[Frage] OpenVPN: IP-Routing ins Lan

steyer

Neuer User
Mitglied seit
5 Okt 2009
Beiträge
43
Punkte für Reaktionen
0
Punkte
0
Hallo!

ich habe ein Problem mit dem Routing von OpenVPN auf der Box. Ich weiß zwar, dass ich auch ins vpn-forum schreiben kann, allerdings weiß ich nicht, welche Parameter man mit der OpenVPN-GUI genau ändert.
Ich sitze im moment schon mehrere Tage mit Hilfe der Openvpn seite und googeln daran, mich von außen in mein Heimnetz "192.168.1.1" einzulinken.
Leider habe ich aber noch immer nicht so ganz verstanden wie man die IP-Adressen richtig einträgt.
Ich hoffe daher, dass ihr mir bitte weiterhelfen könnt.
Also:

ich bin bei nem kumpel in einem privaten netzwerk mit der eigenen IP-Adresse 192.168.1.54 und möchte mich nun mit Hilfe OpenVPN in mein heimeigenes Netz der FB einlinken. Die FB bei mir zu hause hat die IP-Adresse 192.168.1.1 . wenn ich mich mit dem openvpn-server verbinde, möchte ich auch eine ip im 192.168.1.X netz erhalten.
zu den server-einstellungen auf der openvpn-gui meiner FB:
folgendes ist angehakt:

Basiseinstellungen:
Brücke (TAP) + "mit LAN brücken"

VPN IP-Adressen und Routing im VPN:
Lokale IP-Adresse: 192.168.200.1
Netzmaske: 255.255.255.0
DHCP-Range für Clients: 192.168.1.10 192.168.1.20

Optional: Routing von IP-Netzen:
Lokales Netz: 192.168.1.0 255.255.255.0

auf der client-konfig seite:

remote XXX
proto udp
dev tap
tls-client
ns-cert-type server
ca "D:\\Programme\\OpenVPN\\keys\\XX.crt"
cert "D:\\Programme\\OpenVPN\\keys\\XX.crt"
key "D:\\Programme\\OpenVPN\\keys\\XX.key"
tls-auth "D:\\Programme\\OpenVPN\\XX.key" 1
tun-mtu 1500
mssfix
nobind
pull
cipher AES-128-CBC
verb 3


ich kann mich nun ohne probleme mit dem server verbinden, allerdings bekomme ich die IP-Adresse 192.168.200.100 zugewiesen und nicht wie gewollt eine im 192.168.1.40 o.Ä.
beim verbinden kommt auch eine warnung, dass es einen subnetzkonflikt gibt:

WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0]

ich weiß nur leider absolut damit nichts anzufangen, weil ich keine ahnung habe, welche von den ip´s ich ändern soll ...

ich hoffe ihr könnt mir weiterhelfen.
 
Zuletzt bearbeitet:
WARNING: potential route subnet conflict between local LAN [192.168.1.0/255.255.255.0] and remote VPN [192.168.1.0/255.255.255.0
Die beiden Netzwerk (also das locale wo du gerade bist und das wo du dich einwählen willst) dürfen definitiv nicht im gleichen IP-Kreis sein. Du kannst dich zwar mit dem Server verbinden, wirst aber keine anderen Rechner zu Hause erreichen. Das du eine 192.168.200.100 ist auch richtig. Die virtuelle VPN-Netzwerkkarte wird keine aus dem 192.168.1.x bekommen, denn das Netzwerk ist entweder "links" oder "rechts" schon vorhanden
 
okay, jetzt habe ich das ip-netz beim kumpel geändert und auch 192.168.10.X geändert. die warnung ist auch jetzt weg. allerdings bekomme ich trotzdem noch die ip 192.168.200.100. beim server habe ich zuvor auf folgendes geändert:

VPN IP-Adressen und Routing im VPN:
Lokale IP-Adresse: 192.168.1.1
Netzmaske: 255.255.255.0
DHCP-Range für Clients: 192.168.1.50 192.168.1.90

also eigentlich nirgends wo ich eine einstellung, die auf meine zugewiesene adresse deutet. was mache ich falsch?
 
Poste mal die erzeugte Config des Servers "cat /mod/etc/openvpn*.conf" (das steht noch ausführlicher im Wiki zum Paket).

Hast du vielleicht dem Zertifikat in der "erweiterten Clinetconfig" eine IP zugeordnet?
 
erweiterte config habe ich nicht aktiv. aber in der config sieht man jedenfalls schonmal die vergebene ip-adresse:

Code:
#  OpenVPN 2.1 Config, Thu Apr 19 10:00:23 CEST 2012
proto udp
dev tap0
#Helperline for rc.openvpn to add tap0 to lan bridge
dev-node /dev/tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1194
ifconfig 192.168.200.1 255.255.255.0
push "route-gateway [B]192.168.200.1[/B]"
push "route 192.168.1.0 255.255.255.0"
max-clients 1
mode server
ifconfig-pool [B]192.168.200.100[/B] 192.168.200.150
push "[B]route 192.168.200.1[/B]"
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-128-CBC
keepalive 10 120
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

aber warum steht die ip-ad in der config, obwohl ich das im web-if nicht eingetragen habe? ist das eine voreinstellung/beschränkung von openvpn bzw.TAP?
 
Zuletzt bearbeitet:
Bist du sicher, das auch gespeichert und angewandt zu haben? Die Konfig ist vom 19.04. ...
 
hab auf jeden fall gespeichert. habs auch gerade nochmal gemacht und überprüft. das konfig-datum oben bleibt unverändert....
ich habe daher aber mal die konfig manuell angepasst. wäre nett, wenn mir einer sagen kann, ob das so richtig ist. die vorherige, unveränderte Konfig steht ja noch weiter oben.

Code:
#  OpenVPN 2.1 Config, Thu Apr 19 10:00:23 CEST 2012
proto udp
dev tap0
#Helperline for rc.openvpn to add tap0 to lan bridge
dev-node /dev/tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 1194
ifconfig 192.168.1.1 255.255.255.0
push "route-gateway 192.168.1.1"
push "route 192.168.1.0 255.255.255.0"
max-clients 1
mode server
ifconfig-pool 192.168.1.100 192.168.1.150
push "route 192.168.1.1"
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-128-CBC
keepalive 10 120
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key
 
Steht denn im Web-IF auch das richtige, wenn du es aufrufst?
Die Config ändert sich nur, wenn das OpenVPN gestartet wird. Du könntest es "zur Not" ja mal stoppen und neu starten...
 
super,das wars wohl ... habe nicht beachtet, dass beim speichern nicht gleich neugestartet wird.
Vielen dank!
 
Ich habe eine aehnliche Config wie Du und es scheint an sich auch zu funktionieren. Die config ist aehnlich der Beschreibung http://freetz.org/wiki/packages/openvpn - unten Routing vs. Bridging. Aber im Client kommt die Warning:
WARNING: potential route subnet conflict between local LAN [192.168.178.0/255.255.255.0] and remote VPN [192.168.178.2/255.255.255.255]

(Habe auf der Fritzbox 192.168.1.x als LAN Netz anstatt 192.168.1.1)
Die Fehlermeldung muesstest du doch auch haben bzw wie bekomm ich die weg?
 
moin!

du musst in dem heimnetz, von welchem du dich zu einem anderen verbinden willst, einen anderen ip adressen-bereich haben.
D.h.für eine funktionierende konfig:
du bist im "heimnetz1" mit der IP-adresse 192.168.1.10
und willst ins "heimnetz2" mit der ip-adrese 192.168.10.1

wichtig ist die vorletzte nummer! diese müssen immer unterschiedlich sein, damit man zwei unterschiedliche netze miteinander linken kann.
 
Moin,
das habe ich gemacht, wenn ich dich richtig verstanden habe:

LAN: 192.168.178.0 - 192.168.178.199 - Fritzbox: 192.168.178.1
VPN: 192.168.178.200 - 192.168.178.250
enfernter Rechner Netz: 192.168.2.0 - 192.168.2.x

habe auf der Fritzbox LAN Bruecken und gesamten Client Verkehr umleiten ausgewaehlt. tap0: 192.168.178.2 (kann auch 192.168.178.1 sein) - der Fehler ist der gleiche.
Was ist falsch?
 
du gibst dem vpn client eine adresse von 192.168.178.200-250 gibst, aber dein lan geht nur bis 192.168.178.199. die vpn adressen müssen innerhalb 0-199 sein
 
Nein, falsch ausgedrueckt:

Das LAN geht natuerlich bis 192.168.178.255, nur damit sich der DHCP Server der Fritzbox und der OpenVPN nicht ueberschneiden, geht der DHCP Server der Fritzbox bis 199 und der DHCP vom OpenVPN von 200-250. Das LAN Netz selber ist 192.168.178.0 - 192.168.178.255 mit Netzmakse 255.255.255.0

Das ist nicht die Erklaerung fuer den Fehler.

Irgendwie habe ich den Verdacht, dass OpenVPN nicht mag, wenn das Lokale LAN und das VPN im selben Netzbereich sind, aber genau das steht auf der Freetz Seite so geschrieben bzw entspricht der obigen Beschreibung.
 
Zuletzt bearbeitet:
naja, wie du meinst. ich hab halt das genauso konfiguriert wie ich beschrieben habe, damit gehts. der openvpn soll ja gerade ip-adressen im fb-dhcp-bereich vergeben ... jedenfalls bei mir.
 
Naja, funktionieren tut es bei mir auch, hast du aber mal nach dem Verbindungsaufbau in den Client Log geschaut?

(Na der FB DHCP Bereich und der OpenVPN DHCP Bereich duerfen sich natuerlich nciht ueberschneiden, das sind 2 verschiedene DHCP Server, d.h der eine koennte im unguenstigsten Fall einem lokalen PC die gleiche Adresse geben wie dem entfernten durch OpenVPN. Der LAN Bereich an sich bleibt ja davon unberuehrt, der ist ja durch die Netzmaske 255.255.255.0 definiert. Da Du in OpenVPN "ifconfig-pool 192.168.1.100 192.168.1.150" wird der Fall wahrscheinlich selten eintreten, bis die Fritzbox einem lokalen Rechner die IP 192.168.1.100 vergibt, da muesstest du entsprechend viele haben, je nachdem wie du es in der FB konfiguriert hast.)
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.