[Gelöst] Routing openvpn

[DaGrrr]

Hallo,

ich benutzte einen Asus WL.500G Deluxe Router auf dem OpenWrt läuft.
Das ganze läuft Prima. Ich habe eth1 (WLAN) von der Bridge gelöst, damit das WLAN (192.168.2.0/24) getrennt vom LAN (192.168.1.0/24) in einem seperatem Netzwerk läuft.

Damit ich 11MBit pcmcia Karten auch mit starker Verschlüsselung nutzen kann habe ich auf dem Router OpenVPN installiert. Die Verbindung zum Router per Openvpn läuft prima.

Zum testen erstmal nur mit Preshared Keys.

Mein Problem ist vermutlich ein kleiner Fehler im Routing:

Ich kann vom Notebook die TUN-IP (10.1.0.1) vom Router anpingen und auch die interne LAN-IP (192.168.1.1) vom Router.

Ich möchte aber auch andere PCs im LAN erreichen können, was momentan nicht geht.

Konfigurationen laut Postingregeln hier:
http://nopaste.debianforum.de/2068

Nochmal kurz beschrieben:
Ping vom Notebook an 192.168.2.1 - geht
Ping vom Notebook an 192.168.1.1 - geht
Ping vom Notebook an 10.1.0.1 - geht
Notebook hat kann über OpenVPN-Tunnel surfen

Ping vom Notebook an 192.168.1.150 - geht NICHT
also kein Zugriff auf die LAN PCs was aber gewünscht ist.

Hat jemand eine Idee?

Grüße
DaGrrr

[schoeppchen]

Ist es evtl. iptables? Kannst die verworfenen Pakete irgendwo einsehen am Router? Vermutlich fehlt dir nur eine Regel wie

iptables -A FORWARD -o tun0 -j ACCEPT

Welche Meldung bringt der ping? Netwwork/Host nicht erreichbar oder einfach keine Antwort?

[DaGrrr]

Hi,

ja, auf dem Router läuft ein richtiges Linux mit SSH Shell-Zugang.
Iptables läuft ebenfalls darauf.
iptables -A FORWARD -o tun0 -j ACCEPT habe ich mal eingebaut aber es ist noch das gleiche.

Wenn ich vom Notebook auf den LAN-PC pinge kommt keine Antwort!

Danke schon mal.

Grüße
DaGrrr

[gms]

Hatte gestern eine ähnliche Vermutung, das Problem ist, daß dieses iptables Script nicht vollständig ist. Kannst du das komplette Script, oder noch besser die Ausgabe von

Code: Alles auswählen

iptables -nvL
iptables -nvL -t nat

posten (möglichst nach einem fehlgeschlagenen ping-Versuch).

Hast du auf dem OpenWrt auch einen Sniffer wie z.B tcpdump ?

Code: Alles auswählen

tcpdump -l icmp | tee dump.log

vielleicht hilft dir dieses weiter, oder du kannst uns das dump.log posten

Gruß
gms

[DaGrrr]

Wie gewünscht alles per nopaste:

http://nopaste.debianforum.de/2069

Danke

Grüße
DaGrrr

[schoeppchen]

Baue doch mal bitte in dein iptables Skript ein, dass die Pakete nicht per default nur geDROPed, sondern vorher auch noch geLOGed werden. Dann können wir sicher sein, das iptables blocked (wovon ich auch jetzt schon ausgehe!).

[DaGrrr]

Hi,

danke für deinen Beitrag.

Ich muß mal schauen, wie das bei OpenWrt ist, denn es gibt keine syslog.conf, obwohl es einen syslogd gibt. Werde das wohl erstmal confen müssen.
Die einzigen Dateien in /var/log sind wtmp und lastlog.

Grüße
DaGrrr

[gms]

DIe einzigen Pakete die gedroppt wurden, wurden durch die Defaultregel der FOWARD-Chain erfaßt. Könntest auch einmal kurz diese Defaultregel auf ACCEPT setzen um herauszufinden ob es wirklich an den Filterregeln liegt
Bin ich mir jetzt gar nicht mehr so sicher, weil sowohl "-i tun0" als auch "-o tun0" erlaubt ist und trotzdem die "-o tun0" Regel kein Paket bekommen hat.

Gruß
gms

[meandtheshell]

@DaGrrr
in meiner Signatur auf "Verhaltensregeln ..." klicken ---> Punkt 2.6

Verstehe das bitte nicht als Schulmeisterei von mir - wenn sich alle daran halten haben auch alle einen Nutzen davon (Übersichtlichkeit, Referenzen auf bestimmte snippets ohne auf den Thread referenzieren zu müssen etc.) - so long

Vielleicht kannst du das Posting oben nachträglich nochmals formatieren?

markus

[DaGrrr]

Könntest auch einmal kurz diese Defaultregel auf ACCEPT setzen um herauszufinden ob es wirklich an den Filterregeln liegt

Daran liegt es leider auch nicht. Ich habe die Regel auf ACCEPT gesetzt mit dem gleichen Ergebnis wie bisher.
Meine Vermutung wäre das Routing, welches aber ok aussieht meiner Meinung nach. Oder?

Was mich wundert... ich kann auf die LAN IP vom Router (192.168.1.1) zugreifen (pingen und Zugriff per SSH auf Router) aber nicht auf die anderen internen IPs.

[gms]

Du könntest einmal auf den Zielrechner (mittels tcpdump, ethereal, ...) überprüfen ob dort die "echo request" Pakete ankommen.
Auf dem Router kannst du einmal vor und nach dem ping "iptables -nvL" aufrufen. Daran kannst du erkennen, in welche Regel diese Pakete fallen

Gruß
gms

[DaGrrr]

Mit Ethereal getestet:

Die Pings kommen vom Notebook zum Zielrechner an!
Ich schätze also doch ein Routing Problem.

An welcher Stelle ich da ansetze mal schauen.

[gms]

Hat der Zielrechner diesen Router als Defaultgateway, oder soll er über zusätzliche Routingeinträge den Weg zu deinem Laptop finden ?
Gruß
gms

[DaGrrr]

Hi @all,

Problem gelöst!

Auf meinem Rechner im LAN (192.168.1.150/24) lief ebenfalls OpenVPN.
Gemerkt habe ich das, weil beim Router folgende Meldungen kam, nachdem ich auf dem Router und dem Notebook auf OpenVPN mit OpenSSL umgestellt hatte, während der LAN-PC immernoch per Shared Key lief:

Code: Alles auswählen

sat Jan  7 00:04:35 2006 TLS Error: unknown opcode received from 192.168.1.150:1194 op=12
Sat Jan  7 00:04:36 2006 TLS Error: unknown opcode received from 192.168.1.150:1194 op=21

Also hat der automatische Start von OpenVPN das ganze gelingen verhindert.
In /etc/rcX.d nehme ich openvpn erstmal raus, da ich OpenVPN beim LAN Rechner nur zu testzwecken drauf hatte.

Vielen Dank an alle die geholfen haben!!111elf

Grüße
DaGrrr