Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

RoadWarrior OpenVPN funktioniert nur in Richtung Client

Frage Netzwerke LAN, WAN, Wireless

Mitglied: orcape

orcape (Level 2) - Jetzt verbinden

25.02.2013, aktualisiert 19:24 Uhr, 3557 Aufrufe, 6 Kommentare

Hallo Leute,
Ein funktionierender OpenVPN-Tunnel bleibt eine Einbahnstraße.
Ist der Surfstick schuld ?

Ich habe pfSense auf einem ALIX installiert. Darauf laufen bereits 2 separate OpenVPN-Tunnel als funktionierende LAN-to-LAN Verbindung.
Da ich WAN-seitig keine feste IP habe, läuft das ganze mit DynDNS seit Monaten problemlos.
Nun habe ich einen weitern Tunnel als RoadWarrior aufgebaut, der nur dazu dienen soll, meinen Laptop von unterwegs mit dem Fileserver im Homenetz zu verbinden.
Zum Test habe ich zu Hause mal einen RTL-Prepaid Surfstick in den Laptop gesteckt, um den Tunnel mal zu checken.
Das Signal war mit gerade mal 20 % nicht gerade berauschend aber ich hatte Internetverbindung.
Der Tunnel funktioniert auch, leider nur nicht wie gewünscht.
Ich habe ssh-Verbindung von meinem Rechner im LAN der pfSense, zum Laptop.
Trotz in der pfSense gesetzter Rules, push "route zum Fileserver" und stehender Tunnelverbindung, ist keine Verbindung vom Laptop zur pfSense bzw. zum Fileserver möglich.
Anpingen kann ich vom Laptop aus nur die Tunnel-IP auf dem Laptop, die auf dem Server ist nicht pingbar, obwohl der Tunnel nach wie vor funktioniert und keine Fehlermeldungen bringt.
Die Routing Tabellen würde ich auch für OK halten.
Nun habe ich im Netz darüber leider nur wiedersprüchliches gelesen, was UMTS-Provider betrifft.
Könnte das Problem mit dem Surfstick zu tun haben ?
Gruß und Danke
orcape
Mitglied: aqui
25.02.2013 um 20:25 Uhr
Firewall Rules hast du richtig gesetzt bzw. mal ins Firewall Log geschaut ob da was geblockt wird ?
Lokale Server Firewalls entsprechend angepasst um den Zugriff zu erlauben ?
Bitte warten ..
Mitglied: orcape
25.02.2013, aktualisiert 26.02.2013
Hi aqui,
die WAN-Rule mit dem Tunnelport passt und der OpenVPN Eintrag zum Fileserver stimmt auch.
Müsste also eigentlich funktionieren. In den Firewall-Logs steht auch nichts.
Ich muss das noch mal von einem Fremdnetz ohne den Stick checken.
Dir ist auch nicht bekannt, ob da bei den Providern vielleicht NAT gemacht wird und das dann in eine Richtung geblockt wird.
Der Tunnel geht trotzdem, weil ja der Server auf der pfSense ist ?
Gruß orcape

Hier steht eventuell die Ursache...
http://www.lawblog.de/index.php/archives/2010/04/19/anonym-uber-umts/
Bitte warten ..
Mitglied: orcape
24.05.2013, aktualisiert 25.05.2013
Hi,

ich bin leider trotz einiger Recherchen im Netz nicht so richtig zum Ziel gekommen.
Der Tunnel steht, zumindest für ICMP und ssh weiter als Einbahnstraße.
nmap meldet mir "host down" für meine DMZ und für mein LAN.
Eingabe vom OpenVPN-Client aus.....
root@schrotti:/#ip r s
default via 192.168.0.1 dev wlan0 proto static
10.15.8.1 via 10.15.8.5 dev tun0
10.15.8.5 dev tun0 proto kernel scope link src 10.15.8.6
169.254.0.0/16 dev wlan0 scope link metric 1000
192.168.0.0/24 dev wlan0 proto kernel scope link src 192.168.0.100
192.168.155.0/24 via 10.15.8.5 dev tun0
Also ist mein Netz (192.168.155.0/24) über den Tunnel auch erreichbar.
Fakt ist, der Provider blockt hier einiges einfach ab, was wohl "NAPT" zuzuschreiben ist.

Gruß orcape
Bitte warten ..
Mitglied: aqui
25.05.2013, aktualisiert um 14:24 Uhr
Mit dem Provider kann es nichts zu tun haben ! Du hast einen SSL Tunnel mit UDP 1194, wenn der Fehlerfrei aufgebaut wird ist der Provider raus.
Alle Produktivdaten werden verschlüsselt im Tunnel selber übertragen. Daten im Tunnel sind somit vollkommen intransparent, sprich unsichtbar für den Provider.
Stell dir das wie einen Gartenschlauch vor. Der Provider sieht nur den Schlauch selber, nicht aber das Wasser was in ihm fliesst ! Er weiss noch nichtmal ob Wasser, Cola oder Bier im Gartenschlauch ist !
Folglich kann er also niemals dedizierte Inhalte aus dem "Schlauch" selber filtern.
Es sieht weiterhin irgendwie stark nach einem Regelfehler in der Firewall aus oder...nach einer Fehlkonfiguration lokaler Firewalls der Endsysteme.
Bedenek das du die Regeln beidseitig ! auf beiden Endgeräte Interfaces anpassen musst oder erstmal mit any zu any auf "Scheunentor" stellen solltest zum Test.
Bitte warten ..
Mitglied: orcape
25.05.2013, aktualisiert um 19:46 Uhr
Hi Aqui,

Du hast einen SSL Tunnel mit UDP 1194, wenn der Fehlerfrei aufgebaut wird ist der Provider raus.
Der Tunnel steht und ist auch von Serverseite aus problemlos nutzbar. Zugriff per ssh auf Linux-Client kein Thema.
Die Einstellungen auf der Serverseite (pfSense) sind identisch mit denen von 2 weiteren Tunneln, die problemlos funktionieren.
Der OpenVPN-Linux-Client ist "jungfräulich", d.h. iptables ist installiert aber keine Rule gesetzt.
Der UMTS-WLAN-Router hat keine Firewall aktiviert (NAT ist aus) unabhängig davon, nur mit UMTS-Stick, gleiches Ergebnis.
nmap liefert folgende Ergebnisse meines pfSense-DMZ-Interfaces vom Linux- (OpenVPN-Client) aus....
root@schrotti:/#nmap -sU 172.16.7.1
Starting Nmap 6.00 ( http://nmap.org ) at 2013-05-25 14:46 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.05 seconds
und....
root@schrotti:/#nmap -Pn 172.16.7.1
Starting Nmap 6.00 ( http://nmap.org ) at 2013-05-25 15:47 CEST
Nmap scan report for 172.16.7.1
Host is up.
All 1000 scanned ports on 172.16.7.1 are filtered
Nmap done: 1 IP address (1 host up) scanned in 201.39 seconds
Gleiche Ergebnisse bei Zugriff auf das LAN-Interface.
Es werden definitiv die Pings geblockt, warum auch immer...
Der Versuch mit ssh....
root@schrotti:/#ssh -w 172.16.7.1
Bad tun device '172.16.7.1'
Siehst Du noch eine Möglichkeit das mit nmap genauer zu lokalisieren.
Wireshark hat mir auch nichts anderes gebracht.
Leider habe ich im Internet dazu nur Halbwahrheiten zu lesen bekommen.
UMTS-Prepaid ist so eine "Grauzone"

Gruß orcape

Kleiner Nachtrag....
root@schrotti:/#nmap -Pn 10.15.8.1
Starting Nmap 6.00 ( http://nmap.org ) at 2013-05-25 18:49 CEST
Nmap scan report for 10.15.8.1
Host is up.
All 1000 scanned ports on 10.15.8.1 are filtered
Nmap done: 1 IP address (1 host up) scanned in 201.59 seconds
Bitte warten ..
Mitglied: orcape
26.05.2013, aktualisiert um 14:52 Uhr
Hi Aqui,

Du hattest wie fast immer mal wieder Recht.
Ich habe noch mal die pfSense Rules gecheckt.
Es war nur eine Rule auf den Server in der DMZ gesetzt, der ist aber im Moment offline.
Eine Rule von OpenVPN auf das pfSense LAN-Interface gesetzt und ich kann dieses pingen und mich per ssh verbinden.
Ändert aber nichts daran, das sich das Servertunnelende 10.15.8.1, vom OpenVPN-Client aus, nicht pingen lässt.
root@schrotti:/#nmap 10.15.8.1
Starting Nmap 6.00 ( http://nmap.org ) at 2013-05-26 14:32 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.04 seconds
.....und.....
root@schrotti:/#nmap -Pn 10.15.8.1
Starting Nmap 6.00 ( http://nmap.org ) at 2013-05-26 14:42 CEST
Nmap scan report for 10.15.8.1
Host is up.
All 1000 scanned ports on 10.15.8.1 are filtered
Nmap done: 1 IP address (1 host up) scanned in 201.41 seconds

nmap lügt nicht...
Hast Du eine Erklärung dafür, die den Provider ausschließt ?

Gruß orcape
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Faxserver funktioniert vom Client aus nicht richtig (9)

Frage von CharlyXL zum Thema Windows Server ...

LAN, WAN, Wireless
gelöst Netzwerk funktioniert nur in eine Richtung mit Gigabit (28)

Frage von DrChiwago zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...