VPN-Verbindung und ping

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
rimatheou
Beiträge: 63
Registriert: 18.02.2015 13:30:08

VPN-Verbindung und ping

Beitrag von rimatheou » 24.05.2020 15:49:32

Hallo zusammen,

nach diesem Wiki-Artikel (https://wiki.debian.org/OpenVPN) haben wir eine VPN-Verbindung aufgebaut. Zuerst mit Static-Key, dann TLS-enabled. Beides hat geklappt. Ich weiß jedoch nicht, wie ein ping von host zu host geht. Der VPN-Server hat die interne ip 192.168.5.55, der Client die interne 192.168.0.9. Ping vom Client auf WAN-IP des Routers des Servers funktioniert. Ping von Server auf WAN-IP des Routers des Clients funktioniert seltsamerweise nicht (WAN-Ping auf beiden Routern erlaubt). Ich stelle mir das irgendwie so vor:

Code: Alles auswählen

ping -c 3 WAN-IP:interne-IP
Bloß wie?

TomL
Beiträge: 5044
Registriert: 24.07.2014 10:56:59

Re: VPN-Verbindung und ping

Beitrag von TomL » 24.05.2020 17:25:11

Eine VPN-Verbindung wird im Regelfall zwischen 2 Geräten (Client und Server), die sich jeweils in eigenem lokalen Netz befinden, und dann ÜBER das Internet hergestellt. Und über das Internet bedeutet, dass dafür öffentliche IP-Adressen notwendig sind, oder anders gesagt, mit lokalen IP-Adressen (192.168'er) ist kein Ping über das Internet möglich. Im Regelfall halten nur DSL-Router eine öffentliche IP-Adresse bereit, oder beispielsweise auch ein via Tethering als Router funktionierendes Smartphone. Ein Ping ist also erst nach einer erfolgreich hergestellten Verbindung möglich... allerdings wiederum nicht einfach so zwischen unterschiedlichen Subnetzen.... dafür wären zusätzlich noch besondere Paketfilter-Regeln erforderlich, die NAT durchführen.

Man kann sich das, sehr weit angelehnt und ganz grobporig betrachtet, ein wenig wie ein verschlüsseltes Telefongespräch vorstellen, etwa so:

Code: Alles auswählen

Anrufer:                                                     Angerufener:

Zerhacker          Telefon
+-------------+    +---------------+
|             |    | Tel-No.:      |                Telefon              Zerhacker
| Modulation  |--->|               |--------        +---------------+    +-------------+
|             |    | 001-9876-5432 |       /        | Tel-No.:      |    |             |
+-------------+    +---------------+       ---------|               |--->| Modulation  |
                                      <- Audio ->   | 0201-12345678 |    |             |
                                      Telefonnetz   +---------------+    +-------------+


Mobiles Client-Gerät (Laptop, Smartphone):                     Server im Heimnetzwerk:

Virtuelles
OpenVPN-NIC        Physisches NIC
+-------------+    +---------------+                                     Virtuelles
| 10.8.0.8    |    | 172.10.17.200 |                Physisches NIC       OpenVPN-NIC
|             |--->|               |--------        +---------------+    +-------------+
| VPN-Client  |    |  Client-PC    |       /        | 192.168.0.200 |    | 10.8.0.1    |
+-------------+    +---------------+       ---------|               |--->|             |
                                     <-TCP-Pakete-> |  Home-Server  |    | VPN-Server  |
                                        Internet    +---------------+    +-------------+
vg, Thomas

rimatheou
Beiträge: 63
Registriert: 18.02.2015 13:30:08

Re: VPN-Verbindung und ping

Beitrag von rimatheou » 24.05.2020 18:38:26

Also: das, was ich will, geht nicht. Vielen Dank für die Mühe. Es bleibt noch herauszufinden, weshalb kein Ping vom VPN-Server auf die WAN-IP des Client-Routers möglich ist. Von einem anderen Gerät als dem VPN-Server aus ist es auch nicht möglich. Werde berichten.

TomL
Beiträge: 5044
Registriert: 24.07.2014 10:56:59

Re: VPN-Verbindung und ping

Beitrag von TomL » 24.05.2020 18:45:08

rimatheou hat geschrieben: ↑ zum Beitrag ↑
24.05.2020 18:38:26
Es bleibt noch herauszufinden, weshalb kein Ping vom VPN-Server auf die WAN-IP des Client-Routers möglich ist. Von einem anderen Gerät als dem VPN-Server aus ist es auch nicht möglich.
Im Regelfall ist das umgekehrt, ein VPN-Client pingt einen VPN-Server zur Kontrolle der Verbindung dieses Transfernetzes an. Um die WAN-IP des DSL-Routers auf der Server-Seite anzupingen braucht es gar kein VPN, das geht einfach via Internet direkt - sofern nicht eingestellt hat, dass der Router nicht antworten soll. Und wobei zu beachten ist, dass der Ping auf die WAN-IP des DSL-Routers über das VPN ein lokaler Ping ist.
vg, Thomas

rimatheou
Beiträge: 63
Registriert: 18.02.2015 13:30:08

Re: VPN-Verbindung und ping

Beitrag von rimatheou » 25.05.2020 09:14:19

Ich kenne das von meinem lokalen Heimnetz, dass ich immer in beide Richtungen gepingt habe. Der VPN-Client hat einen Router von hitron technologies, Modell CVE-30360. Dazu habe ich gelesen, dass ein Anwender mit diesem Router (Kabelanschluss) keine eigene WAN-IP hat, sondern sich in einem WAN-IP-Pool befindet und deswegen kein ping funktioniert. Im Router-Menü lässt sich auch keine WAN-IP finden. Die wurde über einen entsprechenden Service im Browser herausgefunden. Wie dem auch sei...

mat6937
Beiträge: 1677
Registriert: 09.12.2014 10:44:00

Re: VPN-Verbindung und ping

Beitrag von mat6937 » 25.05.2020 09:49:31

rimatheou hat geschrieben: ↑ zum Beitrag ↑
25.05.2020 09:14:19
..., dass ein Anwender mit diesem Router (Kabelanschluss) keine eigene WAN-IP hat, sondern sich in einem WAN-IP-Pool befindet und deswegen kein ping funktioniert. Im Router-Menü lässt sich auch keine WAN-IP finden.
Dann hat dieser Anwender DS-lite und im Router-Menü wird die IPv6-Adresse und die IPv6-Adresse des AFTR-Gateways gefunden. Die IPv4-Adresse aus dem "WAN-IP-Pool" kann man auch in der Kommandozeile mit z. B.:

Code: Alles auswählen

dig +short myip.opendns.com @208.67.222.222
(oder gleichwertig) zeigen lassen.

rimatheou
Beiträge: 63
Registriert: 18.02.2015 13:30:08

Re: VPN-Verbindung und ping

Beitrag von rimatheou » 26.05.2020 09:41:26

mat6937 hat geschrieben: ↑ zum Beitrag ↑
25.05.2020 09:49:31
Die IPv4-Adresse aus dem "WAN-IP-Pool" kann man auch in der Kommandozeile mit z. B.:

Code: Alles auswählen

dig +short myip.opendns.com @208.67.222.222
(oder gleichwertig) zeigen lassen.
Vom Client-Rechner aus (mit der hitron-box) oder vom Server aus? Und was setze ich für
myip.opendns.com, wenn es nach außen keine Domain gibt, sondern nur intern?

Ist 208.67.222.222 in diesem Beispiel die interne IP-Adresse?

Sorry für die blöden Fragen, aber dig kenne ich nicht.

mat6937
Beiträge: 1677
Registriert: 09.12.2014 10:44:00

Re: VPN-Verbindung und ping

Beitrag von mat6937 » 26.05.2020 10:41:41

rimatheou hat geschrieben: ↑ zum Beitrag ↑
26.05.2020 09:41:26
Vom Client-Rechner aus (mit der hitron-box) oder vom Server aus? Und was setze ich für
myip.opendns.com, wenn es nach außen keine Domain gibt, sondern nur intern?

Ist 208.67.222.222 in diesem Beispiel die interne IP-Adresse?

..., aber dig kenne ich nicht.
In deinem Fall, vom Client-Rechner (DS-lite-Anschluss ?)
"myip.opendns.com" ist so richtig und kann nur mit den DNS-Server (hier 208.67.222.222) von OpenDNS aufgelöst werden.
Statt dig kannst Du auch host oder nslookup oder drill oder gleichwertig benutzen. Z. B.:

Code: Alles auswählen

:~ $ nslookup -q=A myip.opendns.com 208.67.222.222
Server:		208.67.222.222
Address:	208.67.222.222#53

Non-authoritative answer:
Name:	myip.opendns.com
Address: 46.###.###.##

rimatheou
Beiträge: 63
Registriert: 18.02.2015 13:30:08

Re: VPN-Verbindung und ping

Beitrag von rimatheou » 31.05.2020 10:27:14

Also: ich habe die Befehle dig ... und nslookup ... auf dem Client ausführen lassen, aber wir erhielten beide male dieselbe IP wie bei einem Anbieter a la "Wie ist meine IP" über Google. Ein ping von mir auf die WAN-Schnittstelle war leider nicht erfolgreich (obwohl im Router erlaubt).

rimatheou
Beiträge: 63
Registriert: 18.02.2015 13:30:08

Re: VPN-Verbindung und ping

Beitrag von rimatheou » 31.05.2020 10:45:14

Code: Alles auswählen

ping -6 -c 3 2a02:810d:0:11:####:####:####:5bf
ping: connect: Das Netzwerk ist nicht erreichbar

Benutzeravatar
Tintom
Beiträge: 1820
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: VPN-Verbindung und ping

Beitrag von Tintom » 31.05.2020 11:03:17

rimatheou hat geschrieben: ↑ zum Beitrag ↑
25.05.2020 09:14:19
Im Router-Menü lässt sich auch keine WAN-IP finden.
Hast du schon im Handbuch nachgeschaut? Auf S. 27 steht es:
https://kabel.vodafone.de/static/media/ ... -30360.pdf

rimatheou
Beiträge: 63
Registriert: 18.02.2015 13:30:08

Re: VPN-Verbindung und ping

Beitrag von rimatheou » 04.06.2020 13:14:11

Ich habe das Handbuch konsultiert. Ich vermute, es liegt an unterschiedlichen IP-Versionen. Ich habe noch alles über ipv4 und die Gegenstelle verwendet ipv6.

eggy
Beiträge: 2186
Registriert: 10.05.2008 11:23:50

Re: VPN-Verbindung und ping

Beitrag von eggy » 04.06.2020 13:28:33

https://openvpn.net/community-resources ... envpn-2-4/
tun devices encapsulate IPv4 or IPv6 (OSI Layer 3) while tap devices encapsulate Ethernet 802.3 (OSI Layer 2).
Versuch mal tap statt tun in der Config auf beiden Seiten.

Benutzeravatar
unitra
Beiträge: 451
Registriert: 15.06.2002 21:09:38
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Kölle

Re: VPN-Verbindung und ping

Beitrag von unitra » 04.06.2020 19:32:46

Das hat nichts mit dem ursprünglichen Problem zu tun. TUN wird gegen TAP ausgetauscht, und Keiner lernt was.
eggy hat geschrieben: ↑ zum Beitrag ↑
04.06.2020 13:28:33
https://openvpn.net/community-resources ... envpn-2-4/
tun devices encapsulate IPv4 or IPv6 (OSI Layer 3) while tap devices encapsulate Ethernet 802.3 (OSI Layer 2).
Versuch mal tap statt tun in der Config auf beiden Seiten.

TomL
Beiträge: 5044
Registriert: 24.07.2014 10:56:59

Re: VPN-Verbindung und ping

Beitrag von TomL » 04.06.2020 20:05:56

Das Problem liegt daran, dass er auf einem IPv4-Client natürlich auch IPv6 aktivieren muss und zusätzlich auf diesem Client ein IPv6-Gateway verfügbar sein muss, um über das Internet einen VPN-Server hinter einem DS-Lite-Anschluss zu erreichen. Der Wechsel von tun auf tap-Device wird das nicht lösen können.
vg, Thomas

Antworten