[Gelöst] Openvpn: Tunnel funktioniert, Routing nicht

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
N

netzwerker

Neuer User
Mitglied seit
6 Mrz 2008
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich bekomme es auch nach langem herumprobieren nicht hin, dass ich von einem entfernten Client (Windows und/oder Android) per Openvpn auf mein internes Netzwerk zuzugreifen. Hier meine Konfiguration:
Internes Netz: 192.168.0.0
VPN-Netz 192.168.1.0
Die Fritzbox 7170 mit Freetz 1.2 Stable hat die Adresse 192.168.0.200 im internen Netz und 192.168.1.1 im VPN-Netz. Sie ist nicht für den Internetzugang zuständig, sondern einfacher Client im LAN. Der VPN-Port wird vom Internetrouter weitergeleitet.
Ich kann vom VPN-Client die VPN-interne IP der Fritzbox anpingen und von der Fritzbox die VPN-interne IP des Clients (egal ob Windows oder Android). Eine Verbindung vom Client zum internen Netz oder umgekehrt geht aber nicht.
Hier die Einstellungen von Freetz:
freetz-konfiguration.png

Die /var/tmp/debug_openvpn.out bei einer Verbindung des Windows-Clients:
Code: 
Wed Sep 19 17:16:31 2012 MULTI: multi_create_instance called
Wed Sep 19 17:16:31 2012 INTERNETADRESSE DES CLIENTS:44977 Re-using SSL/TLS context
Wed Sep 19 17:16:31 2012 INTERNETADRESSE DES CLIENTS:44977 LZO compression initialized
Wed Sep 19 17:16:31 2012 INTERNETADRESSE DES CLIENTS:44977 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Sep 19 17:16:31 2012 INTERNETADRESSE DES CLIENTS:44977 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 19 17:16:31 2012 INTERNETADRESSE DES CLIENTS:44977 TLS: Initial packet from [AF_INET]INTERNETADRESSE DES CLIENTS:44977, sid=5a699236 27e256fc
Wed Sep 19 17:16:41 2012 INTERNETADRESSE DES CLIENTS:44977 VERIFY OK: depth=1, /C=US/ST=CA/L=SanFrancisco/O=OpenVPN/OU=changeme/CN=ca/name=ca/[email protected]
Wed Sep 19 17:16:41 2012 INTERNETADRESSE DES CLIENTS:44977 VERIFY OK: depth=0, /C=US/ST=CA/L=SanFrancisco/O=OpenVPN/OU=changeme/CN=client01/name=changeme/[email protected]
Wed Sep 19 17:16:43 2012 INTERNETADRESSE DES CLIENTS:44977 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 19 17:16:43 2012 INTERNETADRESSE DES CLIENTS:44977 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 19 17:16:43 2012 INTERNETADRESSE DES CLIENTS:44977 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 19 17:16:43 2012 INTERNETADRESSE DES CLIENTS:44977 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 19 17:16:43 2012 INTERNETADRESSE DES CLIENTS:44977 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Sep 19 17:16:43 2012 INTERNETADRESSE DES CLIENTS:44977 [client01] Peer Connection Initiated with [AF_INET]INTERNETADRESSE DES CLIENTS:44977
Wed Sep 19 17:16:43 2012 client01/INTERNETADRESSE DES CLIENTS:44977 OPTIONS IMPORT: reading client specific options from: /clients_openvpn/client01
Wed Sep 19 17:16:43 2012 client01/INTERNETADRESSE DES CLIENTS:44977 MULTI: Learn: 192.168.1.91 -> client01/INTERNETADRESSE DES CLIENTS:44977
Wed Sep 19 17:16:43 2012 client01/INTERNETADRESSE DES CLIENTS:44977 MULTI: primary virtual IP for client01/INTERNETADRESSE DES CLIENTS:44977: 192.168.1.91
Wed Sep 19 17:16:43 2012 client01/INTERNETADRESSE DES CLIENTS:44977 MULTI: internal route 192.168.1.0/24 -> client01/INTERNETADRESSE DES CLIENTS:44977
Wed Sep 19 17:16:43 2012 client01/INTERNETADRESSE DES CLIENTS:44977 MULTI: Learn: 192.168.1.0/24 -> client01/INTERNETADRESSE DES CLIENTS:44977
Wed Sep 19 17:16:43 2012 client01/INTERNETADRESSE DES CLIENTS:44977 REMOVE PUSH ROUTE: 'route 192.168.1.0 255.255.255.0'
Wed Sep 19 17:16:46 2012 client01/INTERNETADRESSE DES CLIENTS:44977 PUSH: Received control message: 'PUSH_REQUEST'
Wed Sep 19 17:16:46 2012 client01/INTERNETADRESSE DES CLIENTS:44977 send_push_reply(): safe_cap=960
Wed Sep 19 17:16:46 2012 client01/INTERNETADRESSE DES CLIENTS:44977 SENT CONTROL [client01]: 'PUSH_REPLY,route-gateway 192.168.1.1,topology subnet,route 192.168.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.1.91 255.255.255.0' (status=1)


Die Ausgaben von Openvpn unter Windows:
Code: 
Wed Sep 19 17:16:30 2012 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul  1 2011
Wed Sep 19 17:16:30 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Sep 19 17:16:30 2012 LZO compression initialized
Wed Sep 19 17:16:30 2012 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Sep 19 17:16:30 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Sep 19 17:16:31 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Sep 19 17:16:31 2012 Local Options hash (VER=V4): '41690919'
Wed Sep 19 17:16:31 2012 Expected Remote Options hash (VER=V4): '530fdded'
Wed Sep 19 17:16:31 2012 UDPv4 link local: [undef]
Wed Sep 19 17:16:31 2012 UDPv4 link remote: INTERNETADRESSE ZUHAUSE:1194
Wed Sep 19 17:16:31 2012 TLS: Initial packet from INTERNETADRESSE ZUHAUSE:1194, sid=893834aa b9b0f71d
Wed Sep 19 17:16:33 2012 VERIFY OK: depth=1, /C=US/ST=CA/L=SanFrancisco/O=OpenVPN/OU=changeme/CN=ca/name=ca/[email protected]
Wed Sep 19 17:16:33 2012 VERIFY OK: nsCertType=SERVER
Wed Sep 19 17:16:33 2012 VERIFY OK: depth=0, /C=US/ST=CA/L=SanFrancisco/O=OpenVPN/OU=changeme/CN=fritzbox/name=name/[email protected]
Wed Sep 19 17:16:42 2012 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 19 17:16:42 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 19 17:16:42 2012 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Sep 19 17:16:42 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Sep 19 17:16:42 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Sep 19 17:16:42 2012 [fritzbox] Peer Connection Initiated with INTERNETADRESSE ZUHAUSE:1194
Wed Sep 19 17:16:45 2012 SENT CONTROL [fritzbox]: 'PUSH_REQUEST' (status=1)
Wed Sep 19 17:16:46 2012 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.1.1,topology subnet,route 192.168.0.0 255.255.255.0,ping 10,ping-restart 120,ifconfig 192.168.1.91 255.255.255.0'
Wed Sep 19 17:16:46 2012 OPTIONS IMPORT: timers and/or timeouts modified
Wed Sep 19 17:16:46 2012 OPTIONS IMPORT: --ifconfig/up options modified
Wed Sep 19 17:16:46 2012 OPTIONS IMPORT: route options modified
Wed Sep 19 17:16:46 2012 OPTIONS IMPORT: route-related options modified
Wed Sep 19 17:16:46 2012 ROUTE default_gateway=192.168.43.1
Wed Sep 19 17:16:46 2012 TAP-WIN32 device [LAN-Verbindung 4] opened: \\.\Global\{6B63A3D5-F4F9-4FF9-B83B-EFFDC3AEDB6A}.tap
Wed Sep 19 17:16:46 2012 TAP-Win32 Driver Version 9.8 
Wed Sep 19 17:16:46 2012 TAP-Win32 MTU=1500
Wed Sep 19 17:16:46 2012 Set TAP-Win32 TUN subnet mode network/local/netmask = 192.168.1.0/192.168.1.91/255.255.255.0 
[SUCCEEDED]
Wed Sep 19 17:16:46 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.1.91/255.255.255.0 on interface {6B63A3D5-F4F9-4FF9-B83B-EFFDC3AEDB6A} [DHCP-serv: 192.168.1.254, lease-time: 31536000]
Wed Sep 19 17:16:46 2012 Successful ARP Flush on interface [3] {6B63A3D5-F4F9-4FF9-B83B-EFFDC3AEDB6A}
Wed Sep 19 17:16:51 2012 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Wed Sep 19 17:16:51 2012 C:\WINDOWS\system32\route.exe ADD 192.168.0.0 MASK 255.255.255.0 192.168.1.1
Wed Sep 19 17:16:51 2012 Route addition via IPAPI succeeded [adaptive]
Wed Sep 19 17:16:51 2012 Initialization Sequence Completed


Die Routen unter Windows:
Code: 
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0     192.168.43.1  192.168.43.193       25
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0      192.168.1.1    192.168.1.91       1
      192.168.1.0    255.255.255.0     192.168.1.91    192.168.1.91       30
     192.168.1.91  255.255.255.255        127.0.0.1       127.0.0.1       30
    192.168.1.255  255.255.255.255     192.168.1.91    192.168.1.91       30
     192.168.43.0    255.255.255.0   192.168.43.193  192.168.43.193       25
   192.168.43.193  255.255.255.255        127.0.0.1       127.0.0.1       25
   192.168.43.255  255.255.255.255   192.168.43.193  192.168.43.193       25
        224.0.0.0        240.0.0.0     192.168.1.91    192.168.1.91       30
        224.0.0.0        240.0.0.0   192.168.43.193  192.168.43.193       25
  255.255.255.255  255.255.255.255     192.168.1.91               2       1
  255.255.255.255  255.255.255.255     192.168.1.91    192.168.1.91       1
  255.255.255.255  255.255.255.255   192.168.43.193  192.168.43.193       1
Standardgateway:      192.168.43.1


Seltsam kommt mir der Standardgateway vor, aber ich weiß nicht wo der herkommt. Ich habe den so nirgendwo eingestellt.
 
Zuletzt bearbeitet:
Die Probleme kommen vermutlich vom "fehlenden Rückweg" vom LAN zum VPN:

Alle VPN-Clients haben eine IP aus dem Netz 192.168.1.x, das müssen die Geräte im "normalen LAN" (192.168.0.0) finden können. Wenn sie nicht alle eine Route zur VPN-FB bekommen sollen, muss die "Internet-Box" das übernehmen. Also musst du auf der "Internet-Box" (die dann das Standard-Gateway in deinem Netz ist) eine Route einstellen, so dass 192.168.1.0 255.255.255.0 auf die VPN-Box geroutet wird (also zur 192.168.0.200).

Du kannst das von "intern" testen, indem du aus dem "normalen Netz" die VPN-FB über dieVPN-IP (192.168.1.1) ansprichst.

Wenn das geht, ist weiterhin zu bedenken, dass heute fast alle PCs eine Firewall haben, in der du Zugriffe aus dem VPN-Netz erlauben müsstest.
 
Danke, die Route in der Internet-Box hat schon mal weitergeholfen. Jetzt kann ich vom Client die Internet-Box ansprechen und auch vom internen Netz den Client.
Wie Du aber schon richtig vermutest hast, kann ich die PCs im internen Netz nicht ansprechen, ich müsste jetzt an der jeweiligen Firewall rumstellen. Gibt es da nicht einen eleganteren Weg? Kriege ich irgendwie meinen VPN-Client eine IP aus dem internen Netz verpasst?
 
Eleganz ist so eine Sache ;-)

Es gibt die Möglichkeit, dass du eine Brücken-Konfig erstellst. Das hat aber nur mit der IP Vorteile, dafür geht viel mehr (unnötiger) Verkehr durch das VPN.
Gehaueres und Konfig-Möglichkeiten findest du im Wiki zum OpenVPN Paket.
 
auch zu bedenken ist der Bug bei aktiviertem wlan, wenn du bridging machst

http://freetz.org/ticket/851

:(

kriegen wir das nicht irgendwie mal hin?
 
Das kann leider nur AVM lösen. Absichtlich oder unabsichtlich...

Gruß
Oliver
 
ja ich weiß :heul:
 
Ich habe mich entschieden es beim Tunnelmodus zu lassen. So schwierig ist es ja auch gar nicht die Firewall bei Windows für das VPN-Netz freizuschalten. Das hatte ich mir viel komplizierter vorgestellt.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 674 (Mitglieder: 36, Gäste: 638)

Neueste Beiträge

Statistik des Forums

Themen
246,780
Beiträge
2,257,365
Mitglieder
374,824
Neuestes Mitglied
schokokeksdose
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück