• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

OpenVPN Routing funktioniert nicht

M

mad-max

Member
Hallo liebes Forum,

folgende Situation:
auf meinem Suse 12.2 System habe ich OpenVPN soweit eingerichtet.
Mein Server hat intern die folgenden IP:
192.168.0.1
192.168.1.1

die VPN IP des Server ist: 10.0.0.1
die Clients bekommen diese IP´s zugewiesen: 10.0.0.2 10.0.0.10

Hier die Server Config:
Code: 
mode server
tls-server
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.10
proto udp
port 1195
dev tap
cd /etc/openvpn
pkcs12 server.p12
dh dh1024.pem
keepalive 10 60
float
client-to-client
comp-lzo
duplicate-cn
user nobody
group nobody 
persist-key
persist-tun
verb 4
push "route 192.168.0.0 255.255.255.0"

Hier die Client Config:
Code: 
client
remote yyy.zzz.org 1195
cd C:/Programme/OpenVPN/certs
pkcs12 client1.p12
resolv-retry infinite
nobind
keepalive 10 60
comp-lzo
user nobody
group nobody 
persist-key
persist-tun
verb 4

Die Einwahl über das Internen über einen entferten Rechner funktioniert soweit. Ich kann aber weder meinen Server noch das entsprechende Netz (192.168.0.0) erreichen, hinter dem sich weitere Devices befindet die ich über VPN errreichn müsste.

Der Server selbst arbeitet als Router bei mir im Netzwerk, von wo aus der Internetzugang geregelt wird, abgesichert über die SuseFirewall.
könnte mir bitte jemand bei der Einrichtung des Routings helfen?!

Vielen Dank!
 
B

Beppo

Member
Hallo mad-max,

beim Routing würde ich bei openvpn zum tun device greifen.
Also probier mal aus anstatt "dev tap" in der Server Config "dev tun" zu benutzen.

Sonst sieht deine Konfiguration doch gut aus.

Falls das nicht funktioniert, kannst du mal deine Routing Tabellen und die Logs von Client und Server hier posten.

VG
Beppo
 
OP
M

mad-max

Member
Hallo und guten Morgen,

wenn ich bei meinem (Windows) Client auf "dev tun" umstelle, muss dann auch der Treiber bei den Netzwerkgeräten geändert werden?

Dort ist nämlich nur ein "TAP-Win32 Adapter V8" gelistet, aber kein "Tun Adapter". Oder spielt der Treiber keine Rolle?
 
B

Beppo

Member
Hallo,

meinem Wissen nach ist das kein Problem.
Du hast unter Linux auch das Modul tun, was du sowohl als tap oder tun Interface konfigurieren kannst.
Das ist natürlich nicht keine Erklärung dafür... aber vielleicht macht es das anschaulicher.

VG
Beppo
 
S

spoensche

Moderator
Teammitglied
Die Routenkonfiguration auf deinem VPN Server stimmt nicht, weil du kein Gateway angegeben hast. Der Eintrag Client-to-Client hat in der Serverkonfiguration auch nichts verloren.

Poste mal die Ausgabe von
Code: 
ip r s
. Was sagt den das Log des VPN-Servers?
 
OP
M

mad-max

Member
Hallo;
hier einmal die Routingausgabe:
Code: 
127.0.0.0/8 dev lo  scope link
169.254.0.0/16 dev eth0  scope link
172.16.16.0/24 dev vmnet8  proto kernel  scope link  src 172.16.16.1
172.16.150.0/24 dev vmnet1  proto kernel  scope link  src 172.16.150.1
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.1
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.1

Die Logs reiche ich noch nach.
Aber vielleicht helfen die Routings schon mal weiter.
Vielen Dank!
 
S

spoensche

Moderator
Teammitglied
Du hast in der Konfig auf dem Server noch das ersetzten der default Route aktiviert. Das ersetzen der derfault Route sorgt dafür, das nach dem Aufbau der VPN-Verbindung dafür, das du nirgends mehr hinkommst.
 
OP
M

mad-max

Member
Hi und danke für deine Antwort.

Das mit dem ersetzen der deault Route verstehe ich aber nicht so ganz. Kannst du das etwas genauer erklären.
Was muss ich jetzt einstellen?
Eigentlich habe ich in Yast bei den Netzwerkeinstellungen ein Standard Gateway gesetzt auf die 192.168.0.1 (Server) und IP Weiterleitung aktiviert.
 
S

spoensche

Moderator
Teammitglied
In der Konfiguration gibt es eine Oprtion:

Code: 
push "redirect-gateway def1 bypass-dhcp"

die Zeile musst du auskommentieren.
 
OP
M

mad-max

Member
Hi;
Sorry, ich bin jedoch so langsam am verzweifeln.
Es funktioniert leider immer noch nicht.
Trotz des Eintrages in der Server Config:
Code: 
push "redirect-gateway def1 bypass-dhcp"

Ich bekomme einfach nichts angepingt. Weder die VPN Server IP noch die "echte" IP aus meinem Netzwerk.

Was kann ich noch machen?
Bin echt ratlos.....
 
orcape

orcape

Member
Hi,

wenn Du routen möchtest, solltest Du auf den Vorshlag von Beppo eingehen und das tun-Device nehmen.
Für das tap musst Du bridgen, d.h. auf Server und Client gleiche LAN-IP z.B. 192.168.0.0/24.

Gruß orcape
 
OP
M

mad-max

Member
Hallo zusammen,
ich habe noch eine Idee, die ich heute abend austesten müsste.
VPN Server ist ja gleichzeitig Router mit SuseFirewall.
Was ich bisher an der Firewall noch nicht eingestellt habe ist, dass das Device tunx ein interes Device ist (FW_DEVICE_INT). Vielleicht ist das ja schon die Lösung!
 
OP
M

mad-max

Member
Hallo zusammen,

ich habe jetzt mal auf das tun Device umgestellt.
In der SuseFirewall habe ich das tun0 Device als interes Device angegeben.

Nur leider funktioniert das Routing immer noch nicht.
Wenn ich mir das Routing auf dem Server ansehe, dann glaube ich das da immer noch was nicht richtig ist, was das Routing für das tun Device angeht:

Code: 
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         *               0.0.0.0         U     0      0        0 dsl0
esn001ibr003-xd *               255.255.255.255 UH    0      0        0 dsl0
loopback        *               255.0.0.0       U     0      0        0 lo
link-local      *               255.255.0.0     U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
255.255.255.0   *               255.255.255.255 UH    0      0        0 tun0

Müsste hier als Ziel nicht wieder mein 10.0.0.0 (VPN)Netz stehen, anstatt 255.255.255.0

Wenn ich wieder auf das dev Device umstelle, dann ist wohl das Routung wieder richtig. Aber ich erreiche immer noch nichts, nicht einmal den Server:

Code: 
10.0.0.0   *               255.255.255.255 UH    0      0        0 tun0

Ich habe so langsam die Firewall im Verdacht...
 
orcape

orcape

Member
Hi mad-max,

Du solltest mal das tun-Device lassen und einmal die Routingtabellen von OpenVPN-Server und -Client posten.
Hast Du mal versucht den Tunnel manuell über die Konsole zu starten und dann Logdateien anschauen.
Ins Verzeichnis von OpenVPN wechseln und dann als root "openvpn openvpn.conf" eingeben.
Hier mal noch ein Link....
http://www.administrator.de/wissen/...-wrt-router-oder-pfsense-firewall-123285.html
....vielleicht hilft Dir ja das weiter.

Gruß orcape
 
S

spoensche

Moderator
Teammitglied
Hast du auch Routing in der Firewall aktiviert? Es wäre hilfreich, wenn du statt "es geht immer noch nicht", dann auch ein paar Infos mehr bringen würdest.;)

Was bekommst du für eine Fehlermeldung auf dem Client? Welche Routen werden jetzt zum Client gepusht? Wenn die Verbindung zum VPN-Server steht, wie sehen die Routen auf dem Client aus?

Was sagen die Logs?
 
OP
M

mad-max

Member
Hallo;
in der Firewall habe ich das tun0 Device als internes Netz angegeben:
Code: 
FW_DEV_INT="eth0 tun0"
Routing ist aktiviert:
Code: 
FW_ALLOW_CLASS_ROUTING="int"
FW_ROUTE="yes"

Das Routing ohne VPN Server auf dem Server sieht so aus:
Code: 
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         *               0.0.0.0         U     0      0        0 dsl0
esn001ibr003-xd *               255.255.255.255 UH    0      0        0 dsl0
loopback        *               255.0.0.0       U     0      0        0 lo
link-local      *               255.255.0.0     U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1

Wenn der VPN Server auf dem Server gestartet ist:
Code: 
Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         *               0.0.0.0         U     0      0        0 dsl0
esn001ibr003-xd *               255.255.255.255 UH    0      0        0 dsl0
loopback        *               255.0.0.0       U     0      0        0 lo
link-local      *               255.255.0.0     U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
10.0.0.0     *               255.255.255.0   U     0      0        0 tap0

Routing auf dem Client nach der Einwahl ins Internet (UMTS) und Einwahl über den VPN Client:
Code: 
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0     2.206.52.149     2.206.52.148     30
     2.206.52.148  255.255.255.252   Auf Verbindung      2.206.52.148    286
     2.206.52.148  255.255.255.255   Auf Verbindung      2.206.52.148    286
     2.206.52.151  255.255.255.255   Auf Verbindung      2.206.52.148    286
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      10.0.0.0    255.255.255.0   Auf Verbindung      10.0.0.2    286
     10.0.0.2  255.255.255.255   Auf Verbindung      10.0.0.2    286
    10.0.0.255  255.255.255.255   Auf Verbindung      10.0.0.2    286
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.2.10    286
        224.0.0.0        240.0.0.0   Auf Verbindung      2.206.52.148    286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung      10.0.0.2    286
  255.255.255.255  255.255.255.255   Auf Verbindung      2.206.52.148    286
===========================================================================

Folgende Fehlermeldung ist mir auf dem VPN Client aufgefallen:
Code: 
Thu May 30 19:27:31 2013 us=38233 route ADD 10.0.0.0 MASK 255.255.255.0 192.168.0.1
Thu May 30 19:27:31 2013 us=49643 Warning: route gateway is not reachable on any active network adapters: 192.168.0.1

Und hier die gesamte Firewall Konfiguration:
Code: 
FW_DEV_EXT="dsl0 eth1"
FW_DEV_INT="eth0 tun0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="dsl0 eth1"
FW_MASQ_NETS="0/0"
FW_NOMASQ_NETS=""
FW_PROTECT_FROM_INT="no"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP="1195"
FW_SERVICES_EXT_IP=""
FW_SERVICES_EXT_RPC=""
FW_CONFIGURATIONS_EXT="apache2 vsftpd"
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_DMZ_RPC=""
FW_CONFIGURATIONS_DMZ=""
FW_SERVICES_INT_TCP="ipp"
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICES_INT_RPC=""
FW_CONFIGURATIONS_INT=""
FW_SERVICES_DROP_EXT=""
FW_SERVICES_DROP_INT=""
FW_SERVICES_REJECT_EXT=""
FW_SERVICES_REJECT_DMZ=""
FW_SERVICES_ACCEPT_EXT=""
FW_SERVICES_ACCEPT_DMZ=""
FW_SERVICES_ACCEPT_INT=""
FW_SERVICES_ACCEPT_RELATED_EXT=""
FW_SERVICES_ACCEPT_RELATED_DMZ=""
FW_SERVICES_ACCEPT_RELATED_INT=""
FW_TRUSTED_NETS=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="no"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="no"
FW_FORWARD_REJECT=""
FW_FORWARD_DROP=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG_ACCEPT_ALL
FW_LOG_LIMIT=""
FW_LOG=""
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="yes"
FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST_EXT="no"
FW_ALLOW_FW_BROADCAST_INT="no"
FW_ALLOW_FW_BROADCAST_DMZ="no"
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_ALLOW_CLASS_ROUTING="int"
FW_CUSTOMRULES=""
FW_REJECT="no"
FW_REJECT_INT="yes"
FW_IPv6=""
FW_IPv6_REJECT_OUTGOING="no"
FW_IPSEC_TRUST="int"
FW_ZONES=""
FW_USE_IPTABLES_BATCH=""
FW_FORWARD_ALWAYS_INOUT_DEV=""
FW_FORWARD_ALLOW_BRIDGING=""
FW_FORWARD_MASQ=""

Ich hoffe sehr, dass ihr mir weiter helfen könnt.
Danke euch!!! :thumbs:
 
orcape

orcape

Member
Hi,

Du gehst mit dem Client über UMTS ins Internet.
Die UMTS-Provider machen unter Umständen NAPT, das führt dazu das der Tunnel funktioniert, das Serverende des Tunnels sich aber nicht pingen lässt.
Der Rest dürfte an Deinen Firewallrules liegen.
Beim tap-Interface muss Server- und Client-LAN gleiche IP's haben.

Gruß orcape
 
OP
M

mad-max

Member
Hi;
orcape schrieb:
Beim tap-Interface muss Server- und Client-LAN gleiche IP's haben.
Zum Vergrößern anklicken....

Verstehe ich dich richtig, dass ich dann die VPN Server Konfig so umstellen sollte, dass das VPN LAN im gleich Netz ist, wie mein "Hausnetzwerk":
Code: 
ifconfig 192.168.0.1 255.255.255.0
ifconfig-pool 192.168.0.2 192.168.0.10
Dann hätte der Server sowohl für Hausnetzwerk als auch für VPN die selbe IP. Geht das?

Du schreibst auch das der Rest an meinen Firewalleinstellungen liegen würde.
Siehts du da irgenwo ein Problem, in bezug auf die VPN Einwahl?
 
orcape

orcape

Member
Hi mad-max,

so gemeint....
Bsp:...
tun-Device (Routing)
Tunnelnetz 10.0.0.0/24
Server-LAN 192.168.0.0/24
Client-LAN 192.168.1.0/24

tap-Device (Bridge)
Tunnelnetz 10.0.0.0/24
Server-LAN 192.168.0.0/24
Client-LAN 192.168.0.0/24

Bridging ist machbar, eigentlich aber nicht mehr üblich.
Siehts du da irgenwo ein Problem, in bezug auf die VPN Einwahl?
Zum Vergrößern anklicken....
Du musst nicht nur eine Rule vom OpenVPN-Interface auf das Lokale Netz erstellen, sondern auch auf dem WAN-Interface den Zugriff auf OpenVPN erlauben.

Gruß orcape
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben