[gelöst] OpenVPN Problem

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

[gelöst] OpenVPN Problem

Beitrag von Huck Fin » 16.02.2012 23:07:50

Hi,
ich habe soweit eine OpenVPN Verbindung eingerichtet und alles funzt, ausser...

Netzwerk A
Mein VPN Server (Debian) hat die ip 10.0.0.10 Und die eth0 IP 192.168.22.2
Ein weiterer Server hat die IP 192.168.22.5

Netzwerk B
Der Win XP Client hat die VPN ip 10.0.0.20 und LAN ip 192.168.22.40
Nun kann ich mich mit dem Client PC über VPN zum Server verbinden und sogar die 192.168.22.2 anpingen.
Aber ich schaffe es nicht, die 192.168.22.5 vom Clienten aus anzupingen

Client:

Code: Alles auswählen

remote schnickschnack.org
dev tap
proto udp
port 5050
tls-client
client
ns-cert-type server
cipher AES-256-CBC
ca C:\\Programme\\OpenVPN\\Zerti\\ca.crt 
key C:\\Programme\\OpenVPN\\Zerti\\client.key 
cert C:\\Programme\\OpenVPN\\Zerti\\client.crt
tls-auth C:\\Programme\\OpenVPN\\Zerti\\ta.key 1
pull
verb 3 
keepalive 10 120
comp-lzo
#route 192.168.22.0 255.255.255.0 10.0.0.10
#route-gateway 10.0.0.10
Server:

Code: Alles auswählen

float
port 5050
proto udp
dev tap
mode server
ifconfig 10.0.0.10 255.255.255.0
ifconfig-pool 10.0.0.20 10.0.0.60
tls-server
client-to-client
cipher AES-256-CBC
ca /etc/openvpn/zerti/ca.crt
key /etc/openvpn/zerti/Linux.key
cert /etc/openvpn/zerti/Linux.crt
tls-auth /etc/openvpn/zerti/ta.key 0
dh /etc/openvpn/zerti/dh1024.pem
# route 192.168.22.0 255.255.255.0
##push "route 10.0.0.0 255.255.255.0 10.0.0.10"
# push "route 192.168.22.0 255.255.255.0 10.0.0.10"
# push "route 192.168.22.0 255.255.255.0"
verb 3
keepalive 10 120
comp-lzo
Die auskommentierten habe ich alle schon probiert.
Einziges Ergebniss, ich konnte mit meinem Client nicht mehr in's Internet.

Kann mir jemand sagen, wie ich mit dem Client PC über VPN auf beide Server zugreifen kann ?
Zuletzt geändert von Huck Fin am 25.02.2012 17:50:47, insgesamt 1-mal geändert.

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: OpenVPN Problem

Beitrag von habakug » 17.02.2012 01:42:10

Hallo!
dev tap
openvpn.net hat geschrieben:Including multiple machines on the client side when using a bridged VPN (dev tap)

This requires a more complex setup (maybe not more complex in practice, but more complicated to explain in detail):

You must bridge the client TAP interface with the LAN-connected NIC on the client.
You must manually set the IP/netmask of the TAP interface on the client.
You must configure client-side machines to use an IP/netmask that is inside of the bridged subnet, possibly by querying a DHCP server on the OpenVPN server side of the VPN.
Du verwendest eine Bridge, warum eigentlich?

Gruß, habakug
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

Alternativende
Beiträge: 2090
Registriert: 07.07.2006 18:32:05

Re: OpenVPN Problem

Beitrag von Alternativende » 17.02.2012 07:50:28

Hallo,
es sollte wohl

Code: Alles auswählen

dev tun
beim Client heißen.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Problem

Beitrag von Huck Fin » 17.02.2012 10:20:40

Wenn ich dev tun schreibe, bekomme ich Fehler

Code: Alles auswählen

WARNING: Since you are using --dev tun, the second argument to --ifconfig must be an IP address.  You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn)
auch wenn ich es so mache

Code: Alles auswählen

dev tun
ifconfig 10.0.0.22 255.255.255.0
selber fehler

@habakug
Das betrifft nur ein Netzwerk hinter meinem Client soweit ich das sehe.
Aber ich will in das netzwerk hinter dem Server.

Alternativende
Beiträge: 2090
Registriert: 07.07.2006 18:32:05

Re: OpenVPN Problem

Beitrag von Alternativende » 17.02.2012 10:41:51

Hmh also bei mir sieht das so aus:

Auszug vom Server

Code: Alles auswählen



server 10.200.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"

client-to-client

Ich schätze die client-to-client Variable ist da bei dir wichtig, sowie der Verweis auf den ifconfig-pool.


Client

Code: Alles auswählen

client
dev tun
proto tcp-client
tun-mtu 1500
remote MEINEEXTERNEADRESSE 8080
pkcs12 MEINS.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server
route-delay 5

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Problem

Beitrag von Huck Fin » 17.02.2012 10:52:02

Greifst du auch auf das Netzwerk hinter dem Server zu ?

Alternativende
Beiträge: 2090
Registriert: 07.07.2006 18:32:05

Re: OpenVPN Problem

Beitrag von Alternativende » 17.02.2012 11:14:13

Ja. Nutze den Server nur als Sprungbrett. Wenn du das nutzen willst musst du aber auch folgendes tun:


Anschließend sollte man die Datei /etc/default/openvpn so anpassen das alle Configs beim booten gestartet werden.

Code: Alles auswählen

AUTOSTART="all"
Dann muss folgende Einstellung angepasst werden um das restliche Netzwerk erreichen zu können

/etc/sysctl.conf auskommentieren:

Code: Alles auswählen

net.ipv4.ip_forward=1
Die Konfigurationsdateien sollten sich unter /etc/openvpn/ befinden und auf .conf enden! Falls die Endung .ovpn lautet startet Debian die Config nicht beim booten. Desweiteren sollte man die User nobody und nogroup zur Gruppe plugdev hinzufügen da sie andernfalls die benötigten Routen nicht erstellen können. Dies gilt natürlich nur wenn openvpn auch unter diesem User mit der Gruppe läuft.

/etc/group

Code: Alles auswählen

plugdev:x:46:nogroup:nobody
Man erhält dann etwa folgende Fehlermeldung beim starten.

Code: Alles auswählen

Tue Mar 27 15:16:17 2007 us=229152 /sbin/route del -net 192.168.38.0 netmask 255.255.255.0
SIOCDELRT: Operation not permitted
Tue Mar 27 15:16:17 2007 us=243401 ERROR: Linux route delete command failed: shell command exited with error status: 7
Tue Mar 27 15:16:17 2007 us=243549 Closing TUN/TAP interface
Tue Mar 27 15:16:17 2007 us=285787 SIGTERM[hard,] received, process exiting

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Problem

Beitrag von Huck Fin » 19.02.2012 11:44:14

Alternativende hat geschrieben:Hmh also bei mir sieht das so aus:

Auszug vom Server

Code: Alles auswählen



server 10.200.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"

client-to-client

Ich schätze die client-to-client Variable ist da bei dir wichtig, sowie der Verweis auf den ifconfig-pool.


Client

Code: Alles auswählen

client
dev tun
proto tcp-client
tun-mtu 1500
remote MEINEEXTERNEADRESSE 8080
pkcs12 MEINS.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server
route-delay 5
Da lässt sich der Server icht mehr starten, wenn ich das so eintrage.

Code: Alles auswählen

Options error: --server directive network/netmask combination is invalid
Use --help for more information.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: OpenVPN Problem

Beitrag von wanne » 19.02.2012 12:44:44

Huck Fin hat geschrieben:Netzwerk A
Mein VPN Server (Debian) hat die ip 10.0.0.10 Und die eth0 IP 192.168.22.2
Ein weiterer Server hat die IP 192.168.22.5

Netzwerk B
Der Win XP Client hat die VPN ip 10.0.0.20 und LAN ip 192.168.22.40
Nun kann ich mich mit dem Client PC über VPN zum Server verbinden und sogar die 192.168.22.2 anpingen.
Aber ich schaffe es nicht, die 192.168.22.5 vom Clienten aus anzupingen
Also ich nehme mal das das 192.168.22.0/24er Netrze sind.
Und jetzt die Frage: Muss das sein? Kannst du nicht einfach eines der beiden 192.168.22.0/24er Netze in ein 192.168.23.0/24 umwandeln und dann staatisch routen?
Und kannst du mal route -n auf dem client posten?
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Problem

Beitrag von Huck Fin » 19.02.2012 12:54:33

Ich kämpfe mich gerade durch dieses Tutorial.
http://www.linuxforen.de/forums/showthread.php?t=169354
Aber ich muss erst mal weg.
Ich mache morgen weiter und dann poste ich mal, ob es ging...

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Problem

Beitrag von Huck Fin » 21.02.2012 20:59:24

Ich bekomme es nicht hin.
Ich verzweifle hier noch.

Hier mal meine neue Config...

Server: (eth0=192.168.22.2)

Code: Alles auswählen

float
port 5500
proto udp
dev tun
server 10.0.1.0 255.255.255.0
mode server
ifconfig-pool-persist /etc/openvpn/ipp.txt
tls-server
client-to-client
cipher AES-256-CBC
ca /etc/openvpn/zerti/ca.crt
key /etc/openvpn/zerti/Linux.key
cert /etc/openvpn/zerti/Linux.crt
tls-auth /etc/openvpn/zerti/ta.key 0
dh /etc/openvpn/zerti/dh1024.pem
push "route 192.168.22.0 255.255.255.0"
verb 3
Client:

Code: Alles auswählen

remote meineadresse
dev tun
proto udp
port 5500
tls-client
client
ns-cert-type server
cipher AES-256-CBC
ca C:\\Programme\\OpenVPN\\Zerti\\ca.crt 
key C:\\Programme\\OpenVPN\\Zerti\\client.key 
cert C:\\Programme\\OpenVPN\\Zerti\\client.crt
tls-auth C:\\Programme\\OpenVPN\\Zerti\\ta.key 1
pull
verb 3 
keepalive 10 120
comp-lzo
route 192.168.22.0 255.255.255.0 10.0.1.1

Ich verbinde mich über's Internet.
Ich kann 192.168.22.2 anpingen (Linux Server)
aber nicht 192.168.22.5 (Windows PC)
Ich finde den Fehler nicht.

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward
habe ich auch eingegeben.

Muss ich noch irgendwo was routen ?

Ich habe lokal 192.168.24.5

Alternativende
Beiträge: 2090
Registriert: 07.07.2006 18:32:05

Re: OpenVPN Problem

Beitrag von Alternativende » 22.02.2012 07:59:52

Hi,
also ich poste dir hier noch mal meine gesamte Config da ich dir leider nicht sagen kann wo da der Hase im Pfeffer liegt.

Client

Code: Alles auswählen

#OpenVPN Client conf
#tls-client
client
dev tun
proto tcp-client
tun-mtu 1500
remote MEINREMOTE.toplevel.de 8080
pkcs12 MEINZERTIFIKAT.p12
cipher BF-CBC
comp-lzo
verb 3
ns-cert-type server
route-delay 5
Server

Code: Alles auswählen

port 8080
proto tcp
dev tun
tun-mtu 1500
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/MEINZg.crt
key /etc/openvpn/keys/MEINZ.key
dh /etc/openvpn/keys/dh1024.pem
server 10.200.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option ROUTERS 192.168.1.123"
client-to-client
keepalive 10 60
comp-lzo
max-clients 100
user nobody
group nogroup
persist-key
persist-tun
status /etc/openvpn/openvpn-status.log
log /etc/openvpn/openvpn.log
log-append /etc/openvpn/openvpn.log
verb 3

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Problem

Beitrag von Huck Fin » 22.02.2012 10:37:22

Mir hat gerade jemand in nem anderen Forum geschrieben, dass ich noch sowas einbauen muss.

server-bridge 192.168.2.111 255.255.255.0 192.168.2.200 192.168.2.254

Benutzeravatar
grobit
Beiträge: 17
Registriert: 17.02.2010 00:07:52

Re: OpenVPN Problem

Beitrag von grobit » 23.02.2012 13:05:14

Hallo.
Ich vermute mal, dass der zweite Server mit der IP 192.168.22.5 die Ping-Anfrage bekommt und richtigerweise an die Abesnder-IP 10.0.0.20 antwortet. Wenn der zweite Server oder das Standard-Gateway im Netzwerk A nun keine statische Route dahingehend haben, wohin die Paket für das 10.0.0.0/24-er-Netz gehen sollen, dann gehen sie ans Standard-Gateway, dieses schickt sie weiß Gott wohin, aber halt nicht über den VPN-Server zurück an den VPN-Client.

Wenn also noch nicht geschehen:

Entweder
(a) am zweiten Server (IP 192.168.22.5) eine statische Route für das VPN-Netz (10.0.0.0/24) setzen, d.h. die IP des VPN-Servers (192.168.22.2) als zusätzliches Gateway angeben,

oder
(b) im Standard-Gateway (meistens ist es ja der DSL-Router) als statische Route für das VPN-Netz (10.0.0.0/24) das zusätzliche Gateway
mit der IP des VPN-Servers (192.168.22.2) angeben.

Bei Variante (a) solte dann auch der zweite Server mit dem VPN-Client, bei Variante (b) sollten alle Hosts aus dem Netzwerk A mit dem VPN-Client kommunizieren können.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Problem

Beitrag von Huck Fin » 25.02.2012 12:32:18

Hi,
wenn ich Lösung B in betracht ziehe...

Angenommen
Router = 192.168.22.6
PC auf den ich zugreifen möchte = 192.168.22.5
VPN-Server = 192.168.22.2
VPN = 10.0.0.10
VPN externer PC = 10.0.0.20

Was muss ich dann im Router eintragen ?
Ich bin etwas verwirrt diesbezüglich... :?

Ich habe 3 Felder
Destination =
subnet = 255.255.255.0
default gateway =

Benutzeravatar
grobit
Beiträge: 17
Registriert: 17.02.2010 00:07:52

Re: OpenVPN Problem

Beitrag von grobit » 25.02.2012 13:32:15

Hallo.

Damit sollte es gehen:
Destination = 10.0.0.0
subnet = 255.255.255.0
default gateway = 192.168.22.2
Kurz zur Erklärung: Der Router (IP 192.168.22.6) ist bei den Hosts als Standard-Gateway für alle IPs außerhalb des lokalen Netzes (192.168.22.0/255.255.255.0) zuständig, u.a. also auch für 10.0.0.0/255.255.255.0. Pakete an das Netz 10.0.0.0/255.255.255.0 müssen aber über den VPN-Server (IP 192.168.22.2) geroutet werden. Der Router leitet mit o.g. statischer Route Pakete an das Netz 10.0.0.0/255.255.255.0 nun an den VPN-Server (IP 192.168.22.2), und der VPN-Dienst weiß ja bereist, wie und wohin damit zu verfahren ist, denn durch

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/ip_forward
ist der VPN-Server (IP 192.168.22.2) schließlich auch ein Router geworden.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Problem

Beitrag von Huck Fin » 25.02.2012 15:41:23

Hi,
is ja der Hammer... es geht...
Ich pinge von hier aus auf alle IPs im fremden Netz :THX:

Ich habe nur noch ein Problem.
in meiner client config habe ich folgendes noch dazu geschrieben.

Code: Alles auswählen

route-gateway 10.0.0.10 255.255.255.0
Nun wollte ich das aber Serverseitig einbinden mit

Code: Alles auswählen

push "route-gateway 10.0.0.10 255.255.255.0
aber plötzlich war der Server nicht mehr anpingbar im 22er Netz.
Aber mein Gedanke war doch richtig, oder ?

Nachtrag:
Es funktioniert einwandfrei.
Eine Woche rumprobiert mit tun + tap + alles Mögliche und nun geht es.
1000 Dank :hail:

Benutzeravatar
grobit
Beiträge: 17
Registriert: 17.02.2010 00:07:52

Re: [gelöst] OpenVPN Problem

Beitrag von grobit » 25.02.2012 20:15:18

is ja der Hammer... es geht...
Ich pinge von hier aus auf alle IPs im f r e m d e n Netz
  • 8O §§§-Ups!
:lol:

Der größere Hammer ist, im „fremden“ Netz die Papierschächte der Netzwerkdrucker leer zu fahren. :twisted:
––––––

Code: Alles auswählen

route-gateway 10.0.0.10 255.255.255.0
Aber mein Gedanke war doch richtig, oder ?
route-gateway braucht als Parameter einen Host und kein Netz. Alleine deshalb war der Gedanke (leider) nicht richtig. Was soll damit bewirkt werden?

Entweder müsste in der client.conf

Code: Alles auswählen

route 192.168.22.0 255.255.255.0
stehen
oder in der server,conf

Code: Alles auswählen

push "route 192.168.22.0 255.255.255.0"
Eben damit kommt der VPN-Client auch ins Netz hinter dem VPN-Server (das Netzwerk A). Aber das tut's doch bereits ...

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: [gelöst] OpenVPN Problem

Beitrag von Huck Fin » 25.02.2012 20:41:56

Hihi,
nein mit fremdes Netz meine ich das Netz auf der anderen Seite.. du weist schon, was ich meine ...

Denkst du, hier ist was überflüssig ?
Momentan läuft es fehlerfrei.

Server:

Code: Alles auswählen

float
port 5050
proto udp
dev tap0
mode server
ifconfig 10.0.0.10 255.255.255.0
ifconfig-pool 10.0.0.20 10.0.0.60
tls-server
client-to-client
cipher AES-256-CBC
ca /etc/openvpn/zerti/ca.crt
key /etc/openvpn/zerti/Linux.key
cert /etc/openvpn/zerti/Linux.crt
tls-auth /etc/openvpn/zerti/ta.key 0
dh /etc/openvpn/zerti/dh1024.pem
push "route 192.168.22.0 255.255.255.0"
push "route-gateway 10.0.0.10 255.255.255.0"
verb 3
keepalive 10 120
comp-lzo
Nach einer Woche testen mit 1000 verschiedenen Parametern träume ich schon von VPN :lol:
Weis nicht, ob da ne Route zu viel gesetzt ist...

In der Client-Config ist keine einzige Zeile mit ip oder route.

Nachtrag:
Was er auf jeden Fall braucht sind diese Beiden.
Sonst geht kein Ping.
Habe es ausgetestet.

Code: Alles auswählen

push "route 192.168.22.0 255.255.255.0"
push "route-gateway 10.0.0.10 255.255.255.0"

Benutzeravatar
grobit
Beiträge: 17
Registriert: 17.02.2010 00:07:52

Re: [gelöst] OpenVPN Problem

Beitrag von grobit » 25.02.2012 22:11:12

Das letzte Mal, als ich mich damit praktisch auseinander zusetzen hatte, war, als die ersten Vista-Kisten in Umlauf kamen, und da bereitete das Routen auf den Clients wegen UAC größeres Kopfzerbrechen. :)

Damals hat mir das Wiki des openvpn-Forums sehr geholfen (damals noch vpnforum.de). Ich habe also leider z.Zt. keine Installation mit diversen .conf's zur Hand. Was Du nutzt, ist die "Konfiguration eines Server-Multi-Client Tunnels mit Routing". Da steht auch der Hinweis mit dem statischen Routen im serverseitigen Subnetz.

route und route-gateway (ohne push "...") in der server.conf wären wohl nur notwendig, um aus dem serverseitigen Subnetz ins clientseitige Subnetz zuzugreifen. Ich vermute, Du hast es entfernt, und es tut trotzdem.

Versuch doch mal noch, das

Code: Alles auswählen

push "route-gateway 10.0.0.10 255.255.255.0"
ersatzlos zu entfernen.

Wenn es dann nicht geht, dann teste mal

Code: Alles auswählen

push "route 192.168.22.0 255.255.255.0 10.0.0.10"
oder

Code: Alles auswählen

push "route 192.168.22.0 255.255.255.0"
push "route-gateway 10.0.0.10"
Ich meine herausgelesen zu haben, im clientseitigen Netz die gleiche Subnetzadresse (192.168.22.0/255.255.255.0) wie im serverseitigen Netz zu nutzen. Das könnte eventuell der Grund sein, dass es ohne push "route 192.168.22.0 255.255.255.0 10.0.0.10" oder push "route-gateway 10.0.0.10" nicht geht.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: [gelöst] OpenVPN Problem

Beitrag von Huck Fin » 25.02.2012 22:30:46

Nun, wenn nichts gegen meine Version spricht (es läuft ja alles), lasse
ich das nun so und widme mich dem nächsten Projekt.

1000 Dank für deine Hilfe. :THX:

Antworten