[Problem] FritzFon + OpenVPN. OpenVPN != Default GW

[Tiecher]

Ich habe ein kleines Problem und vielleicht kann mir hier jemand helfen.

Habe folgendes Setup:



OpenVPN Server (10.1.1.10) ist als GW für das VPN in der FB eingetragen.
Aktiv Netzwerk Subnetzmaske Gateway
x 172.16.2.0 255.255.255.0 10.1.1.10

Generell klappt die Kommunikation VPN <-> LAN auch reibungslos. Die App Meldet sich auch an der Box an.
inet 172.16.2.14 peer 172.16.2.13/32 scope global tun0 (Testrechner im VPN)
$ ping -c 4 10.1.1.1
PING 10.1.1.1 (10.1.1.1) 56(84) bytes of data.
64 bytes from 10.1.1.1: icmp_seq=1 ttl=62 time=65.8 ms
64 bytes from 10.1.1.1: icmp_seq=2 ttl=62 time=13.1 ms
64 bytes from 10.1.1.1: icmp_seq=3 ttl=62 time=13.1 ms
64 bytes from 10.1.1.1: icmp_seq=4 ttl=62 time=13.1 ms

~$ traceroute 10.1.1.1
traceroute to 10.1.1.1 (10.1.1.1), 30 hops max, 60 byte packets
1 172.16.2.1 (172.16.2.1) 70.906 ms 70.917 ms 70.920 ms
2 10.1.1.5 (10.1.1.1) 70.920 ms 70.921 ms 70.922 ms

Wenn ich allerdings jetzt Anrufe über das VPN versuche, klingelt auch das angerufene Telefon, aber es ist alles stumm.

An iptables hatte ich auch gedacht. Setzen folgender Regeln bringt aber nichts.

Chain FORWARD (policy ACCEPT 2826 packets, 210K bytes)
pkts bytes target prot opt in out source destination
188K 22M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
36 2212 ACCEPT all -- tun0 br 0 172.16.2.0/24 0.0.0.0/0 ctstate NEW

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * br0 172.16.2.0/24 0.0.0.0/0

Und ja, br0 ist richtig.
Mehr als Webzugriff auf die Box bekomme ich nicht, da Unitymedia gebrandet.

Hat hier jemand eine Idee wo es hängen könnte und wie man die Telefonie via VPN zum laufen bekommt?
Kann auch noch die Konfig für OpenVPN Server und Client posten. Denke aber nicht, dass hier was falsch ist. Denn in dem Fall würde sicher die Kommunikation ins restliche Netz auch nicht klappen.

 

[hitman]

Ist auf dem Openvpn-Client die Route so gesetzt, dass der komplette Traffic über das VPN läuft?

 

[Tiecher]

Ja, die Clients nutzen den openvpn als default gw

 

[grauGolz]

Hier fehlen Angaben zur Konfiguration von OpenVPN (Server und Client). Welche Netze sind vorhanden?

Soll ein Roadwarrior Szenarium verwendet werden? Welche Clients sind beteiligt?

 

[tob_]

Macht der OpenVPN-Server NAT für die VPN-Clients, oder ist auf der Fritzbox eine statische Route für das 172.16.2.0/24-Netz eingerichtet?

 

[grauGolz]

Ohne Angaben zur Konfiguration und zum gewünschten VPN Szenarium kann ich mich hier aus Zeitgründen nicht weiter beteiligen. Ich bin kein Hellseher.

 

[Tiecher]

Route ins VPN ist in der FB eingetragen mit VPN Server als GW.
Wurde auch im Anfangspost bereits erwähnt

OpenVPN Server (10.1.1.10) ist als GW für das VPN in der FB eingetragen.
Aktiv Netzwerk Subnetzmaske Gateway
x 172.16.2.0 255.255.255.0 10.1.1.10

Und ja, es ist ein Roadwarrior Szenario.

Anbei noch die Server Config und Client Config

#server.conf
port 1195proto tcp
dev tun
ca ./keys/ca.crt
cert ./keys/server.crt
key ./keys/server.key
dh ./keys/dh2048.pem
tls-auth ./keys/ta.key 0
server 172.16.2.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
client-to-client
keepalive 1800 3600
#comp-lzo
tun-mtu 6000
fragment 0
mssfix 0
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
float
client-config-dir ./ccd
management localhost 1191
status /var/log/openvpn_status.log
log-append  /var/log/openvpn.log
verb 3
mute 20

Da nicht jeder Client eine Route ins Netz erhalten soll, wird dies über eine seperate Config gesteuert.

#./ccd/client1
push "route 10.1.1.0 255.255.255.0"
push "redirect-gateway def1"

#client1.conf
client
dev tun
proto tcp
remote server.example.com 443
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
tls-auth ta.key 1
ns-cert-type server
#comp-lzo
tun-mtu 6000
fragment 0
mssfix 0
verb 3
mute 20
log-append /var/log/openvpn.log

 

[grauGolz]

Der Server hört auf TCP-Port 1195 und der Client will mit TCP-Port 443 verbinden? Da stimmt was nicht oder hier wird nicht alles gesagt.

Muß man alles aus der Nase ziehen?

 

[Tiecher]

Sorry, FB macht an der Stelle ein Port forwarding 0.0.0.0:443 TCP -> 10.1.1.10:1195 TCP
TCP over TCP ist nicht gerade schön, TCP over UDP funktionert aktuell aber nicht wirklich sauber bei UM.

 

[grauGolz]

Ich würde "topology subnet" nutzen und wenn möglich Kompression einschalten.

Kompression muß sowohl beim Server als auch beim Client angegeben werden ( z. B. "comp-lzo adaptive").

Nicht mehr zeitgemäß ist "topology net30", obwohl das bei OpenVPN 2.3 noch Standard ist.

Jeder Knoten im lokalen Netz des Servers sollte dann den Tunnelendpunkt (es gibt nur eine IP-Adresse dank "topology subnet") des Clients erreichen.

Nun, das ist eine Minimalforderung.

 

[Tiecher]

Danke für den Hinweis mit "topology subnet". Wusste ich noch nicht.
Telefonie über die FritzApp leider immernoch stumm.

 

[grauGolz]

Auf einem Laptop den VPN-Client einrichten und ein Softphone nutzen.

Telefonie sollte in dieser Testumgebung mit einem sauber konfigurierten Road Warrior Szenarium mit OpenVPN problemlos funktionieren.

Falls der Test erfolgreich ist, liegen die Probleme wohl im "smarten" Client.

 

[Joe_57]

...mit einem sauber konfigurierten Road Warrior Szenarium mit OpenVPN problemlos funktionieren...

Gibt es dazu vielleicht auch eine verständliche Beschreibung auf deutsch?
Oder wenigstens ein paar Links, die solch eine Umgebung erklären...

Joe

 

[grauGolz]

Ich kaue ungern vor.

Im Netz finden sich reichlich Informationen zu OpenVPN und "smarten" Telefonteilen.

Viel Spaß noch mit OpenVPN wünscht der

grauGolz.