OpenVPN auf FBF 7070

[lanlane]

Hallo Forum!

Ich brauche mal Eure Hilfe:

Ich habe die Situation, dass ich einen Debian-openVPN-Server in betrieb habe zu dem ich nun auch meine FritzBox 7170 mit dahinter liegendem LAN verbinden möchte. Der Server selber funktioniert soweit auch schon mit anderen Clients.
Mein Problem ist nur, dass sobald ich mit der FB die Verbindung herstelle, sie nicht mehr erreichbar ist.
Zur event. besseren Fehleranalyse poste ich hier mal meine configs:

Server-config:

port 11174
proto udp
dev tun
ca /opt/keys/ca.crt
cert /opt/keys/mein.crt
key /opt/keys/mein.key
dh /opt/keys/dh1024.pem
server 192.168.111.0 255.255.255.0
route 192.168.1.0 255.255.255.0
client-config-dir ccd
ifconfig-pool-persist ipp.txt
client-to-client
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option WINS 192.168.111.1"
push "dhcp-option DNS 192.168.111.1"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3

Der Inhalt der CCD

iroute 192.168.0.0 255.255.255.0

und hier die client-config für die FB:

client
dev-node /var/tmp/tun
proto udp
remote mein server portbla
resolv-retry infinite
nobind
#user nobody
#group nogroup
persist-key
persist-tun
ca /var/tmp/ca.crt
cert /var/tmp/clientx.crt
key /var/tmp/clientx.key
comp-lzo

und das Ganze habe ich so gestartet:

cp /var/media/ftp/FlashDisk-Partition-0-0/files/openvpn/* /var/tmp/
chmod +x /var/tmp/ca.crt
chmod +x /var/tmp/clientx.crt
chmod +x /var/tmp/clientx.key
chmod +x /var/tmp/clientx.ovpn
chmod +x /var/tmp/openvpn
mknod /var/tmp/tun c 10 200
/var/tmp/openvpn --config /var/tmp/clientx.ovpn

Ich hoffe ihr habt den entscheidenden Tipp

Danke!
Marcel

 

[MaxMuster]

route 192.168.1.0 255.255.255.0
[...]
push "route 192.168.1.0 255.255.255.0"

ist kontraproduktiv: Du schickst 192.168.1.0 zum Client und weist gleichzeitig den Client an, das Netz zu dir zu schicken.

push "route 192.168.0.0 255.255.255.0"
[... sowie im CCD ...]
iroute 192.168.0.0 255.255.255.0

Scheinen mir auch merkwürdig, wenn "dein Box-LAN" die 192.168.0.0 255.255.255.0 ist , liegt vermutlich genau da das Problem, denn die Box hat nun eine Route zu "ihrem LAN" über das VPN, was natürlich nicht so gut ist.
Wenn die "anderen" Boxen das Routing dafür haben sollen musst du es dort lokal eintragen oder aber auf dem Server mit "Client-Config-Dir" und Clientabhängigen "route" und "push route" Settings arbeiten.
Abgesehen davon: Fehlt nicht der passende "route 192.168.0.0 255.255.255.0" Befehl zum "iroute" im CCD-Eintrag?

Jörg

 

[lanlane]

Hi Jörg,
Danke für die Tipps!
Du hast wahrscheinlich recht. Ich probier das mit den Routing-Anweisungen noch mal aus.

Marcel

 

[lanlane]

So....

ich hab die FritzBox jetzt mit dem VPN verbunden. Sie ist auch dann weiterhin aus dem LAN erreichbar. Leider aber das VPN-Netz aus dem LAN herraus nicht. Was muss ich noch tun, damit die Clients im internen LAN über die FritzBox auf das VPN-Netz zugreifen können.
Vielen Dank euch...

Marcel

 

[MaxMuster]

Hast du im CCD denn neben dem "iroute" den gleichen Befehl nochmal mit "route" drin? Dass ist wichtig, denn der "route" Befehl ist für das "normale IP-Routing", das "iroute" ist für das VPN-interne Routing und es ist beides erforderlich...

Jörg

 

[lanlane]

[Edit frank_m24: Mehrere Beiträge innerhalb weniger Minuten zusammengefasst. Man kann seine Beiträge auch editieren. Lies noch mal die Forumregeln.]
ok - ich hab das Ganze noch mal nur mit Route reingeschrieben - leider ohne Erfolg

[Beitrag 2:]
Ich kann jetzt allerdings aus dem internen LAN die VPN-Netz-IP der Fritzbox anpingen...

 

[MaxMuster]

Wie sieht denn im verbundenen Zustand die Routing-Tabelle des Servers aus? Ist eine Route zum LAN der Box drin? Kannst du vom VPN-Server die Box über ihre LAN-IP erreichen? Das wäre so der erste Schritt...

Jörg

 

[lanlane]

Hallo Jörg,
ich habe bereits ein anderes LAN über den Server angeschlossen und da musste ich keine Routing-Einträge eintragen...

 

[MaxMuster]

Wenn hinter einem Client ein Netz ist, muss der Server das natürlich irgendwie wissen. Mit nur einem Netz geht das z.B. wie mit deiner ersten Config mit einem einfachen "route" in der Config (bei dir vermutlich route 192.168.1.0 255.255.255.0).
Bei mehreren Clients muss das Netz zweimal geroutet werden: Per IP-Routing zum Openvpn ("route") und dann intern des Openvpn zum richtigen Client ("iroute").
Ganz ohne Routing kann es nicht gehen, auch deine vorherige Config kann ganz ohne Routingeinträge nicht funktioniert haben der Server muss irgendwoher wissen, was beim Client für ein Netz ist...

Jörg

 

[MaxMuster]

...und, wie sieht es aus? Irgendwelche Fortschritte?

 

[lanlane]

Hi Jörg!

Ich kann erst am Wochenende weiter probieren. Die Zeit...
Werde dann aber Bericht erstatten - danke der nachfrage!

Gruß
Marcel