[Problem] [7490] statische Route funktioniert nicht

[mveltre82]

Hallo,

im meinem LAN habe ich auf einem RaspberryPi einen OpenVPN-Server installiert. Clients können sich einwählen und kommen auch ins LAN+Internet.

D.h. ein mittels VPN eingewählter Client erreicht Adressen LAN. Andersherum aber nicht: clients im LAN erreichen die eingewählten VPN-Clients nicht.

Setup:

• Fritzbox: 10.0.0.1
  
• LAN-Clients: im Netz 10.0.0.0/24
  
• OpenVPN-Server (gateway im LAN): 10.0.0.100
• OpenVPN-Server (VPN-gateway) 10.8.0.1
• OpenVPN-Clients: im Netz 10.8.0.0/24

Füge ich diese Route auf einem LAN-Client hinzu (Linux):

route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.0.0.100

Dann kann der LAN-Client das VPN-Gateway (10.8.0.1) und die VPN-Clients (z.B. 10.8.0.6) erreichen.

Auf der Fritzbox habe ich eine Statische Route erstellt:


Diese funktioniert aber offenbar nicht, wenn die CLients im LAN die Route (siehe oben) nicht manuell gesetzt haben, erreichen die LAN-Clients das VPN-Netz nicht.

Was mache ich falsch?

Danke!

 

[PeterPawn]

Einstellungen in der FRITZ!Box anhand der Support-Daten überprüfen (theoretisch sollte die Route wie gezeigt funktionieren) und vielleicht einfach mal mit "traceroute" o.ä. verfolgen, wie es wirklich läuft.

Das kann alles sein ... bis hin zu einer Software-Lösung/Firewall, die Probleme damit hat, daß da IP-Pakete mit LAN-Adressen eingehen, die innerhalb der BC-Domain liegen (und vom OpenVPN-Server direkt erreichbar sind), aber von einem anderen Gerät kommen (der L2-Adresse nach, wenn die LAN-Clients über die FRITZ!Box als Gateway senden). Der daraus resultierende Flow (Hinweg über FRITZ!Box + OpenVPN-Gateway, Rückweg direkt vom OpenVPN-Gateway zum LAN-Client) kann ein Problem darstellen.

Aber wie gesagt ... dafür gibt es Diagnosewerkzeuge wie Sand am Meer (vom erwähnten "traceroute" bis zu Packet-Dumps), die man auf allen beteiligten Nodes einsetzen kann (u.a. auch auf der FRITZ!Box, weil der Traffic für 10.8.0.0/24 ja durch das Routing in der Box muß) und wo man den Weg der Pakete sehr detailliert verfolgen kann. Erst dann, wenn man weiß, wo die Pakete wirklich versanden, macht die Spekulation über die Ursachen Sinn. In der Theorie wäre alles richtig ... in der Praxis kann schon die eingesetzte FRITZ!OS-Version Probleme bereiten, wenn diese zwar das erste Paket einer solchen Verbindung richtig ins LAN zurückschickt, aber parallel dazu (fälschlicherweise) irgendwelche Einträge in den Hardware-Tabellen des PA vornimmt und die nachfolgenden Pakete daher den "Routing-Punkt" im IP-Stack des FRITZ!OS gar nicht mehr erreichen (mal so als eine denkbare Ursache in den Raum gestellt).

Was hier ja etwas verblüffend ist ... wenn die Clients aus 10.8.0.0/24 die Geräte in 10.0.0.0/24 erreichen können (und zwar nicht nur das OpenVPN-Gateway an .100 und die FRITZ!Box an .1), dann muß aus irgendeinem Grund ja der Rückweg für die Pakete aus 10.0.0.0/24 nach 10.8.0.0/24 funktionieren und die Frage wäre dann, warum das nur dann gilt, wenn die Verbindung von einer Seite aus (nämlich von der 10.8.0.0/24) gestartet wurde. Daher der erste Gedanke in Richtung einer Firewall ... aber vielleicht ist auch bloß die Beobachtung in #1 falsch bzw. falsch beschrieben und die Clients aus 10.8.0.0/24 erreichen die Clients im 10.0.0.0/24-Netz gar nicht wirklich, sondern nur die Gateways (entweder die FRITZ!Box oder das OpenVPN-Gateway).

Wobei das eben alles geraten ist und es wohl für keine andere Funktion eines OS soviele Diagnose-Werkzeuge gibt, wie für das Netzwerk - man muß sie halt zum Einsatz bringen und bei solchen Problemen auch sehr systematisch vorgehen bei der Fehlersuche.

 

[Denton]

Wenn die Clients aus dem VPN (Openvpn) z.B bei einem Ping ein Reply kriegen, funktioniert die route einwandfrei. Hört sich für mich eher wie ein Firewall problem an. Ich weiß nicht ob du iptables einsetzt oder so, und durch das hinzufügen der route evtl eine Firewall regel erstellt wird aber evtl prüf das mal.

 

[HabNeFritzbox]

Wozu überhaupt auf dem PC noch manuell ne Route setzen?
Die Route wird doch vom openVPN an den client gepusht oder steht in der entsprechenden Conf.

 

[ktw2003]

@HabNeFritzbox
Wenn ein Nicht VPN-Client auf einen VPN-Client zugreifen will, benötigt er eine Route, diese bekommt er normalerweise vom Router. Wenn der Router es nicht kann oder halt im Fehlerfall, so stellt man es am Client ein.

@mveltre82
Zum ursprünglichen Problem zurück. Beide Seiten haben auch beide Routen - sprich sehen sich gegenseitig? Die Abbildungen im ersten Beitrag zeigen, dass die Fritzbox den Weg zum OpenVPN Gateway und dessen Netz kennt, aber kennen die OpenVPN-Client auch das normale Client-LAN?

Fritzbox:
10.8.0.0/24 -> 10.0.0.100

OpenVPN-GW:
10.0.0.0/24 -> 10.0.0.1

OpenVPN-Client:
10.0.0.0/24 -> 10.8.0.1

 

[PeterPawn]

Ich will ja nicht unken, aber der TE hat sich > 1 Woche nicht mehr zu Wort gemeldet ... das wird vermutlich nichts mehr (oder es dauert noch sehr, sehr lange).