[Problem] Routing - Freetz mit OpenVPN Server - Clients hinter Server nicht erreichbar

choice

Neuer User
Mitglied seit
11 Jun 2015
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo Zusammen,

ich nutze den aktuellsten Freetz trunk und haben eine OpenVPN Server laufen. Die Verbindung zur Box klappt von extern ausgezeichnet. Mein Problem besteht nun darin auch die Clients hinter dem Server erreichbar zu machen. Ich habe bereits im OpenVPN Server eine Route ins Client-Netz der Fritzbox gelegt. Die Fritzbox selbst ist unter der internen IP 172.31.100.1 aus dem VPN-Netz erreichbar. Ich nehme an, dass einfach die Rückroute fehlt, die die Pakete mit der Ziel-IP-Range 172.32.100.0 über das interne VPN Netz (IP 0.0.0.0) routet.

Hier noch kurz meine Konfiguration:
Fritzbox IP: 172.31.100.1
IP-Netz der Fritzbox: 172.31.0.0 / 255.255.255.0
OpenVPN Server IP: 172.32.100.1
IP-Netz des OpenVPN Servers: 172.32.100.0 / 255.255.255.0

Ich vermute, dass eine statische Route für die IP-Range des OpenVPN Servers ausreichend sein müsste. Die entsprechende Rückroute habe ich manuell in der ar7.cfg hinterlegt, diese wird jedoch von der Fritzbox ignoriert.

Hat jemand hierzu Erfahrungswerte?

Wäre für jeden Denkanstoß dankbar...
(Leider ergaben mehrere Google suchen in dieser Hinsicht nichts konkretes)

Beste Grüße!
 
Zuletzt bearbeitet:
Die FRITZ!Box akzeptiert in aktuellen Versionen nur noch statische Routen, die über das lokale Interface (die Bridge "lan") gehen ... auch werde ich aus Deiner Beschreibung nicht so richtig schlau. Ist die FRITZ!Box nun OpenVPN-Client oder ist sie der Server? Wenn sie Client ist, kannst Du vom Server (so der "multi-client" ist) entsprechende Optionen an den Client übermitteln (push-Option), die beim Aktivieren der VPN-Verbindung dann auf der FRITZ!Box die richtige Route setzen.

Solltest Du dazu weitere Fragen haben, wären Auszüge aus den verwendeten Konfigurationsdateien nett ... die verbalen Beschreibungen sind inkohärent ("internes VPN-Netz (IP 0.0.0.0)" ??? und "Fritzbox IP: 172.31.100.1" vs. "IP-Netz der Fritzbox: 172.31.0.0/24" ??? da wäre die Box nicht einmal in ihrem eigenen Netz).
 
Danke für Deine schnelle Antwort.

Die Box ist in meinem Fall der Server. Wenn ich dich richtig verstanden habe, gibt es keine Möglichkeit im Tunnel-Modus die Clients hinter dem Server zu erreichen? Oder exestiert ein Workaround? (Abgesehen vom Bridging).

PS: Ich hatte mich vertippt: Netz der FB ist natürlich 172.31.100.0/24

Hier noch die Server.conf:
proto udp
dev tun
ca /tmp/flash/openvpn/ca.crt
cert /tmp/flash/openvpn/box.crt
key /tmp/flash/openvpn/box.key
dh /tmp/flash/openvpn/dh.pem
tls-server
tls-auth /tmp/flash/openvpn/static.key 0
port 12345
ifconfig 172.32.100.1 255.255.255.0
push "route-gateway 172.32.100.1"
topology subnet
push "topology subnet"
push "route 172.31.100.0 255.255.255.0"
max-clients 10
mode server
ifconfig-pool 172.32.100.100 172.32.100.150
push "route 172.32.100.0 255.255.255.0"
client-config-dir clients_openvpn
client-to-client
tun-mtu 1500
mssfix
verb 3
cipher AES-256-CBC
keepalive 10 120
status /var/log/openvpn.log
cd /var/tmp/openvpn
chroot /var/tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key

Danke für Deine Hifle!
 
Zuletzt bearbeitet:
Wenn ich dich richtig verstanden habe, gibt es keine Möglichkeit im Tunnel-Modus die Clients hinter dem Server zu erreichen?
Das hast Du sicherlich falsch verstanden. Ich begreife aber immer noch nicht, was denn nun die "Clients hinter dem Server" sein sollen (172.32.100.100-172.32.100.150 ? oder doch die anderen Geräte im LAN der FRITZ!Box ?) und von wo aus die denn nun erreicht werden sollen (172.31.100.0/24, also jeder Client im LAN der FRITZ!Box ? oder eben doch per OpenVPN verbundene Clients?) ?

Vor allem stellt sich die Frage, was Du dann mit
choice schrieb:
Ich nehme an, dass einfach die Rückroute fehlt, die die Pakete mit der Ziel-IP-Range 172.32.100.0 über das interne VPN Netz (IP 0.0.0.0) routet.
meinst und was Du damit erreichen willst.

Wenn ein Client ordentlich mit "pull"-Option gestartet wurde, sollte die Route zum FRITZ!Box-Netz (172.31.100.0/24) ja aus der Kombination aus "route-gateway 172.32.100.1" und "route 192.31.100.0 255.255.255.0" beim Client automatisch als "ip route add 172.31.100.0/24 via 172.32.100.1 dev [irgendwas]" ankommen.

Vielleicht schreibst Du ja einfach mal dazu, von wo nach wo Du denn nun zugreifen willst, wie dort die Routing-Table jeweils aussieht und was ein "traceroute" von der Quelle zum Ziel dazu sagt. Ich werde aus der Beschreibung in Textform tatsächlich nicht so richtig schlau ... stelle mich im Allgemeinen auch nicht sooo dumm an, aber hier fehlt einfach konkrete Information.
 
Ziel ist es eine Kommunikation zwischen internen DHCP-Clients (LAN) und externen OpenVPN-Clients herzustellen.
diagramm.png
Die Push und Pull Funktionalität scheint einwandfrei zu funktionieren. Bei gesetzer Anweisung kann ich als OpenVPN Client auf die Box via 172.31.100.1 zugreifen. (Gegentest: Zugriff funktioniert ohne die Anweisung nur über die 172.32.100.1) Die Kommunikation zwischen LAN- und OpenVPN- Clients funktioniert hingegen nicht. (Ping liefert keine Antwort, weder aus Ovpn -> LAN noch LAN -> OpenVPN)

Die Herausforderung besteht aus meiner sicth darin, zwei unterschiedliche Netze intern in der Fritzbox korrekt zu routen.
 
Zuletzt bearbeitet:
Zwei mögliche "Probleme" aus meiner Sicht:
1. (unwahrscheinlich): Die FB (der VPN-Server) ist im LAN nicht das Default Gateway. Dann müsste im LAN eine Route für das VPN-Netz zur FB zeigen
2. Die "Geräte hinter der FB" sind durch eine Software-Firewall geschützt (z.B. Windows), die Zugriffe aus "Fremdnetzten" unterbindet (Test: kurzes(!) Deaktivieren der FW oder Ping aus dem LAN zum VPN-Client mit der VPN-IP, wenn der Cleint solche Zugriffe zuläßt)
 
Die Herausforderung besteht aus meiner sicth darin, zwei unterschiedliche Netze intern in der Fritzbox korrekt zu routen.
Das ist eigentlich eher keine Herausforderung. Bei korrekt konfigurierter FRITZ!Box hat die schon von sich auch für die jeweiligen Interfaces die richtigen Routen. Ob das nun so ist oder nicht, muß man halt raten ... den Hinweis auf die Routing-Table der FRITZ!Box bzw. eines Clients, der nicht erreichbar ist/niemanden erreichen kann und die Routenverfolgung mit "traceroute" hast Du ja entweder nicht verstanden oder ignoriert. Wenn Du diese Angaben nicht in einer Telnet-Session auf der FRITZ!Box ermitteln kannst/willst, stünde das auch noch in den Supportdaten.
 
Danke MaxMuster! Es waren natürlich die Firewalls. Nach Konfiguration einer eingehenden Regel, funktionierte die Kommunikation bidirektional einwandfrei! Vielen Dank für Eure Mithilfe!
 
Hallo, ich habe das gleiche Problem, dass ich nicht auf die anderen Geräte "hinter" der Fritzbox (mit Freetz und OpenVPN Server) vom OpenVPN Client aus zugreifen kann.
Ich kann vom OpenVPN-Client zwar die Fritzbox durch den Tunnel erreichen, aber eben nicht die anderen Geräte im Fritzbox-LAN.

Meine Konfiguration:
Fritzbox_mit_Freetz_und_OpenVPN Server im Netz 192.168.0.x mit IP 192.168.0.51, Fritzbox ist nicht das Gateway sondern ein IP-Client, Gateway ist 192.168.0.1.
OpenVPN Server als TUN konfiguriert, Fritzbox mit 192.168.200.1,
Windows OpenVPN Client im Netz 123.123.0.0, bekommt beim Tunnelaufbau zusätzlich die IP 192.168.200.2
Am Client werden alle Anfragen an 192.168.0.x schön durch den Tunnel geleitet, aber eben nur bis zur FB, da ist Schluss.
Server Config:
OPENVPN_Serverconfig.PNG

Ich bin jetzt auf diesen Thread und die folgende Idee gestoßen, dass es nicht funktioniert, weil die FB nicht das default Gateway im LAN ist. Aber wie trage ich denn dann welche Route wo ein?
Danke vorab!

Zwei mögliche "Probleme" aus meiner Sicht:
1. (unwahrscheinlich): Die FB (der VPN-Server) ist im LAN nicht das Default Gateway. Dann müsste im LAN eine Route für das VPN-Netz zur FB zeigen
2. Die "Geräte hinter der FB" sind durch eine Software-Firewall geschützt (z.B. Windows), die Zugriffe aus "Fremdnetzten" unterbindet (Test: kurzes(!) Deaktivieren der FW oder Ping aus dem LAN zum VPN-Client mit der VPN-IP, wenn der Cleint solche Zugriffe zuläßt)
 
Zuletzt bearbeitet:
Was "fehlt" ist eine Info im LAN, wo denn das OpenVPN-Netz ist.
Am einfachsten geht das, wenn man dem "echten" Defaultgateway eine Route eintragen kann, dass (wenns nur der eine Client ist) 192.168.200.2 zur OpenVPN-Box (also zu 192.168.0.51) geroutet werden soll.

Letztlich hängt es jetzt davon ab, was für ein Gerät das "echte" DG ist, wie man dort eine Route einträgt. Bei einem Linux-Gerät wäre es z.B.
Code:
route add 192.168.200.2 gw 192.168.0.51
# oder, für "das ganze Netz 192.168.200.0
route add -net 192.168.200.0 netmask 255.255.255.0  gw 192.168.0.51

Wenn du das nicht auf dem Default-Gateway eintragen kannst, ist es zur Not noch möglich, das auf den "wichtigsten" Zielgeräten im LAN direkt zu machen.
Nur diese Geräte sind dann erreichbar, wenn es nicht im Default-Gerät möglich ist.
Willst du also auf ein NAS, musst du da diese Route eintragen, auf einem Windows-Gerät wäre es auch möglich:


Code:
route ADD 192.168.200.2  192.168.0.51
route ADD 192.168.200.0 MASK 255.255.255.0 192.168.0.51
Falls die Routen "permanent" sein sollen, muss noch ein "-p" mit hinein, also "route add -p ..."
 
vielen Dank, MaxMuster. Mein Default Gateway ist ein Mikrotik, da kann ich sicher eine Route eintragen. Muss ich nachsehen. Ich probiere das am Wochenende aus und melde mich.

- - - Aktualisiert - - -

auf dem Gateway funktioniert es noch nicht (die Syntax ist auf dem Mikrotik etwas unklar), aber auf einem "wichtigen Zielgerät", dem NAS, hat es auf Anhieb geklappt. Es ist jetzt über den Tunnel erreichbar. Noch einmal vielen Dank für die super Beschreibung, MaxMuster!

- - - Aktualisiert - - -

auf dem Gateway funktioniert es jetzt auch!
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
244,696
Beiträge
2,216,700
Mitglieder
371,316
Neuestes Mitglied
realbluethunder
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.