Routing für OpenVPN

[jahlives]

Habe mir heute mal OpenVPN installiert. Das hat soweit auch alles ganz wunderar geklappt. Verbindungen klappen problemlos. Allerdings kann ich nur den OpenVPN Server selber und den Router im entfernten LAN erreichen. Zwei weitere DS im entfernten LAN sind nicht erreichbar.
Meine Vermutung ist, dass die Anfragen ankommen, aber die Antworten flöten gehen. Damit ich den Router erreichen konnte musste ich diesem ja einen Routingeintrag für die virtuellen OpenVPN Adressen geben. Wie erstellt man denn so ein Routing auf der DS? Geht das über iptables?

 

[goetz]

Hallo,
in der /opt/etc/openvpn/openvpn.conf die IP-Bereiche richtig eingestellt?

# Push the 'server subnet route' to the clients
push "route 192.168.1.0 255.255.255.0"

Wenn Dein Netz einen anderen IP-Bereich hat, geht das so nicht.

Gruß Götz

 

[jahlives]

Habe jetzt mal mit route etwas probiert, aber gebracht hat es nicht wirklich was

webserver>  route add -net 192.168.254.0 netmask 255.255.255.0 gw 192.168.200.2 metric 2
webserver> route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.200.0   *               255.255.255.0   U     0      0        0 eth0
192.168.254.0   backupserver    255.255.255.0   UG    2      0        0 eth0
default         gateway         0.0.0.0         UG    0      0        0 eth0

das 254-er Subnetz wird von OpenVPN für die virtuellen IPs verwendet. backupserver ist die 200-er IP des OpenVPN Servers.
Irgendjemand eine Idee wie man ein Routing einrichten muss, damit man IP Adresse via OpenVPN erreichen kann?
@goetz
Der IP Bereich in der Konfig müsste passen. Denn zwei der vier LAN Teilnehmer im entfernten LAN kann ich via OpenVPN ja ansprechen. Die beiden die ich nicht erreichen kann haben eine "höhere" IP Adresse als der OpenVPN Server. Kann das an dem liegen?

 

[ubuntulinux]

Hast Du die Route im Router eingestellt? Mache bitte mal ein Traceroute auf die nicht erreichbaren Synos und poste es hier. Im Anhang siehst Du ein Screenshot von meiner Route (DD-WRT auf WRT54GL)

@goetz
Der IP Bereich in der Konfig müsste passen. Denn zwei der vier LAN Teilnehmer im entfernten LAN kann ich via OpenVPN ja ansprechen. Die beiden die ich nicht erreichen kann haben eine "höhere" IP Adresse als der OpenVPN Server. Kann das an dem liegen?

Also meine DS hat 192.168.5.33, ich kann aber die 2. DS erreichen (192.168.5.34), den Internetradio (192.168.5.37), Mein IPv6Gateway (192.168.5.77) und den Drucker (192.168.5.69). Sollte also kein Problem sein. Funktioniert denn Internet über OpenVPN?


gruss patrick

 

[jahlives]

Hier mal ein tracert. Erst einmal auf eine IP wo es ned funzt und einmal auf eine der IPs die funzen (Router)

tracert 192.168.200.4
Routenverfolgung zu * [192.168.200.4]  über maximal 30 Abschn
te:

  1     3 ms     3 ms     3 ms  192.168.254.1
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *     ^C
tracert 192.168.200.1

Routenverfolgung zu * [192.168.200.1]  über maximal 30 Abschnitte:

  1     3 ms     3 ms     3 ms  192.168.254.1
  2     5 ms     5 ms     5 ms  gateway [192.168.200.1]

Ablaufverfolgung beendet.

Das Internet via OpenVPN geht problemlos, sowohl direkt über den entfernten Gateway als auch über den Proxy für's VPN
Die Route auf dem Router schaut so aus

 

[ubuntulinux]

Komisch.. Bei mir gibt er noch den DNS Name meiner Syno an, wenn ich aber auf den Router tracert'e sagt er nur 192.168.5.1 anstatt 192.168.5.1 [router.lan.vb-server.ch].


Kannst Du mal die gesamte Config posten? (nur von server)


gruss ubuntulinux

 

[jahlives]

@ubuntulinux
Ich habe die lokalen DNS Namen mit * ersetzt.
Hier mal noch die Konfig vom Server (habe einige Domain Sachen mit * ersetzt)

backupserver> cat /opt/etc/openvpn/openvpn.conf
port 1194
proto udp
dev tun

ca /opt/etc/openvpn/easy-rsa/keys/ca.crt
cert /opt/etc/openvpn/easy-rsa/keys/*.crt
key /opt/etc/openvpn/easy-rsa/keys/*.key
dh /opt/etc/openvpn/easy-rsa/keys/dh1024.pem

server 192.168.254.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-to-client
push "route 192.168.200.0 255.255.255.0"
push "dhcp-option DNS 192.168.200.2"
push "redirect-gateway"

keepalive 10 120
comp-lzo

persist-key
persist-tun
status openvpn-status.log

verb 3
daemon

 

[ubuntulinux]

Welche Sachen sind zensiert? Seh in der Config grad nix


Nimm mal den cablecom DNS

push "dhcp-option DNS 62.2.24.162"


gruss ubuntu

 

[jahlives]

@ubuntu
ich meinte die Hostnamen im ersten tracert Auszug (Routerverfolgung zu *)
Den DNS kann ich nicht wechseln, weil ich ja bei bestehender VPN/OpenVPN Verbindung im anderen Netzwerk bin und daher meine Domainnamen mit lokalen (192-er) IPs beantwortet werden müssen. Der DNS funzt(e) ja problemlos via OpenVPN. Ich konnte ja problemlos surfen (einige der Beiträge im Thread habe ich ja via OpenVPN geschrieben).

Jetzt habe ich aber ein viel "dringenderes" Problem: Irgendwann gestern Abend, nach Beenden der OpenVPN Verbindung, konnte ich die Verbindung nicht mehr aufbauen. Der Client bleibt bei "connecting" hängen und auf dem Server sehe ich nicht die Spur eines Verbindungsversuchs in den Logs (habe den verbose von OpenVPN mal voll hochgedreht, aber trotzdem keine Spur einer Verbindungsanfrage).
Heute morgen habe ich gesehen, dass der OpenVPN Client Service nicht mehr gestartet ist. Er liess sich jedoch manuell starten. Trotzdem keine Verbindung.
Ich werde wohl mal versuchen den OpenVPN Client zu deinstallieren und dann neu draufzuklatschen. imho kann ein Problem mit dem Server ausgeschlossen werden (weil ich nichts in den Logs sehen kann, was auf einen Serverfehler hindeutet). Das muss am Client liegen.
Gibt es bei Win XP irgendwelche wichtigen Einstellungen, die OpenVPN ins Knie schiessen könnten? Firewall & Co habe ich mal deaktiviert, keine Veränderung

Danke + Gruss

tobi

 

[jahlives]

Ein typisches 30-cm vorm Bildschirmproblem:
Nachdem ich auch mal die Firewall auf der DS (OpenVPN Server) deaktiviert habe, geht es wieder
Allerdings kann ich weiterhin die zwei anderen IPs nicht erreichen

 

[Tribun]

192.168.200.4
192.168.254.1

Ich würd bei beiden entweder 200 ODER 254, wobei ich immer die 178 nutze.
Ich vermeide unterschiedliche IP-Bereiche, da meist mit Problemen verbunden

Tribun

 

[jahlives]

192.168.200.4
192.168.254.1

Ich würd bei beiden entweder 200 ODER 254, wobei ich immer die 178 nutze.
Ich vermeide unterschiedliche IP-Bereiche, da meist mit Problemen verbunden

Tribun

Das 254-Subnetz wird von OpenVPN verwendet. Real hat das entfernte Netzwerk aber 200-er Adressen. Von dem her sollte das schon passen. 254-er Adressen werden ja nur für Clients via OpenVPN genutzt

 

[Tribun]

. . . hast du deinen Patienten im OpenVPN die IP (Gateway und DNS) des Routers bekanntgegeben?
. . damit die nicht orientierungslos sind. .

Tribun

 

[ubuntulinux]

Muss man nicht, dafür ist in der Serverconfig push gateway und push route zuständig.


@tobi:
Jetzt komme ich nicht mehr draus. Du hattest vorher schon OpenVPN? Was hast Du jetzt genau und was willst Du machen?




gruss ubuntu

 

[jahlives]

@tobi:
Jetzt komme ich nicht mehr draus. Du hattest vorher schon OpenVPN? Was hast Du jetzt genau und was willst Du machen?

also dann etwas ausführlicher: Vorher habe ich ausschliesslich IPSec VPN verwendet, was auch alles funzt. Jetzt wollte ich mir mal OpenVPN anschauen, weil ich die Option zum pushen von Routen und DNS/Gateway sehr interessant finde.
Ich habe ein lokales Netz und ein remote Netz. Im lokalen hänge ich mit meinen Clients und im remote LAN stehen die Server.
Da lokale Netz hat 192.168.100.0/255.255.255.0, das entfernte Netz hat 192.168.200.0/255.255.255.0. Der OpenVPN Server steht im remote Netz und stelllt IPs aus 192.168.254.0/255.255.255.0 an die OpenVPN Clients.

Via OpenVPN kann ich z.B. die beiden remote IPs 192.168.200.1 (Router) und 192.168.200.2 (OpenVPN Server) erreichen. Keinen Zugriff kriege ich jedoch auf 192.168.200.3 (Mailserver) und 192.168.200.4 (Webserver). Klar wenn ich die 192.168.200.2 als Proxy verwende, kann ich auch die beiden anderen IPs erreichen, aber das ist ja nicht der Sinn eines VPNs
Möchte schon gerne direkt mit allen remote Kisten reden können, so wie es mit IPSec VPN auch geht.
Ich pushe in der Serverkonfig die Route 192.168.200.0/255.255.255.0 an die Clients, damit sie das Remote Subnetz kennen können. Die Routen werden im Client ja auch angelegt (route print).
Die Firewall auf dem Remote Server kann ich eigentlich auch ausschliessen, weil die gar nicht läuft zur Zeit

/usr/syno/etc.defaults/rc.d/S01iptables.sh stop
Firewall modules has not been started...

Hast du/oder irgendjemand noch eine Idee woran das liegen könnte?

Vielen Dank + Gruss

tobi

 

[ubuntulinux]

Hm also bei mir funktioniert alles

C:\Users\patrick>tracert 192.168.5.1

Routenverfolgung zu router.lan.vb-server.ch [192.168.5.1] über maximal 30
Abschnitte:

  1     1 ms     1 ms     1 ms  VB-SERVER [10.8.0.1]
  2     1 ms     1 ms     1 ms  router.lan.vb-server.ch [192.168.5.1]

Ablaufverfolgung beendet.

C:\Users\patrick>tracert 192.168.5.34

Routenverfolgung zu home.lan.vb-server.ch [192.168.5.34] über maximal 30 Abschnitte:

  1     1 ms     1 ms     1 ms  VB-SERVER [10.8.0.1]
  2     6 ms     1 ms     1 ms  home.lan.vb-server.ch [192.168.5.34]

Ablaufverfolgung beendet.

C:\Users\patrick>

router.lan.vb-server.ch ist Router (WRT54GL)
home.lan.vb-server.ch ist syno2
192.168.5.33 ist VPN-Server

Hast Du mal IPv4 Forwarding aktiviert? (echo "1" > /proc/sys/net/ipv4/ip_forward)

gruss patrick

 

[Tribun]

ist ja wie 'ne Schnitzeljagt . . .

Also für mein Verständnis verwaltet der OpenVPN Server [192.168.200.2] selbst den IP-Bereich 192.168.254.0/255.255.255.0 ist somit Router, DHCP, DNS Und Gateway für das Subnetz 192.168.254.0/255.255.255.0.
Er ist Mitglied der Netzgruppe 192.168.200 und wird durch den Router [192.168.200.1] verwaltet.

Aus meiner Sicht klappt das Routing aus 192.168.254.0/255.255.255.0 nach 192.168.200.3 oder 192.168.200.4 nicht.

Hast du die Möglichkeit im Router [192.168.200.1] noch statische Routen eintragen?


Tribun

 

[ubuntulinux]

Den mit der Statischen Route habe ich schon lange gepostet

 

[jahlives]

Ich weiss nicht warum, aber nachdem ich gerade eben mal den Webserver (192.168.200.4) gepingt habe hat er plötzlich geantwortet. Der Mailserver schwieg jedoch weiterhin.
Als ich dem Mailserver jedoch auch noch die Route eingetragen und die Firewall abgeschossen habe, antwortete auch diese auf die pings.
Mit dieser route hat's schliesslich geklappt

route add -net 192.168.254.0 netmask 255.255.255.0 gw 192.168.200.2

Zusätzlich musste ich bei mir noch eine Firewall Regel eintragen die das 254-er Subnetz erlaubt.
Ich kanns mir ehrlich gesagt nicht wirklich erklären warum es jetzt plötzlich geht, weil zumindest auf dem Webserver hatte ich diese route von anfang an drin und auch die Firewall deaktiviert gehabt.

Anyway danke für die Geduld und du hast Recht OpenVPN macht Spass

Gruss

tobi

p.s. einen grossen Unterschied zu IPSec VPN sehe ich aber bereits. Die response Zeiten sind gut 4 mal höher via OpenVPN als über meinen IPSec Client. Mir scheint es anhand der Zeiten so zu sein, dass diese Pakete den Trip via Cablecom machen. Bei IPSec VPN erkennt mein Switch, der meinen beiden Routern vorgelagert ist, dass der Traffic eigentlich nicht ins Web muss ("Uplink" zum Modem), sondern für einen anderen Switch Port bestimmt ist. Daher habe ich bei IPSec gut 4ms response und bei OpenVPN meist so um die 20ms.
Aber um von unterwegs mal husch husch auf das LAN zuzugreifen ist OpenVPN perfekt geeignet
Auch nett ist, dass ich nun die interne IP des remote Routers erreichen kann. Bei IPSec VPN muss ich dazu den Umweg über den Proxy im remote LAN machen

p.s.2. Danke dir auch für die Beschreibung auf deiner Seite (ist doch deine Seite?) An die kann man sich sehr gut halten. Vielleicht noch ein Hinweis auf die Routen im Remote Netzwerk und die Firewall

 

[ubuntulinux]

Wo legst Du die Route an? Im Router?

Also bei den Clients (remote netz und so) muss man keine Routen anlegen, das macht ja die OpenVPN GUI. Ping von OpenVPN ist mir eigendlich egal, habe von den USA (florida) (übrigens Ping 300ms nach Hause (Zürich)) die ganze Zeit zattoo geschaut über meine cablecom powerfiber 10mbit/s leitung. (hab jetzt aber 20)

Ja die Seite ist mir, danke für das Feedback. Mit Firewall und Routen hatte ich nie Probleme.


gruss ubuntulinux