OVPN kleines Routing Problem

[Alternativende]

Hallo zusammen,
ich habe ein kleines dringendes Routingproblem mit OpenVPN. Ich habe an einem Standort eine neue Firewall eingerichtet (IPFire). In deren lokalen Netz steht ein Debianserver mit OpenVPN der bisher auch gut im Netz funktioniert hat.

Nun ist es aber so das ich nur noch den OpenVPN Server erreichen kann und keine Clients dahinter. In der Firewall habe ich eine Portweiterleitung zum Debianserver auf den OpenVPN Port eingerichtet.

Pings oder Verbindungsversuche über das VPN-Netz scheitern nun aber ohne Fehlermeldung.


Routen vom Client

Code: Alles auswählen

# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.178.1   0.0.0.0         UG    100    0        0 enp0s25
10.200.0.0      10.200.0.33     255.255.255.0   UG    0      0        0 tun0
10.200.0.33     0.0.0.0         255.255.255.255 UH    0      0        0 tun0
192.168.1.0     10.200.0.33     255.255.255.0   UG    0      0        0 tun0
192.168.178.0   0.0.0.0         255.255.255.0   U     100    0        0 enp0s25

Fehlermeldung openvpn.log auf dem Server

Code: Alles auswählen

Thu Dec  1 10:31:46 2016 us=267514 6.6.6.6:1194 [MYUSER0816] Peer Connection Initiated with [AF_INET]6.6.6.6:1194
Thu Dec  1 10:31:46 2016 us=267547 MYUSER0816/6.6.6.6:1194 MULTI_sva: pool returned IPv4=10.200.0.34, IPv6=(Not enabled)
Thu Dec  1 10:31:46 2016 us=267597 MYUSER0816/6.6.6.6:1194 MULTI: Learn: 10.200.0.34 -> MYUSER0816/6.6.6.6:1194
Thu Dec  1 10:31:46 2016 us=267612 MYUSER0816/6.6.6.6:1194 MULTI: primary virtual IP for MYUSER0816/6.6.6.6:1194: 10.200.0.34
Thu Dec  1 10:31:48 2016 us=429896 MYUSER0816/6.6.6.6:1194 PUSH: Received control message: 'PUSH_REQUEST'
Thu Dec  1 10:31:48 2016 us=429942 MYUSER0816/6.6.6.6:1194 send_push_reply(): safe_cap=940
Thu Dec  1 10:31:48 2016 us=429995 MYUSER0816/6.6.6.6:1194 SENT CONTROL [MYUSER0816]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 10.200.0.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.200.0.34 10.200.0.33' (status=1)
Thu Dec  1 10:31:48 2016 us=452330 MYUSER0816/6.6.6.6:1194 MULTI: bad source address from client [fe80::edfa:ee4f:c230:d4d3], packet dropped
Thu Dec  1 10:31:52 2016 us=569233 MYUSER0816/6.6.6.6:1194 MULTI: bad source address from client [fe80::edfa:ee4f:c230:d4d3], packet dropped
Thu Dec  1 10:31:56 2016 us=663695 MYUSER0816/6.6.6.6:1194 MULTI: bad source address from client [fe80::edfa:ee4f:c230:d4d3], packet dropped

Auf der neuen Firewall sehe ich keine Fehlermeldungen (bin per ssh vom Debianserver aus drauf )

Hier mal der Verbindungsaufbau des Clients:

Code: Alles auswählen

Thu Dec  1 10:31:48 2016 WARNING: file 'VHSassen.p12' is group or others accessible
Thu Dec  1 10:31:48 2016 Socket Buffers: R=[212992->212992] S=[212992->212992]
Thu Dec  1 10:31:48 2016 UDPv4 link local (bound): [undef]
Thu Dec  1 10:31:48 2016 UDPv4 link remote: [AF_INET]8.4.5.4:8080
Thu Dec  1 10:31:48 2016 TLS: Initial packet from [AF_INET]8.4.5.4:8080, sid=d886a82d 1a162fa6
Thu Dec  1 10:31:48 2016 VERIFY OK: depth=1, C=DE, ST=NRW, L=LAGE, O=Fort-Funston, OU=MyOrganizationalUnit, CN=mydyn.de, name=EasyRSA, emailAddress=me@myhost.mydomain
Thu Dec  1 10:31:48 2016 VERIFY OK: nsCertType=SERVER
Thu Dec  1 10:31:48 2016 VERIFY OK: depth=0, C=DE, ST=NRW, L=LAGE, O=Fort-Funston, OU=MyOrganizationalUnit, CN=mydyn.de, name=EasyRSA, emailAddress=me@myhost.mydomain
Thu Dec  1 10:31:48 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Dec  1 10:31:48 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec  1 10:31:48 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Dec  1 10:31:48 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Dec  1 10:31:48 2016 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Thu Dec  1 10:31:48 2016 [mydyn.de] Peer Connection Initiated with [AF_INET]8.4.5.4:8080
Thu Dec  1 10:31:50 2016 SENT CONTROL [mydyn.de]: 'PUSH_REQUEST' (status=1)
Thu Dec  1 10:31:50 2016 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 10.200.0.0 255.255.255.0,topology net30,ping 10,ping-restart 60,ifconfig 10.200.0.34 10.200.0.33'
Thu Dec  1 10:31:50 2016 OPTIONS IMPORT: timers and/or timeouts modified
Thu Dec  1 10:31:50 2016 OPTIONS IMPORT: --ifconfig/up options modified
Thu Dec  1 10:31:50 2016 OPTIONS IMPORT: route options modified
Thu Dec  1 10:31:50 2016 ROUTE_GATEWAY 192.168.178.1/255.255.255.0 IFACE=enp0s25 HWADDR=00:19:99:89:77:26
Thu Dec  1 10:31:50 2016 TUN/TAP device tun0 opened
Thu Dec  1 10:31:50 2016 TUN/TAP TX queue length set to 100
Thu Dec  1 10:31:50 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Thu Dec  1 10:31:50 2016 /sbin/ip link set dev tun0 up mtu 1500
Thu Dec  1 10:31:50 2016 /sbin/ip addr add dev tun0 local 10.200.0.34 peer 10.200.0.33
Thu Dec  1 10:31:55 2016 /sbin/ip route add 192.168.1.0/24 via 10.200.0.33
Thu Dec  1 10:31:55 2016 /sbin/ip route add 10.200.0.0/24 via 10.200.0.33
Thu Dec  1 10:31:55 2016 Initialization Sequence Completed

Edit:
Wenn ich auf dem Debianserver iftop für das tun0 Device Aufrufe sehe ich jeden Verbindungsversuch den ich unternehme, nur das die betroffenen Server nicht antworten, sie empfangen etwas aber können offensichtlich nicht antworten.

Kann es sein das die Server/Clients die erreichbar sein sollen eine Berechtigung zur Kommunikation nach Außen über den OpenVPN Port benötigen?

[mludwig]

Kennen denn die Server die Rückroute? Deren Standardgateway ist vermutlich deine neue IPFire, die ja ebenfalls keine Ahnung von dem Tunnel hat. Im einfachsten Fall trägst du dort (auf der IPFire) die Route zum Tunnel ein.

Code: Alles auswählen

route add -net 10.200.0.0/24 gw <ip-des-openvpn-gw>

[Alternativende]

Vielen Dank noch mal für Deine Hilfe!