OpenVPN Verbindung vom Netzwerk nicht möglich

[TeyTey]

Hallo zusammen,

aktuell versuche eine OpenVPN Verbindung von meiner FritzBox (Mode Client) zu meinem Root Server aufzubauen (OS: CentOS). Wenn ich auf der FritzBox per telnet verbunden bin kann ich ohne Probleme die IP des OpenVPN Servers pingen, wenn ich das ganze aber nun im Netzwerk von einem Rechner aus mache bekomme ich keine Antwort.
Habe leider bisher nichts weiter zu meinem Problem gefunden, weiß jemand von euch evtl weiter?

Grüße,
teytey

 

[MaxMuster]

Das dürfte ein Problem der Config sein, speziell wohl das Routing. Der OpenVPN-Client ist ja direkt verbunden, alle Geräte "hinter" der Client-Box müssen diese
1. Den Weg zum Server finden (das sollte kein Problem sein, wenn du die VPN-Server-IP ansprichst) aber
2. Müssen die Pakete vom Server zurück in das LAN der Fritzbox, und da vermute ich noch fehlende Einstellungen.

Käme jetzt auf die Configs an, zumindest muss der Server ein "route <LAN-IP-Netz der FB>" in der Config haben (etwa im Default-Fall "route 192.168.178.0 255.255.255.0").

Sofern der Server eine "Multi-Client-Config" hat (mit dem Befehl "mode server"), dann muss noch ein "iroute" Befehl für dieses Netz in die Config, entweder über ein "client-config-dir" oder per "connect" script.

Such dich mit den Stichworten weiter durch (da finden sich mindestens 10 Beiträge zu, behaupte ich mal), oder, wenn du nicht weiterkommst, dann musst du schon die Configs anfügen...

 

[TeyTey]

Hallo MaxMuser,

danke für deine Rückmeldung. Habe nun meine Serverkonfiguration um den von dir vorgeschlagendenen Befehl erweitert, aktuell sieht die Konfiguration so aus:

port 1194

proto udp

dev tun

ca ca.crt
cert server.crt
key server.key  # This file should be kept secret

dh dh2048.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

route 192.168.178.0 255.255.255.0

keepalive 10 120

comp-lzo

persist-key
persist-tun

status openvpn-status.log

verb 3

Leider bekomme ich immer noch keine Antwort auf meinen ping. Meine Clienkonfiguration ist folgende:

#  OpenVPN 2.1 Config, Sun Jun 23 21:02:56 CEST 2013
proto udp
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
tls-client
ns-cert-type server
remote X.X.X.X
nobind
pull
tun-mtu 1500
mssfix
log /var/tmp/debug_openvpn.out
verb 3
daemon
cipher BF-CBC
comp-lzo
keepalive 10 120
resolv-retry infinite
status /var/log/openvpn.log
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

 

[MaxMuster]

Wie "befürchtet" brauchst du ein "client-config-dir" auf dem Server.
Lege also auf dem Server ein Verzeichnis an (z.B. im Verzeichnis, in dem auch Zertifikate und Schlüssel liegen), nennen wir es im weiteren CCD.
Im Ordner "CCD" erzeugst du eine Datei, deren Name dem "Namen" im Client-Zertifikat entspricht (der "CN" im Zertifikat, ich nehme hier mal "client01").
In dieser Datei steht mindestens "iroute 192.168.178.0 255.255.255.0".

Insgesamt also:

# Wir sind im Verzeichnis mit Keys usw.
mkdir CCD
# hier muss natürlich statt "client01" der Name des Client-Zertifikates am Ende stehen
echo "iroute 192.168.178.0 255.255.255.0" > CCD/client01

Jetzt noch in die Config des Servers diesen Befehl hinzufügen

client-config-dir CCD

Damit weiß der Server, zu welchem Client er das Netz routen soll (in deiner Config könnten sich theoretisch mehrere Clients anmelden, und so muss der Server das unterscheiden können).

 

[TeyTey]

So hab meine Konfiguration dementsprechend angepasst, leider kann ich aber immer noch nicht meinen VPN Server vom Netzwerk aus anpingen.

Grüße,
TeyTey

 

[MaxMuster]

Dann bitte das Log vom Server mal anschauen, ob/was zum Routing bzw der Fehler steht.

 

[fant]

Vielleicht hilft das hier:

http://www.ip-phone-forum.de/showthread.php?t=260312

Hawedieehre,
Fant.