• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[geloest] openVPN steht aber Zugriff nicht möglich

starter

starter

Newbie
Sorry, habe keinen entsprechenden Thread gefunden und auch google hatte nichts gebracht. Villeicht sehe ich den Wald vor lauter Bäume nicht aber wie ist das mit den IP's bei VPN?

Also habe Suse 10 mit openVPN auf der einen seite und auf der anderen seite irgend ein Client irgendwo im WAN.


WAN-Client --------tunnel----------openVPN ----LAN-Server-Clients-etc.

Und nu möchte ich mit dem WAN-Client über tunnel auf ein Server oder client im LAN zugreifen. Der WAN-Client ist unterwegs und immer anders an das Netz gekoppelt. Das bedeutet seine IP ändert sich immer wieder.

Der openVPN-Server hat eine feste öffentliche IP. Die Server und Clients dahinter haben größtenteils jeweils feste nicht öffentliche IP's.

Also nochmal nach IP:

wechsel.wechsel.wechsel.wechsel mit 10.0.10.2-----------tunnel ----------- 10.0.10.1 mit 126.126.233.275 und der festen LAN IP 192.168.0.1
die Server dahinter haben dann z.B. 192.168.0.5

So. Nun pinge ich von WAN-Client auf VPN-Server > wunderbar! Protokoll sagt auch dass die Verbindung steht.

Aber wie komme ich nun vom Client auf die z.B. 192.168.0.5 ??????
Habe dem Client schon in der route mitgegeben, dass er bei 192.168.x.x nummern das Tunnel-GW nehmen soll. Aber was fehlt noch?
 
OP
starter

starter

Newbie
danke ein wenig hat es geholfen.

Ich kann nun vom Client aus über den Tunnel die interne Netzwerkkarte des Servers anpingen. Ich komme aber leider nicht auf die restlichen LAN -Server und -Clients.
Muss ich da noch eine Route auf dem Server festlegen?

Eine Grundlegende Frage:

Ich habe ein LAN mit 192.168.x.x
und
ich habe nun den Tunnel mit 10.0.0.x

Mit welchem IP-Kreis müsste der Client nun vom LAN aus erreichbar sein?
 
nbkr

nbkr

Guru
Du musst auf dem Client das Routing so einstellen das er alles über den OpenVPN Tunnel schickt (openvpn hat dafür sogar eine Option soweit ich weiß). Auf dem VPN Server musst Du das IP Forwarding aktiveren. Das geht über:
Code: 
echo 1 > /proc/sys/net/ipv4/ip_forward

Damit schickt der Client allen IP Traffic an den Server und der kann das ans interne Netz weiterleiten. Wichtig ist das im Internen Netz auch die Route zu den VPN Clients bekannt ist. Alles was an die VPN Clients geschickt werden soll müssen die interenen Rechner an den VPN Server schicken. D.h. Du musst auf deren Standardgateway eine entsprechende Route eintragen. Wenn Du im VPN den IP Bereich 10.0.0.0/8 verwendest musst Du also eine Route eintragen die alles was nach 10.0.0.0/8 will an die LAN IP Adresse des VPN Servers weiterleitet.

Dann noch die Firewall auf dem VPN Server anpassen und es sollte gehen.
 
OP
starter

starter

Newbie
Ah, super. Ich glaube da sind wir auf der richtigen Spur.
Ich denke dass ich den Client (ich nenne ihn im folgenden ROAD) richtig konfiguriert habe, denn er baut mit dem Lan-Server (diesen nenne ich im folgenden OFFICE) eine Verbindung auf. ROAD ist übrigens ein Windows rechner.

OFFICE hat zwei Netzwerkkarten.
eth1 für das öffentliche Netz mit fester IP
eth0 für das LAN

Von OFFICE aus komme ich per ping auf das Tunnelende von ROAD.

Von ROAD aus kann ich das Tunnelende auf OFFICE anpingen und erreiche sogar eth0.
OFFICE ist nur von aussen her per Firewall geschützt. Da ich eth0 anpingen kann, liegt es doch nicht an der Firewall, oder?


Ich habe einem Client im LAN die route zum vpn über eth0 eingetragen. Dies funktioniert auch soweit. Ich komme tatsächlich auf das Tunnelende von OFFICE. Aber auf das Tunnelende von ROAD komme ich schon nicht mehr.

Ist das echt noch ein Routingproblem?
 
OP
starter

starter

Newbie
Auf den Clients selber sind keine drauf, da diese hinter ner Firewall stehen. Und durch diese Tunnel ich ja durch, sonst würde ja kein Ping auf das jeweilige Tunnelende funktionieren.
 
OP
starter

starter

Newbie
ja ich verstehe, das wird alles ein wenig kompliziert. Ich habe hier mal eine Zeichnung erstellt, um zu verdeutlichen, wo mein Problem liegt.
Ich weiß einfach nicht mehr weiter.

topologie.jpg



Zur beschreibung:
Der grüne Strich bedeutet, dass der Ping erfolgreich war.
Der rote geht ins leere.

Auch wenn es so aussieht, "Client im LAN" pingt natürlich über den Tunnel.

Hilfe[/img]
 
nbkr

nbkr

Guru
Also eigentlich solltest Du von den LAN Clients das tun Interface der Road Maschinen anpingen können. Was natürlich nicht geht ist das Du das eth0 Interface der RoadClients anpingen kannst. Dafür brauchts nochmal eine gesonderte Route auf dem Server sowie ein aktiviertes IP Forwarding auf den Road Maschinen.

Ist aber eigentlich sinnlos das sich die zweite IP Adresse der Roadmaschinen (die auf eth0) ja u.U. ändert je nachdem in welchem Netz die Maschinen sind.
D.h. Du müsstest das Routing auf dem Server dauernd anpassen (mal von dynamischen Routing abgesehen).

Ansonsten sieht es eigentlich danach aus das IP Forwarding auf der Servermaschine nicht aktiv ist. Dem wiederspricht aber die Tatsache das Du eth0 des Server von den Roadmaschinen aus anpingen kannst.

Was sagt denn:

route -n

bzw. iptables -L -v

auf dem Server?

Auch ein Traceroute von den Clients zu den Road Maschinen und zurück wäre hilfreich.
 
OP
starter

starter

Newbie
o.k. kommt schon

Erstmal 'route' vom OFFICE

Code: 
Kernel 
IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
10.0.0.2	     0.0.0.0		   255.255.255.255 UH    0      0	     0 tun0
139.99.123.123  0.0.0.0         255.255.255.248 U     0      0        0 eth1
192.168.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         139.99.123.121  0.0.0.0         UG    0      0        0 eth1


so, und nu iptables -L -v

Code: 
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere
11317 1100K ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
 2932  660K input_int  all  --  eth0   any     anywhere             anywhere
17968  915K input_ext  all  --  eth1   any     anywhere             anywhere
    0     0 input_ext  all  --  any    any     anywhere             anywhere
    0     0 LOG        all  --  any    any     anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-IN-ILL-TARGET '
    0     0 DROP       all  --  any    any     anywhere             anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 LOG        all  --  any    any     anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-FWD-ILL-ROUTING '

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  any    lo      anywhere             anywhere
12269 1847K ACCEPT     all  --  any    any     anywhere             anywhere            state NEW,RELATED,ESTABLISHED
    0     0 LOG        all  --  any    any     anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-OUT-ERROR '

Chain forward_ext (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain forward_int (0 references)
 pkts bytes target     prot opt in     out     source               destination

Chain input_ext (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  any    any     anywhere             anywhere            PKTTYPE = broadcast
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp source-quench
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-request
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp echo-reply
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp destination-unreachable
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp time-exceeded
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp parameter-problem
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp timestamp-reply
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp address-mask-reply
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp protocol-unreachable
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED icmp redirect
   63  3780 LOG        tcp  --  any    any     anywhere             anywhere            limit: avg 3/min burst 5 tcp dpt:ssh flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-ACC-TCP '
  872 52308 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:ssh
    9  1144 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:commplex-main
    0     0 reject_func  tcp  --  any    any     anywhere             anywhere            tcp dpt:ident state NEW
 4037  199K LOG        tcp  --  any    any     anywhere             anywhere            limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
    1   112 LOG        icmp --  any    any     anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
   49 22135 LOG        udp  --  any    any     anywhere             anywhere            limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT '
   50  2233 LOG        all  --  any    any     anywhere             anywhere            limit: avg 3/min burst 5 state INVALID LOG level warning tcp-options ip-options prefix `SFW2-INext-DROP-DEFLT-INV '
17087  862K DROP       all  --  any    any     anywhere             anywhere

Chain input_int (1 references)
 pkts bytes target     prot opt in     out     source               destination
 2932  660K ACCEPT     all  --  any    any     anywhere             anywhere

Chain reject_func (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     tcp  --  any    any     anywhere             anywhere            reject-with tcp-reset
    0     0 REJECT     udp  --  any    any     anywhere             anywhere            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-proto-unreachable


traceroute bringt gleich gar nichts
 
nbkr

nbkr

Guru
Hier gehts weiter:
http://www.linux-club.de/viewtopic.php?p=358652#358652

BTW: Das Routing auf Office sieht gut aus. Fehlt die Ausgabe von route -n auf den anderen Maschinen.
 
OP
starter

starter

Newbie
ich habs hehe .....

iptables ..... jaja, wenn man sich nicht auskennt

kennt hier noch jemand gute erklärte Anleitungen in meiner Muttersprache?

Danke
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben