[gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

[gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 11:01:15

Ich nutze OpenVPN schon länger.
Neuerdings geht mein Zugriff auf das netzwerk hinter dem Server nicht mehr.
Es lief früher problemlos.
Ich teste das mit nem Tool (softperfect network scanner) und sehe nur den Server (192.168.22.2) und den Router (192.168.22.6).

Im Einsatz habe ich Serverseitig Debian 7.11 (192.168.22.2) hinter einem TP-Link DSL Router (192.168.22.6).

Meine Server.conf

Code: Alles auswählen

float
port 5000
proto udp
dev tap0
mode server
ifconfig 10.0.0.10 255.255.255.0
ifconfig-pool 10.0.0.20 10.0.0.60
tls-server
client-to-client
cipher AES-256-CBC
ca /etc/openvpn/zerti/ca.crt
key /etc/openvpn/zerti/Linux.key
cert /etc/openvpn/zerti/Linux.crt
tls-auth /etc/openvpn/zerti/ta.key 0
dh /etc/openvpn/zerti/dh1024.pem
push "route 192.168.22.0 255.255.255.0 10.0.0.10"
verb 3
keepalive 10 120
comp-lzo

Code: Alles auswählen

 cat /proc/sys/net/ipv4/ip_forward
1
Im Router auf dem Server ist der Port 5000 UDP auf die IP vom Server umgeleitet (192.168.22.2)

Eine statische Route habe ich auch eingerichtet.

Code: Alles auswählen

Destination Network 10.0.0.0
subnet 255.255.255.0
default gateway 192.168.22.2
Die Client.conf (getestet mit Debian 9 und Windows 10)

Code: Alles auswählen

remote meineserveradresse
dev tap
proto udp
port 5000
float
tls-client
client
ns-cert-type server
cipher AES-256-CBC
ca C:\\Daten\\tools\\zerti\\dttb\\ca.crt 
key C:\\Daten\\tools\\zerti\\dttb\\client.key 
cert C:\\Daten\\tools\\zerti\\dttb\\client.crt
tls-auth C:\\Daten\\tools\\zerti\\dttb\\ta.key 1
pull
verb 3 
keepalive 10 120
comp-lzo
auth-nocache
Ein nbtscan 192.168.22.0/24 am Server zeigt mir 14 IP-Adressen von PCs und Druckern im LAN
Ich dachte erst es liegt an meinem Windows 10 Client, aber wenn ich hier das ganze mit Debian versuche, sehe ich auch nur 2 IPs auf der Gegenseite.

jemand ne idee was ich falsch mache ?
Zuletzt geändert von Huck Fin am 04.03.2018 11:54:14, insgesamt 4-mal geändert.

TomL

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von TomL » 04.03.2018 11:04:15

Was enthält denn die FORWARD-Chain des Paketfilters? Soweit ich weiss, geht das nicht ohne....

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 11:06:54

Aber das lief vorher ohne.
Da war das über den Router mit static route geregelt.
Von Paketfilter hab ich keine Ahnung

TomL

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von TomL » 04.03.2018 11:12:57

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 11:06:54
Aber das lief vorher ohne. Da war das über den Router mit static route geregelt.Von Paketfilter hab ich keine Ahnung
Was der DSL-Router macht ist die eine Seite... der OpenVPN-Server ist aber auch Router, was ich an dem Statement client-to-client in Deiner Conf erahne. Ist es so, dass Du gleichzeitig mehrere VPN-Clients hast, die sich untereiander sehen dürfen? Wenn ja, ist der OVPN-Server auch Router, wenn nein, würde ich dieses Statement entfernen.

Und ja, ich kenne das nicht anders, dass der Traffic von einem VPN-Client auf andere reguläre LAN-Clients auf dem OpenVPN-Server ins LAN geforwardet werden muss. Ich gestehe, dass mich das jetzt sehr irritiert, dass es angeblich vorher auch ohne funktioniert hat. Hat sich oder wurde auf der OVPN-Server-Maschine irgendwas verändert?

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 11:18:32

Ja.
Das Problem ist, dass ich das nicht ständig nutze.
Ich kann nicht mal sagen, seid wann es nicht geht.
Aber vor 6 Monaten lief es noch.
Zwischenzeitlich wurde...
Server ausgetauscht
Internet-Router ausgetauscht.
Deshalb ist es für mich scchwer, das ganze einzugrenzen.

Wie müsste denn die Chainrule aussehen ?

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von mat6937 » 04.03.2018 11:25:15

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 11:18:32
Zwischenzeitlich wurde...
Server ausgetauscht
Wie sind auf dem Server, die Ausgaben von:

Code: Alles auswählen

sysctl net.ipv4.ip_forward
iptables -nvx -L FORWARD
?

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 11:28:21

Code: Alles auswählen

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Code: Alles auswählen

 iptables -nvx -L FORWARD
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

TomL

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von TomL » 04.03.2018 11:30:02

Ja, dann wird das die Ursache sein. Der frühere Router hat das offensichtlich ge'handle'd hat und hat "unbekannte" Pakete mit lokaler DADDR trotzdem ins LAN geroutet hat. Ich gehe mal davon aus, dass OVPN die betroffenen Pakete auch heute an das Standard-NIC geforwardet hat, die dann von dort weiter an das Gateway geliefert werden. Möglicherweise erkennt der neue Route die Paket-SADDR des VPN-Clients jetzt als "unbekannte" Quelle, ist ja ein anderes Netz, und verwirft die Pakete... keine Ahnung, ich kann da nur Vermutungen anstellen.

Aber ich vermute, über ein Masquerading und Forward im Paketfilter des OpenVPN-Servers müsstest Du das wieder herstellen können.... zumindest würde ich als erstes diesen Ansatz verfolgen. Dazu gibt es haufenweise Infos im Web.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 11:32:33

OK ich googel mal wie ich das machen muss mit der chain

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von mat6937 » 04.03.2018 11:36:15

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 11:28:21

Code: Alles auswählen

sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

Code: Alles auswählen

 iptables -nvx -L FORWARD
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
Das ist OK. Dann poste mal ein traceroute auf ein Gerät hinter dem Server. Z. B. so (oder gleichwertig):

Code: Alles auswählen

mtr -4nr -c 2 -i 2 <interne-IP-Adresse-Gerät-im-W/LAN-des-Routers>
(ohne spitze Klammern).

EDIT:

Poste vom Server auch die Ausgaben von:

Code: Alles auswählen

iptables -nvx -L POSTROUTING -t nat
route -n
Zuletzt geändert von mat6937 am 04.03.2018 11:39:33, insgesamt 1-mal geändert.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 11:39:09

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 11:30:02
Ja, dann wird das die Ursache sein. Der frühere Router hat das offensichtlich ge'handle'd hat und hat "unbekannte" Pakete mit lokaler DADDR trotzdem ins LAN geroutet hat. Ich gehe mal davon aus, dass OVPN die betroffenen Pakete auch heute an das Standard-NIC geforwardet hat, die dann von dort weiter an das Gateway geliefert werden. Möglicherweise erkennt der neue Route die Paket-SADDR des VPN-Clients jetzt als "unbekannte" Quelle, ist ja ein anderes Netz, und verwirft die Pakete... keine Ahnung, ich kann da nur Vermutungen anstellen.

Aber ich vermute, über ein Masquerading und Forward im Paketfilter des OpenVPN-Servers müsstest Du das wieder herstellen können.... zumindest würde ich als erstes diesen Ansatz verfolgen. Dazu gibt es haufenweise Infos im Web.
Tatsache...
Es funzt :-)
Muss ich die Route nach jedem Reboot neu setzen ?

Code: Alles auswählen

 iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 192.168.22.0/24 -j MASQUERADE

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von mat6937 » 04.03.2018 11:45:44

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 11:39:09
Muss ich die Route nach jedem Reboot neu setzen ?

Code: Alles auswählen

 iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 192.168.22.0/24 -j MASQUERADE
Naja, durch einen manuellen Eintrag ist die iptables-Regel nicht persistent. Es gibt verschiedene Möglichkeiten diese Regel, beim booten zu setzen. Z. B. u. a. auch "iptables-persistent"/"netfilter-persistent".

TomL

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von TomL » 04.03.2018 11:49:10

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 11:39:09
Muss ich die Route nach jedem Reboot neu setzen ?
Ja!

Code: Alles auswählen

nano /etc/systemd/system/setnft.service

Code: Alles auswählen

[Unit]
Description=setnft.service:   Set local Netfilter
DefaultDependencies=no

[Service]
Type=oneshot
RemainAfterExit=no

ExecStart=/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -d 192.168.22.0/24 -j MASQUERADE
ExecStop=/bin/true

[Install]
WantedBy=multi-user.target
Rechte setzen, aktivieren, fertig.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 11:53:33

1000 Dank
:THX:

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 12:34:26

Jetzt tauchen aber dann doch noch 1-2 Fragen auf.

Sehe ich das richtig, dass die statische Route im Router unnötig ist ?

Code: Alles auswählen

WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Wenn ich es ändere auf remote-cert-tls bekomme ich tls errors
gibt es da nen Trick ?

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von mat6937 » 04.03.2018 13:18:32

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 12:34:26
Sehe ich das richtig, dass die statische Route im Router unnötig ist ?
Welche statische Route hast Du in deinem Router konfiguriert? Die wird evtl. für die Clients im (W)LAN deines Routers, nützlich bzw. zuständig sein.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 14:16:57

ich meine das hier

Destination Network 10.0.0.0
subnet 255.255.255.0
default gateway 192.168.22.2

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von mat6937 » 04.03.2018 14:20:38

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 14:16:57
ich meine das hier

Destination Network 10.0.0.0
subnet 255.255.255.0
default gateway 192.168.22.2
Ja, diese Route wird von den Clients im (W)LAN des Routers benötigt, wenn diese das VPN nutzen sollen.

BTW: Dann muss man nicht in jedem Client so eine Route konfigurieren.
Zuletzt geändert von mat6937 am 04.03.2018 14:29:04, insgesamt 1-mal geändert.

TomL

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von TomL » 04.03.2018 14:25:32

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 12:34:26
Wenn ich es ändere auf remote-cert-tls bekomme ich tls errors. gibt es da nen Trick ?
1. Wie sieht die Client-Conf mit diesem Statement aus?
2. Hast Du die Certs auf Grundlage RFC3280 gemäßt TLS-Regeln signiert...?... mit anderen Worten, (PKI) mit Nutzung des RSA-Tools?

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 15:00:20

TomL hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 14:25:32
Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 12:34:26
Wenn ich es ändere auf remote-cert-tls bekomme ich tls errors. gibt es da nen Trick ?
1. Wie sieht die Client-Conf mit diesem Statement aus?
2. Hast Du die Certs auf Grundlage RFC3280 gemäßt TLS-Regeln signiert...?... mit anderen Worten, (PKI) mit Nutzung des RSA-Tools?
Die Client.conf (getestet mit Debian 9 und Windows 10)

Code: Alles auswählen

remote meineserveradresse
dev tap
proto udp
port 5000
float
tls-client
client
ns-cert-type server
cipher AES-256-CBC
ca C:\\Daten\\tools\\zerti\\dttb\\ca.crt 
key C:\\Daten\\tools\\zerti\\dttb\\client.key 
cert C:\\Daten\\tools\\zerti\\dttb\\client.crt
tls-auth C:\\Daten\\tools\\zerti\\dttb\\ta.key 1
pull
verb 3 
keepalive 10 120
comp-lzo
auth-nocache
Ich ändere
ns-cert-type server
in
remote-cert-tls server
dann erhalte ich

Code: Alles auswählen

Sun Mar 04 14:58:45 2018 Certificate does not have key usage extension
Sun Mar 04 14:58:45 2018 VERIFY KU ERROR
Sun Mar 04 14:58:45 2018 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Sun Mar 04 14:58:45 2018 TLS_ERROR: BIO read tls_read_plaintext error
Sun Mar 04 14:58:45 2018 TLS Error: TLS object -> incoming plaintext read error
Sun Mar 04 14:58:45 2018 TLS Error: TLS handshake failed
Sun Mar 04 14:58:45 2018 SIGUSR1[soft,tls-error] received, process restarting
Sun Mar 04 14:58:45 2018 MANAGEMENT: >STATE:1520171925,RECONNECTING,tls-error,,,,,
Sun Mar 04 14:58:45 2018 Restart pause, 5 second(s)
ich meine es funktioniert ja mit
ns-cert-type server
Muss ich eventuell noch was an der Server-conf ändern oder fehlt noch ein zertifikat am Server ?

Zertifikate hatte ich nach Anleitung von OpenVPN erstellt

TomL

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von TomL » 04.03.2018 15:11:50

Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:00:20
Muss ich eventuell noch was an der Server-conf ändern oder fehlt noch ein zertifikat am Server ?
Nö, das ist imho ok.
Huck Fin hat geschrieben: ↑ zum Beitrag ↑
04.03.2018 15:00:20
Zertifikate hatte ich nach Anleitung von OpenVPN erstellt
Welche Anleitung?

Wie gesagt, wenn das nicht nach den TLS-Regeln erfolgt ist, was ich jetzt bei dieser Fehlermeldung glaube, geht das nicht. Dann wirst Du die wohl neu machen müssen... und zwar mit dem RSA-Tool. Aber da kommst Du sowieso nicht drumrum, in der nächsten OVPN-Version ist der alte Parameter entfernt.

Benutzeravatar
Huck Fin
Beiträge: 1202
Registriert: 10.03.2008 17:10:30

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von Huck Fin » 04.03.2018 15:17:28

Gut, ich teste mich mal durch.
Habe ja local die Möglichkeit zum testen.

Ich hatte die Zertifikate mit den RSA Tools erstellt.
Da gab es eine Anleitung.
Viel kann man da nicht falsch machen glaube ich.

TomL

Re: [gelöst] OpenVPN Netzwerk hinter Server nicht mehr erreichbar

Beitrag von TomL » 04.03.2018 15:29:58

Auf meinen Clients ist dieser Parameter gesetzt und es gbit keine Probleme damit. Meine Certs und Keys sind mit Easy_RSA_2.2.2-2_Debian-9 erstellt. Vielleicht reicht ein Update und Neuerstellen.

Antworten