openvpn site to site / routing problem auf einer seite

[TommyH99]

Hallo Linux Gemeinde

Ich habe 2 Standorte, die ich mit einander verbinden möchte bzw verbunden sind.

OPENVPN Server im Standort1:

LAN: 192.168.35.0/24
VPN GW: 192.168.35.202
VPNServer : 192.168.88.1

OPENVPN Client im Standort2:

LAN: 192.168.0.0/24
VPN GW: 192.168.0.150
VPN Client: 192.168.88.11

! VPN Tunnel steht zwischen beiden Standorten !






Standort1:
Clients können die Clients am Standort2 erreichen (LAN to LAN) # wie gewünscht

LAN Client Standort1:

Code: Alles auswählen

Ethernet-Adapter intern:
   IPv4-Adresse  . . . . . . . . . . : 192.168.35.200
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.35.1

Routing Client Standort1:

Code: Alles auswählen

Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0     192.168.35.1  Standard
     192.168.88.0    255.255.255.0   192.168.35.202       1
      192.168.0.0    255.255.255.0   192.168.35.202       1

Ping vom Standort1 Client to Client Standort 2

Antwort von 192.168.0.150: Bytes=32 Zeit=37ms TTL=63

Schaut ja alles gut aus






Standort2:
Clients können die Clients am Standort1 nicht erreichen (LAN to LAN)

LAN Client Standort2:

Code: Alles auswählen

 IPv4-Adresse  . . . . . . . . . . : 192.168.0.149
 Subnetzmaske  . . . . . . . . . . : 255.255.255.0
 Standardgateway . . . . . . . . . : 192.168.0.254

Routing am Client

Code: Alles auswählen

Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
     192.168.35.0    255.255.255.0    192.168.0.150       1
     192.168.88.0    255.255.255.0    192.168.0.150       1

OPENVPN Client Standort2:
erreicht alle Clients am Standort1

Routing am vpn Client

Code: Alles auswählen

 route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.254   0.0.0.0         UG    202    0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     204    0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     202    0        0 eth0
[B]192.168.35.0    192.168.88.1    255.255.255.0   UG    1      0        0 tap0[/B]
192.168.88.0    0.0.0.0         255.255.255.0   U     0      0        0 tap0

TCDUMP:

Code: Alles auswählen

tcpdump -nni tap0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap0, link-type EN10MB (Ethernet), capture size 65535 bytes
15:17:03.750244 IP 192.168.0.149 > 192.168.35.200: ICMP echo request, id 1, seq 63879, length 40
15:17:08.388410 IP 192.168.0.149 > 192.168.35.200: ICMP echo request, id 1, seq 63880, length 40
15:17:13.387572 IP 192.168.0.149 > 192.168.35.200: ICMP echo request, id 1, seq 63881, length 40
15:17:18.386828 IP 192.168.0.149 > 192.168.35.200: ICMP echo request, id 1, seq 63882, length 40

Ich bin blind oder stupide ... aber wieso kann der oder die Clients am Standort2 nicht die Clients erreichen ... das Routing sollte passen ... irgendwie stehe ich an.

Vielleicht kann jemand helfen!
Sollten Infos fehlen, bitte um Info


Danke und LG Tommy

[orcape]

Hi,
wenn ich richtig verstanden habe, die Clients auf OVPN-Clientseite erreichen das Server-LAN nicht ?
Dann poste doch mal die OpenVPN-Configs und verrate mir mal Deine Hardware, worauf Server und Client laufen.
Gruß orcape

[dufty2]

Ping vom Standort1 Client to Client Standort 2

Antwort von 192.168.0.150: Bytes=32 Zeit=37ms TTL=63

Schaut ja alles gut aus

Nö, Du pingst hier "nur" den OpenVPN-client (linux-hobel) nicht aber den (windows-)client (z. B. 192.168.0.149) an.

Es fällt auf, dass bei "Routing Client Standort1" die Default-Route vorhanden ist,
bei "Routing Client Standort2" jene aber fehlt. Copy&Paste-Fehler?

Damit mit das ganz funkionokelt, müsste jeweils noch die sog. "lokale Route" vorhanden sein (zuminderst wird sie so unter Linux gebraucht, bei Windows bin ich mir nicht sicher):
192.168.35.0 0.0.0.0 255.255.255.0 (Standort 1)
bzw.
192.168.0.0 0.0.0.0 255.255.255.0 (Standort 2)
Möglicherweise ist sie bei Windows unter den "Aktiven Routen" enthalten.

[TommyH99]

@orcape

danke, ja korrekt und eigentlich - wie @dufty2 richtig erkannt hat - komm ich vom ovpn Client auch nicht weiter.

Server: rasperry pi debian
Lan IP: 192.168.35.202
VPN GW IP: 192.168.88.1

server.conf

Code: Alles auswählen

port 1194
proto udp
dev tap
mode server
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
tls-server
ifconfig 192.168.88.1 255.255.255.0
ifconfig-pool 192.168.88.10 192.168.88.30
client-to-client
keepalive 1800 4000
cipher BF-CBC
comp-lzo
mute-replay-warnings
persist-key
persist-tun

log /var/log/openvpn.log
status /var/log/openvpn-status.log
verb 3
mute 20

Route am Server:

Code: Alles auswählen

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.35.1    0.0.0.0         UG    0      0        0 eth0
192.168.0.0     192.168.88.1    255.255.255.0   UG    0      0        0 tap0
192.168.0.0     192.168.88.1    255.255.255.0   UG    1      0        0 tap0
192.168.1.0     192.168.88.1    255.255.255.0   UG    0      0        0 tap0
192.168.35.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.88.0    0.0.0.0         255.255.255.0   U     0      0        0 tap0

Client: Rasperry Pi debian
LAN IP: 192.168.0.150
VPN IP: 192.168.88.11
VPN GW: 192.168.88.1

client.conf

Code: Alles auswählen

client
dev tap
proto udp
remote X.X.X.X
resolv-retry infinite
nobind
persist-key
persist-tun
tls-client
ca /etc/openvpn/ca.crt
cert /etc/openvpn/test.crt
key /etc/openvpn/test.key
cipher BF-CBC
comp-lzo
verb 3
log /var/log/openvpn.log

Route am Client:

Code: Alles auswählen

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.254   0.0.0.0         UG    202    0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     204    0        0 tap0
192.168.0.0     0.0.0.0         255.255.255.0   U     202    0        0 eth0
192.168.35.0    192.168.88.1    255.255.255.0   UG    1      0        0 tap0
192.168.88.0    0.0.0.0         255.255.255.0   U     0      0        0 tap0

Die Clients die im Client LAN hängen haben schon die Route aktiv

Code: Alles auswählen

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.0.254    192.168.0.144     10
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.0.0    255.255.255.0   Auf Verbindung     192.168.0.144    266
    192.168.0.144  255.255.255.255   Auf Verbindung     192.168.0.144    266
    192.168.0.255  255.255.255.255   Auf Verbindung     192.168.0.144    266
     192.168.35.0    255.255.255.0    192.168.0.150    192.168.0.144     11
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.0.144    266
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.0.144    266
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
    [b] 192.168.35.0    255.255.255.0    192.168.0.150       1[/b]
===========================================================================

ein anderer Client ist direkt per openVPN verbunden ist hat folgende Route

192.168.35.0 255.255.255.0 192.168.88.1

und kommt auf das Server LAN und kann auch Applikationen ausführen ... jetzt will ich diesen Client ja weg bekommen und den Rasperry Pi als VPN Client im LAN einbinden und eigentlich sollte sich am User Client die Route nur vom GW von 192.168.88.1 auf 192.168.0.150 ändern.

Danke und lG

[orcape]

Hi,
mal etwas ganz Grundsätzliches.
Du verwendest bei Deinem Tunnel das TAP-Device (dev tap), das bedeutet Du Bridgest LAN und remotes LAN.
Wenn Du das wirklich so willst, solltest Du beidseitig gleiche Netze haben, mit dem Nachteil, das Du sämtlichen Broadcast-Traffic auch über den Tunnel laufen hast, was dann, ausser der Verschlüsselung noch zusätzlich ausbremst.
Besser wäre das TUN-Device (dev tun), damit routest Du und kannst unterschiedliche Netze verwenden.
Solltest Du Windows Rechner im Client-Standort verwenden, an die Firewall denken !
Gruß orcape