Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Netz Problem

Frage Microsoft Windows Netzwerk

Mitglied: nullpeiler

nullpeiler (Level 1) - Jetzt verbinden

24.04.2012, aktualisiert 18.10.2012, 3711 Aufrufe, 18 Kommentare

Hallo Comunity.
Ich bastle an ein eigenen VPN per Openvpn.
Hab schon mehrere Tutorials, hier und auf anderen Plattformen durchgelesen.

Mein Problem ist ich habe ein W2K3 Server auf dem ein VPN-Server alla Openvpn installiert und soweit auch konfiguriert.
Die Clients können sich alle Verbinden aber das Lan das hinter dem Openvpnserver liegt nicht.
meine Serverconfig sieht wie folgt aus

local 192.168.0.199
port 55601
proto udp
dev tun



  1. ----------------------------------------------
  2. Server-Setup
  3. ----------------------------------------------

server 10.18.14.0 255.255.255.0
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\ipp.txt"
client-to-client

  1. ----------------------------------------------
  2. Client-Settings (inkl Special Dir)
  3. ----------------------------------------------

  1. (if needed) client-config-dir ccd

#route 192.168.0.0 255.255.0.0
push "route 192.168.0.0 255.255.255.0"
#push "redirect-gateway"
#push "route-gateway 192.168.0.199"
push "dhcp-option DNS 192.168.0.7"
push "dhcp-option WINS 192.168.0.7"

  1. ----------------------------------------------
  2. Defaults
  3. ----------------------------------------------

keepalive 10 120
comp-lzo
persist-key
persist-tun

  1. ----------------------------------------------
  2. Managment
  3. ----------------------------------------------

management localhost 7505

  1. ----------------------------------------------
  2. Logging
  3. ----------------------------------------------

status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
Mitglied: aqui
24.04.2012, aktualisiert 18.10.2012
Wie immer bei diesem "Problem" die Kardinalsfrage: Wo zeigen die Default Gateway Einträge der LAN Clients hin ?
Genau DAS hast du nämlich nicht beantwortet und genau DAS ist der Punkt in deinem Design...vermutlich ?!
Dein OpenVPN Server arbeitet intern mit dem IP Netz 10.18.14.0, folglich hat ein sich einwählender OVPN Client auch diese Absender IP.
Wenn dieser Client nun z.B. auf einem Drucker in deinem lokalen LAN 192.168.0.0 /24 drucken will, der Drucker aber den lokalen DSL Router als Gateway eingetragen hat wie vermutlich alle Geräte in diesem LAN Segment, landet das Antwortpakt ins 10.18.14.0er Netz (VPN Client) erstmal auf diesem Router...logisch soweit !
Der sieht nun in seiner Routing Tabelle nach ob er dort einen Routing Eintrag für dieses Netz hat. Vermutlich findet er nichts und schickt das Paket dann an seine Default Route, sprich ins Provider Netz und damit ins Nirwana.... Nichts geht also..genau das was du siehst.
Leider schilderst du deinen Netzaufbau nicht genau so das man nur raten kann Ist das obige Szenario aber dein Szenario dann musst du eine statische Route ala:
Zielnetz: 10.18.14.0, Maske: 255.255.255.0, Gateway: <LAN_ip_adresse_server>
auf deinem Internet Router konfigurieren damit die Pakete auch ihr (VPN) Ziel erreichen können.
Damit hat der Internet Router dann seinen statischen Routing Eintrag und schickt dann alle 10.18.14.0er IP Adressen an den OVPN Win Server im LAN 192.168.0.x der diese Pakete dann wieder sauber ins VPN routen kann und alles wird gut.
Mit ein bischen nachdenken und vor allen Dingen Traceroute oder Pathping kommt man auch von selber drauf !
Alles weitere dazu findest du in diesem Tutorial:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: nullpeiler
24.04.2012 um 14:57 Uhr
Hallo und danke dir aqui. Der LAN Gateway ist die 192.168.0.250 würde es reichen eine statische Route auf den VPN Server?
Bitte warten ..
Mitglied: aqui
24.04.2012 um 15:40 Uhr
Ja, ganz genau ! Dort eine statische Route auf das 10.18.14.0 /24 er Netz eintragen mit der Server IP 192.168.0.x als next Hop.
Dann kannst du mal einen aktiven Client Tracerouten oder Pathpingen und das sollte dann klappen und zwar zu allen Geräten im lokalen 192.16.0.0er LAN !
Bitte warten ..
Mitglied: nullpeiler
25.04.2012 um 08:27 Uhr
Hab den Eintrag gemacht geht aber nicht hier die routing tabelle

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.0.250 192.168.0.199 10
10.18.14.0 255.255.255.252 10.18.14.1 10.18.14.1 30
10.18.14.0 255.255.255.0 192.168.0.199 192.168.0.199 1
10.18.14.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.18.14.1 10.18.14.1 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.199 192.168.0.199 10
192.168.0.199 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.0.255 255.255.255.255 192.168.0.199 192.168.0.199 10
224.0.0.0 240.0.0.0 10.18.14.1 10.18.14.1 30
224.0.0.0 240.0.0.0 192.168.0.199 192.168.0.199 10
255.255.255.255 255.255.255.255 10.18.14.1 10.18.14.1 1
255.255.255.255 255.255.255.255 192.168.0.199 192.168.0.199 1
Standardgateway: 192.168.0.250
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
10.18.14.0 255.255.255.0 192.168.0.199 1
Bitte warten ..
Mitglied: aqui
25.04.2012 um 09:26 Uhr
Was soll das sein ?? Das ist die Routing Tabelle vom OVPN Windows Server ?!!
Dort ist die statische Route natürlich totaler Blödsinn, denn dein Server kennt ja alle netze !! Es geht um den Internet Router !!
Die statische Route muss auf dem Internet Router eingetragen werden !!! Denn der ist doch das Default Gateway für die Clients.
Entferne also schnellstens wieder diese statische Route vom Server selber die ist Unsinn ! Und lies dir bitte die logische Beschreibung oben nochmal durch, denn dann wird der Routing Weg eines Paketes in deinem netz doch gleich klar !
Sinnvoll wäre also ein Screenshot oder Konfig Auszug deines Internet Routers damit wir hier kontrollieren können ob du DORT die fehlende statische Route nachgetragen hast, denn nur da gehört sie hin !! (Schlimm genaug das du das nicht selbst kontrollieren kannst....)
Gehe also in das Setup deines Routers, dann dort unter Static Routes und DORT trägst du sie ein !
Wo ist ein Traceroute oder Pathping Output von einem Client ??
Lass dir doch hier nicht alles einzeln aus der Nase ziehen sondern poste hier relevante Outputs damit wir dir hier zielgerichtet helfen können
Bitte warten ..
Mitglied: nullpeiler
25.04.2012 um 11:08 Uhr
Ich kann kein Tracen oder Pathping schicken da ich sonst eine unserer statischen Ip Preis geben würde.
Ich hab auf dem Router folgende Route eingetragen:
Ziel: 10.18.14.0
Maske: 255.255.255.0
Typ: LAN
Gateway: 192.168.0.199(VPN-Server)
So wie du es geschrieben hast. Welchen Gateway muss ich in der Server.conf angeben?
Bitte warten ..
Mitglied: aqui
25.04.2012 um 11:12 Uhr
Das ist dann genau richtig ! In der server.conf muss nix stehen ! warum auch, denn der Server hat ja ein Default Gateway auf den Router, oder ?
Damit muss es dann sauber klappen.
Pinge einfach vom Router und auch von einem LAN Client jetzt mal die 10.18.14.1 an das ist die OVPN Server IP. Die muss erreichbar sein per Ping !
Auch per Traceroute (tracert) oder Patchping mit den entsprechenen Hops !
Wenns klappt klappts auch mit dem VPN. Wenn nicht dann ist es nur noch ein Winblows Problem, das Win ggf. das falsche Firewall Profil auf das VPN Interface loslässt !
Bitte warten ..
Mitglied: nullpeiler
25.04.2012 um 11:55 Uhr
Nein geht nicht weder vom router noch vom Client. Firewall ist für den Test auf dem Server deaktiviert. Wenn ich ein Pathping auf den Client mache springt er vom Server auf den default-gateway und wieder zurück auf den vpn-server als würde er das 10er Netz nicht kennen aber die Route steht im Gateway. Wenn ich aber von einen LAN Client einen Pathping mache springt er vom Client auf den Router und dann auf dem VPN-Server.
Pathpinge ich aus dem LAN auf den VPN-CLient kommt der Gateway und anschließend der VPN-Server und dann springt er immer vom Gateway zum Server aber nicht auf den VPN-Client.
Bitte warten ..
Mitglied: nullpeiler
27.04.2012 um 11:16 Uhr
Ok ich komm jetzt in das 192.168.0.0 Netz zumindest bis zum Vpn-Server sowohl über 10.18.14.1 und 192.168.0.199, die anderen Server im LAN erreich ich noch nicht.
Bitte warten ..
Mitglied: aqui
27.04.2012, aktualisiert 18.10.2012
Mach mal bitte einen Screenshot WIE du diese Route auf dem Internet Gateway eingeben hast !
Oder beschreib mal welches Gerät du als Internet Router verwendest.
De facto hast du da irgendeinen Mist als statische Route eingegeben !!
Wie ist dein OVPN Server im Netz ?? Mit einer oder 2 NICs so wie es hier dargestellt ist ??
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: nullpeiler
30.04.2012 um 08:44 Uhr
Hab es jetzt nochmal auf einen Debian aufgesetzt ohne routen einzutragen. Als Router kommt ein bintec x1200II zum einsatz und ich nehme an das dort auch das Problem liegt.
Pathping vom LanClient zum VPNClient:
Routenverfolgung zu 10.18.14.6 über maximal 30 Abschnitte

0 [192.168.0.28] LAN Client
1 192.168.0.250 Gateway
VPN CLient?

Am Server ist nur ein NIC. Was ich im Router eingetragen hab steht weiter oben. Könnte es sein das die Route ins Netz vorwärts und rückwärts eingetragen werden muss?
Bitte warten ..
Mitglied: aqui
01.05.2012 um 11:31 Uhr
Ja, wie zu erwarten stoppt der Ping/Traceroute am Gateway also dem Bintec Router. Logisch und vorhersehbar wenn der keine statische Route auf den OVPN Server (LAN Interface) eingetragen hat, der ja wiederum selber Router für das 10er VPN Netz ist !!
Wie sollte er denn auch die Route ins 10.18.14er netz finden wenn er diesen Eintrag nicht hat ???
Ohne diese statische Route routet er das 10er Netz immer zum Provider (das ist seine Default Route !) wo es dann im Nirwana verschwindet !
Dein Verhalten ohne diese Route oben ist also genau so wie es sein soll und führt zur sicheren Fehlfunktion, die du ja auch siehst.
Sowie du also die statische Route im Bintec einträgst ist dein Problem sofort gelöst.
Wenn der Bintec die .250 hat und der OVPN Server die .199, dann muss die statische Route auf dem Bintec Router folgendermaßen lauten:
Zielnetz: 10.18.14.0, Maske: 255.255.255.0, Gateway: 192.168.0.199


Wenn du nun vom LAN Client z.B. 192.168.0.100 den VPN Client 10.18.14.6 anpingst schickt der LAN Client das Paket wie gehabt an den Router denn das 10er Netz ist ja nicht lokal !
Der Router sieht jetzt in seiner Routing Tabelle nach ob er das 10er Netz kennt. Außer seiner default Route zum Provider hat er nun einen dedizierten Routing Eintrag für das 10er Netz der im sagt: "Sende das Paket dafür an die 192.168.0.199 den OVPN Server im LAN", was der Bintec Router denn auch macht.
Kannst du übrigens immer schön mit einem Wireshark Sniffer oder dem kostenfreien Microsoft NetworkMonitor auf dem Server selber sehen.
Wenn das 10er Paket nun am Server mit der .199 ankommt routet der das selber weiter, denn das 10er VPN Netz ist ja direkt selber an ihm angeschlossen ! (Achtung: Ggf. immer checken das die lokale Firewall hier nix blockt !!)
Fertig ! So funktioniert das Netzwerk dann mit korrektem Routing.
Ist doch eigentlich ganz einfach und logisch, oder ? Im o.a. Tutorial sogar mit Bild !
Bitte warten ..
Mitglied: nullpeiler
02.05.2012 um 08:12 Uhr
Hallo Aqui ich hab doch die Route drin im Router (siehe weiter oben) als Ziel 10.18.14.0 Maske 255.255.255.0 Typ LAN und Gateway 192.168.0.199. Genauso wie du es geschrieben hattest. Meine Befürchtung ist das ich die Route rückwärts nochmal eintragen muss.
Bitte warten ..
Mitglied: nullpeiler
02.05.2012 um 09:40 Uhr
Oder muss ich da ich es ja jetzt auf debian laufen hab und nichtmehr mit windows noch in iptables was ändern?
Bitte warten ..
Mitglied: aqui
02.05.2012 um 19:25 Uhr
Nein rückwärts musst du die Route nicht eintragen, denn der OVPN Server (Debian) hat ja (hoffentlich) einen Default Gateway Eintrag auf den Router mit der .250, oder ??
Iptables ist da eher schon ein Thema !! Das solltest du einmal erstmal global deaktivieren um auf Nummer sicher beim Testen zu gehen.
Wie alle anderen lokalen Firewalls blocken die auch alles was nicht vom lokalen Netzwerk ist !!
Bitte warten ..
Mitglied: nullpeiler
03.05.2012 um 12:21 Uhr
Ok nachdem ich jetzt nochmal die Routen studiert hab und mir aufgefallen ist das wohl der dhcp der im Openvpn drinn ist auf der 10.18.14.2 ist und ja nur der auch die Adressen des 10er Netzes kennt, da er sie ja vergibt. Hab ich auf dem VPN Server noch zusätzlich diese Route eingetragen. Route add 10.18.14.0 mask 255.255.255.0 10.18.14.2 (gw) und mit -p permanent eingetragen. Beide Netze kennen sich jetzt und kann auf das komplette Netzwerk zugreifen.
Bitte warten ..
Mitglied: aqui
03.05.2012, aktualisiert 18.10.2012
Das ist völliger Blödsinn, denn OpenVPN vergibt dort immer P2P Pärchen mit einer 32 Bit Maske per PPP innerhalb des 10.18.14er Netzes wobei der OpenVPN selber die .1 hat. Mit DHCP hat das nix das Geringste zu tun.
Die Route ist auch völliger Unsinn wenn du mal bedenkst das du einen Route desselben Netzes auf ein Gateway im gleichen Netz zeigen lässt...das ist krank aber keine Route. Also von Routen studieren... kann ja hier wohl kaum die Rede sein, oder ?
Mal ganz abgesehen davon das am OVPN Server diese Netze IMMER direkt dran sind er diese Netze also selber kennt und statische Routen damit eh überflüssig sind.
Dieser Routing Eintrag ist also völliger Unsinn und kontraproduktiv, denn du müsstest ihn für jedes /32er PPTP Pärchen wiederholen. Keine sinnvolle Konfig würde sowas machen !
In deiner Windows Kiste ist kein Routing aktiviert !!
Das ist dein eigentliches Problem was du jetzt auf die harte Brechstangen Tour mit der statischen Verbiege Route gemacht hast !
Hier:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
steht wie du das Routing auf dem 2k3 mit einem Mausklick aktivierst ! Dann klappts auch ohne diesen Unsinn mit den Routen !
Bitte warten ..
Mitglied: nullpeiler
03.05.2012 um 15:42 Uhr
Ich hab übrigens Routing an mit der Funktion LAN-Routing und es funktioniert dennoch nicht! Ich bin mir sicher das es mit dem Router zusammenhängt, das der Gateway nicht so weiterleitet wie er soll. Der Bintec ist in dieser hinsicht sehr hackelig. Es geht nur mit diesem Eintrag und zwar auf alles IPs die von Openvpn vergeben werden.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
gelöst VPN- Routing - Problem - Netzwer 1 kommt auf 2 aber anders herum nicht (8)

Frage von itschloegl zum Thema Router & Routing ...

Microsoft
AD Problem und VPN (4)

Frage von Yannosch zum Thema Microsoft ...

Router & Routing
gelöst FritzBox VPN nur für internes Netz nutzen (15)

Frage von aif-get zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...