VPN-Verbindung und ping

[rimatheou]

Hallo zusammen,

nach diesem Wiki-Artikel (https://wiki.debian.org/OpenVPN) haben wir eine VPN-Verbindung aufgebaut. Zuerst mit Static-Key, dann TLS-enabled. Beides hat geklappt. Ich weiß jedoch nicht, wie ein ping von host zu host geht. Der VPN-Server hat die interne ip 192.168.5.55, der Client die interne 192.168.0.9. Ping vom Client auf WAN-IP des Routers des Servers funktioniert. Ping von Server auf WAN-IP des Routers des Clients funktioniert seltsamerweise nicht (WAN-Ping auf beiden Routern erlaubt). Ich stelle mir das irgendwie so vor:

Code: Alles auswählen

ping -c 3 WAN-IP:interne-IP

Bloß wie?

[TomL]

Eine VPN-Verbindung wird im Regelfall zwischen 2 Geräten (Client und Server), die sich jeweils in eigenem lokalen Netz befinden, und dann ÜBER das Internet hergestellt. Und über das Internet bedeutet, dass dafür öffentliche IP-Adressen notwendig sind, oder anders gesagt, mit lokalen IP-Adressen (192.168'er) ist kein Ping über das Internet möglich. Im Regelfall halten nur DSL-Router eine öffentliche IP-Adresse bereit, oder beispielsweise auch ein via Tethering als Router funktionierendes Smartphone. Ein Ping ist also erst nach einer erfolgreich hergestellten Verbindung möglich... allerdings wiederum nicht einfach so zwischen unterschiedlichen Subnetzen.... dafür wären zusätzlich noch besondere Paketfilter-Regeln erforderlich, die NAT durchführen.

Man kann sich das, sehr weit angelehnt und ganz grobporig betrachtet, ein wenig wie ein verschlüsseltes Telefongespräch vorstellen, etwa so:

Code: Alles auswählen

Anrufer:                                                     Angerufener:

Zerhacker          Telefon
+-------------+    +---------------+
|             |    | Tel-No.:      |                Telefon              Zerhacker
| Modulation  |--->|               |--------        +---------------+    +-------------+
|             |    | 001-9876-5432 |       /        | Tel-No.:      |    |             |
+-------------+    +---------------+       ---------|               |--->| Modulation  |
                                      <- Audio ->   | 0201-12345678 |    |             |
                                      Telefonnetz   +---------------+    +-------------+


Mobiles Client-Gerät (Laptop, Smartphone):                     Server im Heimnetzwerk:

Virtuelles
OpenVPN-NIC        Physisches NIC
+-------------+    +---------------+                                     Virtuelles
| 10.8.0.8    |    | 172.10.17.200 |                Physisches NIC       OpenVPN-NIC
|             |--->|               |--------        +---------------+    +-------------+
| VPN-Client  |    |  Client-PC    |       /        | 192.168.0.200 |    | 10.8.0.1    |
+-------------+    +---------------+       ---------|               |--->|             |
                                     <-TCP-Pakete-> |  Home-Server  |    | VPN-Server  |
                                        Internet    +---------------+    +-------------+

[rimatheou]

Also: das, was ich will, geht nicht. Vielen Dank für die Mühe. Es bleibt noch herauszufinden, weshalb kein Ping vom VPN-Server auf die WAN-IP des Client-Routers möglich ist. Von einem anderen Gerät als dem VPN-Server aus ist es auch nicht möglich. Werde berichten.

[TomL]

Es bleibt noch herauszufinden, weshalb kein Ping vom VPN-Server auf die WAN-IP des Client-Routers möglich ist. Von einem anderen Gerät als dem VPN-Server aus ist es auch nicht möglich.

Im Regelfall ist das umgekehrt, ein VPN-Client pingt einen VPN-Server zur Kontrolle der Verbindung dieses Transfernetzes an. Um die WAN-IP des DSL-Routers auf der Server-Seite anzupingen braucht es gar kein VPN, das geht einfach via Internet direkt - sofern nicht eingestellt hat, dass der Router nicht antworten soll. Und wobei zu beachten ist, dass der Ping auf die WAN-IP des DSL-Routers über das VPN ein lokaler Ping ist.

[rimatheou]

Ich kenne das von meinem lokalen Heimnetz, dass ich immer in beide Richtungen gepingt habe. Der VPN-Client hat einen Router von hitron technologies, Modell CVE-30360. Dazu habe ich gelesen, dass ein Anwender mit diesem Router (Kabelanschluss) keine eigene WAN-IP hat, sondern sich in einem WAN-IP-Pool befindet und deswegen kein ping funktioniert. Im Router-Menü lässt sich auch keine WAN-IP finden. Die wurde über einen entsprechenden Service im Browser herausgefunden. Wie dem auch sei...

[mat6937]

..., dass ein Anwender mit diesem Router (Kabelanschluss) keine eigene WAN-IP hat, sondern sich in einem WAN-IP-Pool befindet und deswegen kein ping funktioniert. Im Router-Menü lässt sich auch keine WAN-IP finden.

Dann hat dieser Anwender DS-lite und im Router-Menü wird die IPv6-Adresse und die IPv6-Adresse des AFTR-Gateways gefunden. Die IPv4-Adresse aus dem "WAN-IP-Pool" kann man auch in der Kommandozeile mit z. B.:

Code: Alles auswählen

dig +short myip.opendns.com @208.67.222.222

(oder gleichwertig) zeigen lassen.

[rimatheou]

Die IPv4-Adresse aus dem "WAN-IP-Pool" kann man auch in der Kommandozeile mit z. B.:

Code: Alles auswählen

dig +short myip.opendns.com @208.67.222.222

(oder gleichwertig) zeigen lassen.

Vom Client-Rechner aus (mit der hitron-box) oder vom Server aus? Und was setze ich für
myip.opendns.com, wenn es nach außen keine Domain gibt, sondern nur intern?

Ist 208.67.222.222 in diesem Beispiel die interne IP-Adresse?

Sorry für die blöden Fragen, aber dig kenne ich nicht.

[mat6937]

Vom Client-Rechner aus (mit der hitron-box) oder vom Server aus? Und was setze ich für
myip.opendns.com, wenn es nach außen keine Domain gibt, sondern nur intern?

Ist 208.67.222.222 in diesem Beispiel die interne IP-Adresse?

..., aber dig kenne ich nicht.

In deinem Fall, vom Client-Rechner (DS-lite-Anschluss ?)
"myip.opendns.com" ist so richtig und kann nur mit den DNS-Server (hier 208.67.222.222) von OpenDNS aufgelöst werden.
Statt dig kannst Du auch host oder nslookup oder drill oder gleichwertig benutzen. Z. B.:

Code: Alles auswählen

:~ $ nslookup -q=A myip.opendns.com 208.67.222.222
Server:		208.67.222.222
Address:	208.67.222.222#53

Non-authoritative answer:
Name:	myip.opendns.com
Address: 46.###.###.##

[rimatheou]

Also: ich habe die Befehle dig ... und nslookup ... auf dem Client ausführen lassen, aber wir erhielten beide male dieselbe IP wie bei einem Anbieter a la "Wie ist meine IP" über Google. Ein ping von mir auf die WAN-Schnittstelle war leider nicht erfolgreich (obwohl im Router erlaubt).

[rimatheou]

Code: Alles auswählen

ping -6 -c 3 2a02:810d:0:11:####:####:####:5bf
ping: connect: Das Netzwerk ist nicht erreichbar

[Tintom]

Im Router-Menü lässt sich auch keine WAN-IP finden.

Hast du schon im Handbuch nachgeschaut? Auf S. 27 steht es:
https://kabel.vodafone.de/static/media/ ... -30360.pdf

[rimatheou]

Ich habe das Handbuch konsultiert. Ich vermute, es liegt an unterschiedlichen IP-Versionen. Ich habe noch alles über ipv4 und die Gegenstelle verwendet ipv6.

[eggy]

https://openvpn.net/community-resources ... envpn-2-4/

tun devices encapsulate IPv4 or IPv6 (OSI Layer 3) while tap devices encapsulate Ethernet 802.3 (OSI Layer 2).

Versuch mal tap statt tun in der Config auf beiden Seiten.

[unitra]

Das hat nichts mit dem ursprünglichen Problem zu tun. TUN wird gegen TAP ausgetauscht, und Keiner lernt was.

https://openvpn.net/community-resources ... envpn-2-4/

tun devices encapsulate IPv4 or IPv6 (OSI Layer 3) while tap devices encapsulate Ethernet 802.3 (OSI Layer 2).

Versuch mal tap statt tun in der Config auf beiden Seiten.

[TomL]

Das Problem liegt daran, dass er auf einem IPv4-Client natürlich auch IPv6 aktivieren muss und zusätzlich auf diesem Client ein IPv6-Gateway verfügbar sein muss, um über das Internet einen VPN-Server hinter einem DS-Lite-Anschluss zu erreichen. Der Wechsel von tun auf tap-Device wird das nicht lösen können.

[Tintom]

Das Problem liegt daran, dass er auf einem IPv4-Client natürlich auch IPv6 aktivieren muss und zusätzlich auf diesem Client ein IPv6-Gateway verfügbar sein muss, um über das Internet einen VPN-Server hinter einem DS-Lite-Anschluss zu erreichen.

Ping vom Client auf WAN-IP des Routers des Servers funktioniert.

[TomL]

Unter welchen Bedingungen und zu welcher Zeit ...?... was ich an keiner Stelle erkennen kann. Stattdessen:

Der VPN-Server hat die interne ip 192.168.5.55, der Client die interne 192.168.0.9.

ping -6 -c 3 2a02:810d:0:11:####:####:####:5bf

Ich habe noch alles über ipv4 und die Gegenstelle verwendet ipv6.

[Tintom]

Hallo zusammen,

nach diesem Wiki-Artikel (https://wiki.debian.org/OpenVPN) haben wir eine VPN-Verbindung aufgebaut. Zuerst mit Static-Key, dann TLS-enabled. Beides hat geklappt.

Wenn Client und Server eine Verbindung aufbauen können ist das schonmal gut.

Ich weiß jedoch nicht, wie ein ping von host zu host geht.

Wenn du dich strikt an die Anleitung gehalten hast, dann steht dort:

To verify that the VPN is running, you should be able to ping 10.9.8.2 from the server and 10.9.8.1 from the client.