Was passiert ist doch klar ! Dein VPN Client spricht wie VPN Tunnel den Windows Server 192.168.25.5 an.
Dieser hat aber als Default Gateway die FritzBox.
Der VPN Client kommt jetzt mit der internen OVPN IP Adresse, nämlich die die du mit server 172.16.2.0 255.255.255.0 (Beispiel) in deiner server.conf Datei für OVPN in Ubuntu konfiguriert hast, an.
Beispiel auch hier.

Der Winblows Server will also nun auf die 172.16.2.x VPN Client IP antworten und schickt das Paket an die FritzBox als seinen Default Router.
Da deinen FritzBox keine statische Route auf den Ubuntu OVPN Server hat (der ja das Gateway ins VPN netz ist !) schickt es diese Antwortpakete dann zum Internet Provider und damit dann ins Nirwana mit dem Ergebnis das nix geht.
Fazit: Lösung kinderleicht!
Trage einfach eine feste statische Route in deine FritzBox ein die dir das OVPN Netzwerk auf deinen Ubuntu Server routet ala:
Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: <ip_adresse_ubuntu>

Et voila...schon stimmt das Routing und du kannst dir die Frickelei mit NAT sparen !
Mitglied: 132272
132272 07.03.2017 aktualisiert um 11:56:22 Uhr
Goto Top
Zitat von @aqui:
Nein !
NAT ist kontraproduktiv und solltest du besser lassen wenn irgend möglich.
Hatte ich oben ja vorgeschlagen face-wink. Nur leider lesen die Fragensteller hier keine Anleitungen mehr "vollständig" durch...
Mitglied: aqui
aqui 07.03.2017 aktualisiert um 11:57:23 Uhr
Goto Top
Hatte ich oben ja vorgeschlagen
..und ist erheblich sinnvoller als die iptables Frickelei face-wink
Das mit dem Lesen sind wahre Worte.....!
Mitglied: michi1983
michi1983 07.03.2017 um 12:11:55 Uhr
Goto Top
Klappt nur so nicht wenn der TO wie er selbst schreibt dem OpenVPN Netz das selbe IP Netz wie das der Fritte verpasst.
Mitglied: aqui
aqui 07.03.2017 aktualisiert um 12:20:08 Uhr
Goto Top
Na ja, wer macht denn auch solchen Schwachsinn...???! Sorry, aber im Ernst: das ist ja per se schon ein Kardinalsfehler im IP Adressdesign.
Mehrfach wir hier in den diversen VPN Tutorials immer und immer wieder darauf hingewiesen wie z.B. hier
Und....
das kann man mit dem nano Editor in 10 Sekunden ändern im Ubuntu und der server.conf Datei. Dann...
/etc/init.d/openvpn restart
Statische Route FritzBox eintragen...
Fertisch!...in 30 Sekunden ist das angepasst und gefixt und der (eigentlich überflüssige) Thread hier geschlossen.
Bekommt jeder Grundschüler hin.
Mitglied: jensgebken
jensgebken 07.03.2017 um 14:12:44 Uhr
Goto Top
nein, vom vpn bekommt der client so etwas wie 10.2.8....

das ist doch richtig so und entspricht doch auch dem weiterführenden thread von aqui
Mitglied: michi1983
michi1983 07.03.2017 um 14:20:23 Uhr
Goto Top
Zitat von @jensgebken:
nein, vom vpn bekommt der client so etwas wie 10.2.8....
das ist doch richtig so und entspricht doch auch dem weiterführenden thread von aqui

Und wann hattest du vor uns das mitzuteilen?
Auf der Fritte dann einfach die statische Route eintragen und gut ist.
Mitglied: aqui
aqui 07.03.2017 aktualisiert um 15:43:04 Uhr
Goto Top
So ist es....
Zielnetz: 10.2.8.0, Maske: 255.255.255.0, Gateway: 192.168.25.<ubuntu>
<ubuntu> natürlich mit der LAN IP des Ubuntu VPN Servers im lokalen LAN ersetzen!
Fertisch !
Mitglied: jensgebken
jensgebken 07.03.2017 um 23:36:47 Uhr
Goto Top
Kann ich das auch beim Ubuntu eintragen?
Mitglied: michi1983
michi1983 07.03.2017 um 23:47:34 Uhr
Goto Top
Zitat von @jensgebken:

Kann ich das auch beim Ubuntu eintragen?
Natürlich... Bringt halt nix
Mitglied: 132272
132272 08.03.2017 aktualisiert um 07:45:43 Uhr
Goto Top
Zitat von @jensgebken:
Kann ich das auch beim Ubuntu eintragen?
Überleg doch mal, dein Windows Server bekommt eingehende Pakete von 10.8.2.0/24 woher soll er nun wissen wohin er seine Antwort schicken soll, "er denkt sich: hmm hab ich ja gar nicht in meiner Routing-Tabelle"?! Genau, er fragt sein Default-GW nach einer Route, und das ist die Fritte. Wenn nun die Fritte nicht weis wo das 10.8.2.0/24 Netz liegt fragt diese ihrerseits Ihr Default GW und das ist der Internet-Provider -> Ergo gehen die Pakete verloren!!!
Also muss die statische Route auf die Fritte oder alternativ am Windows Server eine statische Route anlegen wenn nur dieser aus dem VPN erreicht werden soll. Und wie oben geschrieben als letzte Option ein NAT am Ubuntu, denn dann wird die Quelladresse jedes Pakets das vom Tunnel in das LAN fließt auf die LAN-Adresse des Ubuntu umgeschrieben.
Mitglied: aqui
aqui 08.03.2017 aktualisiert um 12:01:20 Uhr
Goto Top
Kann ich das auch beim Ubuntu eintragen?
Man kann sich auch ne Frikadelle ans Knie nageln und so lange drehen bis man UKW drin hat... !

Manchmal muss man sich schon sehr wundern über die Logik von einigen TOs hier...??? Trotz mehrfacher, laiengerechter Erklärung wie ein Paket in dem Netz wandert macht es kein "Klick".... Vielleicht hilft ja ne Zeichnung dem TO?! Ein Bild sagt ja manchmal mehr als 1000 Worte...
Mitglied: jensgebken
jensgebken 08.03.2017 um 15:46:40 Uhr
Goto Top
lieben dank für die beiträge - nur zur info wie es dann geklappt hat für die, die ein gleiches problem haben

in der fritzbox muss nur das forwarding eingetragen werden von den ports auf die ip des rechners, auf dem openvpn läuft (bei mir 192.168.25.110)

das ip-forwarding auf dem openvpn rechner muss aktiviert werden
sudo sysctl -w net/ipv4/ip_forward=1

in die server.conf kommt das
push "route 192.168.25.0 255.255.255.0" (hängt natürlich von dem ip block ab)

falls der server nicht als default gw läuft, dann bitte noch diesen term ausführen
sudo route add -net 10.8.0.0 netmask 255.255.255.0 gw vpn.server.i.p (bei mir 192.168.25.110)

falls ihr keine fritzbox habt, dann noch diese iptables regeln erstellen
sudo iptables -A FORWARD -o eth0 -i tun0 -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

und dann klappt es so wie gewünscht
Mitglied: aqui
Lösung aqui 10.03.2017 um 11:35:59 Uhr
Goto Top
Deine Shift Taste ist defekt. Solltest du beizeiten mal reparieren denn es ist nicht immer spaßig solche Texte lesen zu müssen !
in der fritzbox muss nur das forwarding eingetragen werden von den ports auf die ip des rechners, auf dem openvpn läuft
Ist logisch und seit Jahrzehnten etablierter Standard wenn Server hinter irgendwelchen NAT Firewalls von Routern laufen. Siehe auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
das ip-forwarding auf dem openvpn rechner muss aktiviert werden
Nein, nicht unbedingt wenn die lokale Firewall nicht aktiv ist. Was sie auch normalerweise in einem internen Netzwerk nicht ist.
in die server.conf kommt das
Simpler Standard, denn sonst würde das lokale LAN nicht als Route an den Client gesendet werden !
Steht auch genau so im hiesigen OpenVPN Tutorial !

Aber gut wenn nun alles rennt wie es soll....
Bitte dann auch: Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?
nicht vergessen!
Mitglied: orcape
orcape 10.03.2017 um 12:24:40 Uhr
Goto Top
Deine Shift Taste ist defekt. Solltest du beizeiten mal reparieren denn es ist nicht immer spaßig solche Texte lesen zu müssen !
Das ist wohl der neue Trend oder nur einfach Faulheit, vor allem wenn da steht, "von meinem Smartphone gesendet".
Wenn es nur die Kleinschreibung wäre, da fehlen aber auch jede Menge Satzzeichen.
Die Deutsche Sprache ist eben nicht jedermanns Sache.
Nur gut, das die Konsole jeden noch so kleinen Fehler, gnadenlos bestraft. Da werden Sie geholfen. face-wink
Gruss orcape