Ergebnis 1 bis 12 von 12

Thema: Routing - Freetz mit OpenVPN Server - Clients hinter Server nicht erreichbar

  1. #1
    IPPF-Einsteiger
    Registriert seit
    11.06.2015
    Ort
    England
    Beiträge
    5

    Routing - Freetz mit OpenVPN Server - Clients hinter Server nicht erreichbar

    Hallo Zusammen,

    ich nutze den aktuellsten Freetz trunk und haben eine OpenVPN Server laufen. Die Verbindung zur Box klappt von extern ausgezeichnet. Mein Problem besteht nun darin auch die Clients hinter dem Server erreichbar zu machen. Ich habe bereits im OpenVPN Server eine Route ins Client-Netz der Fritzbox gelegt. Die Fritzbox selbst ist unter der internen IP 172.31.100.1 aus dem VPN-Netz erreichbar. Ich nehme an, dass einfach die Rückroute fehlt, die die Pakete mit der Ziel-IP-Range 172.32.100.0 über das interne VPN Netz (IP 0.0.0.0) routet.

    Hier noch kurz meine Konfiguration:
    Fritzbox IP: 172.31.100.1
    IP-Netz der Fritzbox: 172.31.0.0 / 255.255.255.0
    OpenVPN Server IP: 172.32.100.1
    IP-Netz des OpenVPN Servers: 172.32.100.0 / 255.255.255.0

    Ich vermute, dass eine statische Route für die IP-Range des OpenVPN Servers ausreichend sein müsste. Die entsprechende Rückroute habe ich manuell in der ar7.cfg hinterlegt, diese wird jedoch von der Fritzbox ignoriert.

    Hat jemand hierzu Erfahrungswerte?

    Wäre für jeden Denkanstoß dankbar...
    (Leider ergaben mehrere Google suchen in dieser Hinsicht nichts konkretes)

    Beste Grüße!
    Geändert von choice (11.06.2015 um 12:15 Uhr)

  2. #2
    IPPF Achttausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    8.184
    Die FRITZ!Box akzeptiert in aktuellen Versionen nur noch statische Routen, die über das lokale Interface (die Bridge "lan") gehen ... auch werde ich aus Deiner Beschreibung nicht so richtig schlau. Ist die FRITZ!Box nun OpenVPN-Client oder ist sie der Server? Wenn sie Client ist, kannst Du vom Server (so der "multi-client" ist) entsprechende Optionen an den Client übermitteln (push-Option), die beim Aktivieren der VPN-Verbindung dann auf der FRITZ!Box die richtige Route setzen.

    Solltest Du dazu weitere Fragen haben, wären Auszüge aus den verwendeten Konfigurationsdateien nett ... die verbalen Beschreibungen sind inkohärent ("internes VPN-Netz (IP 0.0.0.0)" ??? und "Fritzbox IP: 172.31.100.1" vs. "IP-Netz der Fritzbox: 172.31.0.0/24" ??? da wäre die Box nicht einmal in ihrem eigenen Netz).
    ⠠⠏⠑⠞⠑⠗⠠⠏⠁⠺⠝

  3. #3
    IPPF-Einsteiger
    Registriert seit
    11.06.2015
    Ort
    England
    Beiträge
    5
    Danke für Deine schnelle Antwort.

    Die Box ist in meinem Fall der Server. Wenn ich dich richtig verstanden habe, gibt es keine Möglichkeit im Tunnel-Modus die Clients hinter dem Server zu erreichen? Oder exestiert ein Workaround? (Abgesehen vom Bridging).

    PS: Ich hatte mich vertippt: Netz der FB ist natürlich 172.31.100.0/24

    Hier noch die Server.conf:
    proto udp
    dev tun
    ca /tmp/flash/openvpn/ca.crt
    cert /tmp/flash/openvpn/box.crt
    key /tmp/flash/openvpn/box.key
    dh /tmp/flash/openvpn/dh.pem
    tls-server
    tls-auth /tmp/flash/openvpn/static.key 0
    port 12345
    ifconfig 172.32.100.1 255.255.255.0
    push "route-gateway 172.32.100.1"
    topology subnet
    push "topology subnet"
    push "route 172.31.100.0 255.255.255.0"
    max-clients 10
    mode server
    ifconfig-pool 172.32.100.100 172.32.100.150
    push "route 172.32.100.0 255.255.255.0"
    client-config-dir clients_openvpn
    client-to-client
    tun-mtu 1500
    mssfix
    verb 3
    cipher AES-256-CBC
    keepalive 10 120
    status /var/log/openvpn.log
    cd /var/tmp/openvpn
    chroot /var/tmp/openvpn
    user openvpn
    group openvpn
    persist-tun
    persist-key

    Danke für Deine Hifle!
    Geändert von choice (11.06.2015 um 14:15 Uhr)

  4. #4
    IPPF Achttausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    8.184
    Zitat Zitat von choice Beitrag anzeigen
    Wenn ich dich richtig verstanden habe, gibt es keine Möglichkeit im Tunnel-Modus die Clients hinter dem Server zu erreichen?
    Das hast Du sicherlich falsch verstanden. Ich begreife aber immer noch nicht, was denn nun die "Clients hinter dem Server" sein sollen (172.32.100.100-172.32.100.150 ? oder doch die anderen Geräte im LAN der FRITZ!Box ?) und von wo aus die denn nun erreicht werden sollen (172.31.100.0/24, also jeder Client im LAN der FRITZ!Box ? oder eben doch per OpenVPN verbundene Clients?) ?

    Vor allem stellt sich die Frage, was Du dann mit
    Zitat Zitat von choice
    Ich nehme an, dass einfach die Rückroute fehlt, die die Pakete mit der Ziel-IP-Range 172.32.100.0 über das interne VPN Netz (IP 0.0.0.0) routet.
    meinst und was Du damit erreichen willst.

    Wenn ein Client ordentlich mit "pull"-Option gestartet wurde, sollte die Route zum FRITZ!Box-Netz (172.31.100.0/24) ja aus der Kombination aus "route-gateway 172.32.100.1" und "route 192.31.100.0 255.255.255.0" beim Client automatisch als "ip route add 172.31.100.0/24 via 172.32.100.1 dev [irgendwas]" ankommen.

    Vielleicht schreibst Du ja einfach mal dazu, von wo nach wo Du denn nun zugreifen willst, wie dort die Routing-Table jeweils aussieht und was ein "traceroute" von der Quelle zum Ziel dazu sagt. Ich werde aus der Beschreibung in Textform tatsächlich nicht so richtig schlau ... stelle mich im Allgemeinen auch nicht sooo dumm an, aber hier fehlt einfach konkrete Information.
    ⠠⠏⠑⠞⠑⠗⠠⠏⠁⠺⠝

  5. #5
    IPPF-Einsteiger
    Registriert seit
    11.06.2015
    Ort
    England
    Beiträge
    5
    Ziel ist es eine Kommunikation zwischen internen DHCP-Clients (LAN) und externen OpenVPN-Clients herzustellen.
    diagramm.png
    Die Push und Pull Funktionalität scheint einwandfrei zu funktionieren. Bei gesetzer Anweisung kann ich als OpenVPN Client auf die Box via 172.31.100.1 zugreifen. (Gegentest: Zugriff funktioniert ohne die Anweisung nur über die 172.32.100.1) Die Kommunikation zwischen LAN- und OpenVPN- Clients funktioniert hingegen nicht. (Ping liefert keine Antwort, weder aus Ovpn -> LAN noch LAN -> OpenVPN)

    Die Herausforderung besteht aus meiner sicth darin, zwei unterschiedliche Netze intern in der Fritzbox korrekt zu routen.
    Geändert von choice (11.06.2015 um 20:32 Uhr)

  6. #6
    IPPF Sechstausend-VIP
    Registriert seit
    01.02.2005
    Beiträge
    6.901
    Zwei mögliche "Probleme" aus meiner Sicht:
    1. (unwahrscheinlich): Die FB (der VPN-Server) ist im LAN nicht das Default Gateway. Dann müsste im LAN eine Route für das VPN-Netz zur FB zeigen
    2. Die "Geräte hinter der FB" sind durch eine Software-Firewall geschützt (z.B. Windows), die Zugriffe aus "Fremdnetzten" unterbindet (Test: kurzes(!) Deaktivieren der FW oder Ping aus dem LAN zum VPN-Client mit der VPN-IP, wenn der Cleint solche Zugriffe zuläßt)
    (FR) Eumex 300IP FW 06.04.49 (englisch) und "relativ aktuellem" freetz-devel mit openvpn und dropbear hinter AGFEO TK-HomeServer

  7. #7
    IPPF Achttausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    8.184
    Zitat Zitat von choice Beitrag anzeigen
    Die Herausforderung besteht aus meiner sicth darin, zwei unterschiedliche Netze intern in der Fritzbox korrekt zu routen.
    Das ist eigentlich eher keine Herausforderung. Bei korrekt konfigurierter FRITZ!Box hat die schon von sich auch für die jeweiligen Interfaces die richtigen Routen. Ob das nun so ist oder nicht, muß man halt raten ... den Hinweis auf die Routing-Table der FRITZ!Box bzw. eines Clients, der nicht erreichbar ist/niemanden erreichen kann und die Routenverfolgung mit "traceroute" hast Du ja entweder nicht verstanden oder ignoriert. Wenn Du diese Angaben nicht in einer Telnet-Session auf der FRITZ!Box ermitteln kannst/willst, stünde das auch noch in den Supportdaten.
    ⠠⠏⠑⠞⠑⠗⠠⠏⠁⠺⠝

  8. #8
    IPPF-Einsteiger
    Registriert seit
    11.06.2015
    Ort
    England
    Beiträge
    5
    Danke MaxMuster! Es waren natürlich die Firewalls. Nach Konfiguration einer eingehenden Regel, funktionierte die Kommunikation bidirektional einwandfrei! Vielen Dank für Eure Mithilfe!

  9. #9
    IPPF-Einsteiger
    Registriert seit
    11.06.2015
    Ort
    England
    Beiträge
    5
    PS: Hier ist auch ein gutes Tutorial, wie man den OpenVPN Netzwerkadapter unter Windows 7 zum Heimnetzwerk umkonfiguriert.

    http://asktheoracle.com/blog/how-to-...ws-7-firewall/

    Jetzt funktioniert alles wunderbar!

  10. #10
    IPPF-Aufsteiger
    Registriert seit
    29.03.2005
    Beiträge
    26
    Hallo, ich habe das gleiche Problem, dass ich nicht auf die anderen Geräte "hinter" der Fritzbox (mit Freetz und OpenVPN Server) vom OpenVPN Client aus zugreifen kann.
    Ich kann vom OpenVPN-Client zwar die Fritzbox durch den Tunnel erreichen, aber eben nicht die anderen Geräte im Fritzbox-LAN.

    Meine Konfiguration:
    Fritzbox_mit_Freetz_und_OpenVPN Server im Netz 192.168.0.x mit IP 192.168.0.51, Fritzbox ist nicht das Gateway sondern ein IP-Client, Gateway ist 192.168.0.1.
    OpenVPN Server als TUN konfiguriert, Fritzbox mit 192.168.200.1,
    Windows OpenVPN Client im Netz 123.123.0.0, bekommt beim Tunnelaufbau zusätzlich die IP 192.168.200.2
    Am Client werden alle Anfragen an 192.168.0.x schön durch den Tunnel geleitet, aber eben nur bis zur FB, da ist Schluss.
    Server Config:
    OPENVPN_Serverconfig.PNG

    Ich bin jetzt auf diesen Thread und die folgende Idee gestoßen, dass es nicht funktioniert, weil die FB nicht das default Gateway im LAN ist. Aber wie trage ich denn dann welche Route wo ein?
    Danke vorab!

    Zitat Zitat von MaxMuster Beitrag anzeigen
    Zwei mögliche "Probleme" aus meiner Sicht:
    1. (unwahrscheinlich): Die FB (der VPN-Server) ist im LAN nicht das Default Gateway. Dann müsste im LAN eine Route für das VPN-Netz zur FB zeigen
    2. Die "Geräte hinter der FB" sind durch eine Software-Firewall geschützt (z.B. Windows), die Zugriffe aus "Fremdnetzten" unterbindet (Test: kurzes(!) Deaktivieren der FW oder Ping aus dem LAN zum VPN-Client mit der VPN-IP, wenn der Cleint solche Zugriffe zuläßt)
    Geändert von schwallobert (27.04.2017 um 18:46 Uhr)

  11. #11
    IPPF Sechstausend-VIP
    Registriert seit
    01.02.2005
    Beiträge
    6.901
    Was "fehlt" ist eine Info im LAN, wo denn das OpenVPN-Netz ist.
    Am einfachsten geht das, wenn man dem "echten" Defaultgateway eine Route eintragen kann, dass (wenns nur der eine Client ist) 192.168.200.2 zur OpenVPN-Box (also zu 192.168.0.51) geroutet werden soll.

    Letztlich hängt es jetzt davon ab, was für ein Gerät das "echte" DG ist, wie man dort eine Route einträgt. Bei einem Linux-Gerät wäre es z.B.
    Code:
    route add 192.168.200.2 gw 192.168.0.51
    # oder, für "das ganze Netz 192.168.200.0
    route add -net 192.168.200.0 netmask 255.255.255.0  gw 192.168.0.51
    Wenn du das nicht auf dem Default-Gateway eintragen kannst, ist es zur Not noch möglich, das auf den "wichtigsten" Zielgeräten im LAN direkt zu machen.
    Nur diese Geräte sind dann erreichbar, wenn es nicht im Default-Gerät möglich ist.
    Willst du also auf ein NAS, musst du da diese Route eintragen, auf einem Windows-Gerät wäre es auch möglich:


    Code:
    route ADD 192.168.200.2  192.168.0.51
    route ADD 192.168.200.0 MASK 255.255.255.0 192.168.0.51
    Falls die Routen "permanent" sein sollen, muss noch ein "-p" mit hinein, also "route add -p ..."
    (FR) Eumex 300IP FW 06.04.49 (englisch) und "relativ aktuellem" freetz-devel mit openvpn und dropbear hinter AGFEO TK-HomeServer

  12. #12
    IPPF-Aufsteiger
    Registriert seit
    29.03.2005
    Beiträge
    26
    vielen Dank, MaxMuster. Mein Default Gateway ist ein Mikrotik, da kann ich sicher eine Route eintragen. Muss ich nachsehen. Ich probiere das am Wochenende aus und melde mich.

    - - - Aktualisiert - - -

    auf dem Gateway funktioniert es noch nicht (die Syntax ist auf dem Mikrotik etwas unklar), aber auf einem "wichtigen Zielgerät", dem NAS, hat es auf Anhieb geklappt. Es ist jetzt über den Tunnel erreichbar. Noch einmal vielen Dank für die super Beschreibung, MaxMuster!

    - - - Aktualisiert - - -

    auf dem Gateway funktioniert es jetzt auch!
    Provider: KD
    Router: FRITZ!Box1 7390 6.83 Freetz als IP Client, per Ethernet an --> Mikrotik SXT Lite 5, per WLAN 5 GHz an --> Mikrotik SXT Lite 5, per Ethernet an --> Fritz!Box2 7390 6.83 --> Kabelmodem --> KD 100/6 MBit
    1 WLAN Repeater 300E per WLAN an der Fritz!Box1 7390 6.83
    2 WLAN Repeater 1750E und Apple Airport Express per WLAN an der Fritz!Box2 7390 6.83

Ähnliche Themen

  1. Antworten: 34
    Letzter Beitrag: 17.02.2015, 17:08
  2. Antworten: 34
    Letzter Beitrag: 13.07.2012, 11:56
  3. Antworten: 6
    Letzter Beitrag: 09.03.2012, 19:23
  4. [Problem] LAN hinter FB 7170 Openvpn Server nicht erreichbar.
    Von Bensk im Forum Freetz
    Antworten: 2
    Letzter Beitrag: 29.11.2011, 14:31
  5. Antworten: 7
    Letzter Beitrag: 27.04.2009, 18:01

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •