OpenVPN und Routing

[h725]

Hallo,

ich versuche mich seit einigen Tagen an OpenVPN.
Heute habe ich es endlich geschafft, dass der Client und der Server sich verbinden kann. Leider weiss ich bei meinen Probleme nicht mehr weiter und andere Foren widersprechen sich immer, vielleicht kann mir hier geholfen werden.

Folgendes Szenario:

Ich will über OpenVPN auch andere Clients die intern im Netzwerk angemeldet sind erreichen.
Wenn ich mit dem Server verbunden bin, kann ich folgendes vom Server machen und nicht machen:

- Ich kann den Router anpingen
- Ich kann ins Internet pingen
- ich kann NICHT den Client anpingen, der mit dem Server verbunden ist

Folgendes kann ich vom Client aus tun:

- Ich kann den Router anpingen, aber nur mit IPv6. Bei IPv4 kommt nichts durch
- Ich kann den Server anpingen über die servereigene Adresse

Falls es noch hilft, hier meine config-Dateien:

server.conf

Code: Alles auswählen

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa2/keys/ca.crt
cert /etc/openvpn/easy-rsa2/keys/meinserver.me.crt
key /etc/openvpn/easy-rsa2/keys/meinerserver.me.key
dh /etc/openvpn/easy-rsa2/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.178.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
verb 3

client.conf (meinerserver.opvn)

Code: Alles auswählen

client
dev tun
proto udp
remote meineserver.me 1194
resolv-retry infinite
nobind
ca ca.crt
cert windows-client.local.crt
key windows-client.local.key
comp-lzo
verb 3

Soweit ich es mitbekommen habe, muss tun ausgewählt werden, damit ich routen kann.
Ich hoffe mir kann geholfen werden.

Gruß und schönen Sonntag,
Rob

[pangu]

Firewall (iptables?) gecheckt?

[orcape]

Hi,
Du machst mit "client-to-client" einen Multiclient-Tunnel (für mehrere OpenVPN-Clients), ist also für Deine Zwecke kontraproduktiv.
Abgesehen davon, bitte mal beidseitig die Routingtabellen posten, wenn der VPN läuft.
Gruß orcape

[h725]

Also bei meinen Router habe ich den Port 1194 UDP freigeschalten.
Bei den iptables habe ich noch gar nichts gemacht. Heißt für mich das ich mich jetzt da durcharbeiten muss.

Gibt es eine Seite die das verständlich erklärt oder könnt ihr mir einen Tipp geben wie ich das einstelle?

[Huck Fin]

Das Thema hatte ich schon mal beantwortet.
Such mal in meinen Beiträgen.
Da ist irgendwo die Antwort...

[h725]

Meinst du zufällig diesen Beitrag?
http://debianforum.de/forum/viewtopic.p ... it=openvpn

[h725]

Würden rein theoretisch folgende Befehle ausreichen um das Routing zwischen VPN-Clients und interne Netzwerk-Client reichen? Oder habe ich da was vergessen

Code: Alles auswählen

- echo 1 > /proc/sys/net/ipv4/ip_forward
- iptables -A INPUT -i tun+ -j ACCEPT
- iptables -A FORWARD -i tun+ -j ACCEPT
- iptables -A INPUT -i eth0 -j ACCEPT
- iptables -A FORWARD -i eth0 -j ACCEPT
- iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

[orcape]

- echo 1 > /proc/sys/net/ipv4/ip_forward

Wenn du mit einem Client routen willst, zwischen 2 NIC's aber nicht beim VPN.

- Ich kann den Router anpingen

...welchen ?
Hast Du einen Debian-PC als Router und läuft darauf der OpenVPN-Server ?

bitte mal beidseitig die Routingtabellen posten, wenn der VPN läuft.

Wenn Dir jemand helfen soll, dann versuch doch einfach mal die Posts zu beantworten und liefere hier ein paar mehr Daten.

- ich kann NICHT den Client anpingen, der mit dem Server verbunden ist

....der als VPN-Client oder der im LAN ?
Eine kleine Zeichnung mit IP's an den Geräten, würde alle Unklarheiten Deiner, für Aussenstehende etwas "verschlüsselten" Erklärungsversuche ausräumen.
Gruß orcape

[Huck Fin]

Also ich habe das so am laufen mit VPN und alle PCs anpingbar.

OpenVPN + Routing

Lokale IP = 192.168.22.4
Remote Server IP = 192.168.22.2

Client (Win 7)

Code: Alles auswählen

remote 111.222.333.444
dev tap
proto udp
port 5050
tls-client
client
ns-cert-type server
cipher AES-256-CBC
ca C:\\Programme\\OpenVPN\\Zerti-dttb\\ca.crt 
key C:\\Programme\\OpenVPN\\Zerti-dttb\\treutlein.key 
cert C:\\Programme\\OpenVPN\\Zerti-dttb\\treutlein.crt
tls-auth C:\\Programme\\OpenVPN\\Zerti-dttb\\ta.key 1
pull
verb 3 
keepalive 10 120
comp-lzo

Server (Debian)

Code: Alles auswählen

float
port 5050
proto udp
dev tap0
mode server
ifconfig 10.0.0.10 255.255.255.0
ifconfig-pool 10.0.0.20 10.0.0.60
tls-server
client-to-client
cipher AES-256-CBC
ca /etc/openvpn/zerti/ca.crt
key /etc/openvpn/zerti/Linux.key
cert /etc/openvpn/zerti/Linux.crt
tls-auth /etc/openvpn/zerti/ta.key 0
dh /etc/openvpn/zerti/dh1024.pem
push "route 192.168.22.0 255.255.255.0"
push "route-gateway 10.0.0.10 255.255.255.0"
verb 3
keepalive 10 120
comp-lzo

Ich kann von Win7 alles anpingen, was auf der Gegenseite anpingbar ist.

Ach und mit IPTABLES habe ich gar nichts gemacht.

[h725]

Das mit dem Bild ist kein Problem



Zur Erklärung;

Die grünen Verbindungen sind die vom normalen Netz, also 192.168.178.0/24
Die roten Verbindungen sind vom VPN-Netz, also 10.8.0.0/24

Nachdem ich die Verbindung erfolgreich aufgebaut habe, wollte ich mit dem 2. Client im normalen (grünen) Netz den 1. Client, bzw den VPN-Client im VPN-Netz (rot) anpingen, was aber nicht ging.

Warum baue ich das VPN-Netz so auf? Weil es nicht anders geht, da mir vServer zu teuer sind. Ich will, wenn es später funktioniert natürlich von aussen zugreifen.

Nun noch zu den Fragen:

- Ich habe eine Fritzbox.
Hier die Routingtabelle, bei aktiver VPN-Verbindung:

Server:

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.8.0.2        0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0 

Client:

Code: Alles auswählen

Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.178.1  192.168.178.105     25
         10.8.0.4  255.255.255.252   Auf Verbindung          10.8.0.6    286
         10.8.0.6  255.255.255.255   Auf Verbindung          10.8.0.6    286
         10.8.0.7  255.255.255.255   Auf Verbindung          10.8.0.6    286
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
     192.168.48.0    255.255.255.0   Auf Verbindung      192.168.48.1    276
     192.168.48.1  255.255.255.255   Auf Verbindung      192.168.48.1    276
   192.168.48.255  255.255.255.255   Auf Verbindung      192.168.48.1    276
    192.168.178.0    255.255.255.0   Auf Verbindung   192.168.178.105    281
  192.168.178.105  255.255.255.255   Auf Verbindung   192.168.178.105    281
  192.168.178.255  255.255.255.255   Auf Verbindung   192.168.178.105    281
    192.168.217.0    255.255.255.0   Auf Verbindung     192.168.217.1    276
    192.168.217.1  255.255.255.255   Auf Verbindung     192.168.217.1    276
  192.168.217.255  255.255.255.255   Auf Verbindung     192.168.217.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung          10.8.0.6    286
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.48.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.217.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung   192.168.178.105    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung          10.8.0.6    286
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.48.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.217.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung   192.168.178.105    281

Dazu muss ich sagen, dass ich noch VMWare installiert habe und die aktiv sind.

- Zu frage, ich konnte den Router nicht anpingen, dass war der 1. Client mit aktiver VPN-Verbindung.

[orcape]

Hi,
so wie Dein Bild gezeichnet ist, läuft Dein Tunnel innerhalb eines LAN ?
Üblicherweise nutzt man den Tunnel zur Datenübertragung im Internet.
Für einen Tunnel mit 2 Clients ist ein Multiclient-Tunnel richtig.
Dann solltest Du aber auch eine CCD (Client-config-Directory) und darin für jeden Client eine Datei erstellen, die zumindest einen "iroute" Befehl beinhaltet und den Pfad zur CCD in die Server.conf aufnehmen.
Ausserdem sollte beim TUN-Interface an den Tunnelenden unterschiedliche Netze vorhanden sein, damit das Routing richtig funktioniert.
Bei Dir ist aber alles ein und das selbe Netz, 192.168.178.0/24. So wird das nicht funktionieren.
Als gebridgedes Netz mit dem TAP-Device vielleicht.
Gruß orcape

[h725]

Meine VPN-Verbindung geht erstmal raus in Internet. Über einen registrierten DNS-Eintrag, bei noip.me wird die Internet-Adresse vom Router angesprochen, somit wird geht die Verbindung rein theoretisch erst nach aussen inbs Internet und kommt dann zurück.

[orcape]

Das ändert aber nichts ander Tatsache, das Du an den Tunnelendpunkten ein identisches Netz hast und das wird mit dem TUN-Device (Routing) so definitiv nicht funktionieren.
Du benötigst hierzu unterschiedliche LAN-Netze.
Z.B.
192.168.178.0/24 - Server
192.168.55.0/24 - Client
würde mit dem TUN-Device funktionieren.
Den Sinn Deiner Configuration verstehst aber wirklich nur Du....
Gruß orcape