OpenVPN Route in Serversubnetz wird nicht "erstellt"

[monchi]

Hallo,

ich habe auf meiner DS214se das VPN-Serverpaket installiert und einen OpenVPN-Server konfiguriert.

Wenn ich nun von dem Client aus verbinde, funktioniert auch alles so wie geplant bis ich versuche das NAS mit der IP aus dem entfernten Subnetz zu erreichen.

Subnetz 1: Client (192.168.15.0)
Subnetz 2: Server (192.168.1.0)
Subnetz OpenVPN: 10.8.0.0

Wenn ich manuell eine Route

route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.8.0.5 dev tun0

hinzufüge funktioniert alles wie gewünscht.

Normalerweise würde ich diese Route in der Server-Konfiguratione eintragen (PUSH.....) damit sie bei jeder Verbindung bei dem Client eingetragen wird.
Da ich aber keinen "direkten" Zugriff auf die Einstellungen des OpenVPN-Servers habe (würde per SSH sicher gehen dann aber auch bei jeder Änderung über die Weboberfläche überschrieben werden)
würde ich die Route gerne in die Openvpn-Konfig am Client eintragen. Weiß jemand wie das geht?

 

[Frogman]

Schau einmal hier - da dürftest Du finden, was Du suchst.

 

[fpo4711]

Hallo,

die Route ist schon in der Serverconfig als push-directive eingetragen. Wenn diese auf dem Clienten nicht übernommen wird, hast Du wahrscheinlich den OpenVPN-Clienten nicht als Administrator gestartet. Rechte Maustaste auf OpenVPN-Gui und "Als Administrator starten" oder aber in den Eigenschaften festlegen.

Gruß Frank

 

[monchi]

Herzlichen Dank!!
@frogman
ein

route 192.168.1.0 255.255.255.0 10.8.0.5

in der client config hat das Problem gelöst

@fpo4711
Die manuell hinzugefügte Route wird nach dem Beenden der VPN-Verbindung automatisch entfernt. Das Hinzufügen klapp komischer Weise nicht. Der Clientprozess läuft als root. Aber auch eine Erhöhen der Verbosity hat keine weiteren Informationen zu Tage gefördert.


Die Benutzer und Passworteingabe kann ich die auch irgendwie per Skript "automatisieren"? Ich brauche die Verbindung um ein Backup von einem anderen NAS zu fahren.

 

[fpo4711]

@fpo4711
Die manuell hinzugefügte Route wird nach dem Beenden der VPN-Verbindung automatisch entfernt. Das Hinzufügen klapp komischer Weise nicht. Der Clientprozess läuft als root. Aber auch eine Erhöhen der Verbosity hat keine weiteren Informationen zu Tage gefördert.

Wieso manuell? Auf dem VPN-Server ist die push directive

push "route ..... ......"

vorhanden. Siehe /var/packages/VPNCenter/etc/openvpn/openvpn.conf Auf dem Clienten ist dann in der config

pull

vorhanden. Somit wird dann automatisch die Route im Clienten übernommen. Diese Route ist solange die VPN-Verbindung existent ist vorhanden und wird nach dem Trennen der Verbindung automatisch entfernt. Ist ja auch korrekt, schliesslich ist sie dann ja auch nicht mehr vorhanden. Das, so wie es Synology macht, auf der Serverseite zu machen ist eigentlich der sinnvollste Weg. Somit kann der Server beliebig konfiguriert werden ohne das irgendwelche Clienten angepaßt werden müssen. Und das funktioniert ganz einwandfrei! Was für einen Clienten nutzt Du denn?

Gruß Frank

 

[monchi]

Da stimme ich dir voll und ganz zu. Das "manuelle" eintragen ist sicher nicht der eleganteste Weg.
Ich hab die von dir angegebene Konfigurationsdatei nochmal kontrolliert. Steht auch alles so drin wie es soll. Die Clientkonfigurations scheint auch vollständig zu sein.

dev tun
tls-client

remote domain.xyz 12000

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

proto udp
script-security 2

ca /etc/openvpn/certs/ds214se/ca.crt

comp-lzo
reneg-sec 0
auth-user-pass
route 192.168.1.0 255.255.255.0 10.8.0.5

Dennoch wird die Route nicht eingetragen wenn ich die letzte Zeile entferne. Auf dem Client läuft Debian Wheezy 64 bit. Der VPN-Client ist OpenVPN aus den offiziellen Paketquellen.

 

[fpo4711]

Hallo,

hier einmal ein paar typische Meldungen die den Vorgang dokumentieren. Wie das abläuft. Der Log kann mit

verb 4

in der Clientconfig aktiviert werden.

Push empfangen

Oct 04 14:01:20: SENT CONTROL [irgend.was.de]: 'PUSH_REQUEST' (status=1)
Oct 04 14:01:20: PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 10.8.0.0 255.255.255.0,explicit-exit-notify,route 10.8.0.1,topology net30,ping 10,ping-restart 60,ifconfig 10.8.0.6 10.8.0.5'

Hier wurde jetzt der push empfangen. Dann etwas später das setzen der Routen durch OpenVPN

Oct 04 14:01:20: /sbin/route add -net 192.168.1.0 10.8.0.5 255.255.255.0
Oct 04 14:01:20: /sbin/route add -net 10.8.0.0 10.8.0.5 255.255.255.0
Oct 04 14:01:20: /sbin/route add -net 10.8.0.1 10.8.0.5 255.255.255.255

Sollte hier irgend etwas wie conflict oder can't set (hab die Meldung nicht im Kopf) im Log erscheinen, dann sind die Subnetze wahrscheinlich nicht unterschiedlich. Du verwendest ja das recht populäre Subnetz 192.168.1.0/24 Deshalb zur Sicherheit der Leitspruch:

Subnetz Server ungleich Subnetz Tunnel ungleich Subnetz Client.

Sollte kein PUSH: received kommen, dann stimmt etwas mit der Serverconfig nicht. Die wäre dann zu prüfen. Hier sollte entsprechend "push......" vorhanden sein. Trägt die DS automatsch ein wenn sich z.Bsp. die IP der DS ändert. Pfad wurde ja schon genannt.

Gruß Frank

 

[monchi]

hab nochmal ein Blick in die Serverkonfig. geworfen. Hab ich eben wohl nicht so aufmerksam kontrolliert. Hier steht:

push "route 10.8.0.0 255.255.255.0"

müsste das nicht

push "route 192.168.1.0 255.255.255.0"

sein?

 

[fpo4711]

hab nochmal ein Blick in die Serverkonfig. geworfen. Hab ich eben wohl nicht so aufmerksam kontrolliert. Hier steht:

müsste das nicht sein?

Die erste Route (Tunnel) ist eigentlich nicht nötig, da dies auch automatisch passiert. Synology hat eigentlich beide Routen in die Config eingetragen. Warum das jetzt bei dir nicht der Fall ist kann ich nicht sagen. Einfach beide Routen eintragen und der Spuk hat ein Ende.

Gruß Frank

p.s. VPN-Server neu starten nicht vergessen.

 

[monchi]

funktioniert! herzlichen Dank!

 

[update-freak]

Wenn ich mit einem Kumpel LAN-Spiele über OpenVPN spielen muss, muss ich dann in der Fritzbox das Routing einstellen?

IPV4: 10.8.0.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.32 (IP Adresse des NAS)

Wenn nicht, was kann ich einstellen, um das Problem zu lösen?