Fritz!Box-OpenVPN: Internet-Gateway und Zugriff auf zweites VPN-Subnetz nicht möglich

paike · 3 Nov 2009

Hallo,
nachdem ich nun seit einer Woche herumexperimentiere, bin ich leider mit meinem Latein am Ende.
Ich habe mein Notebook über OpenVPN mit der Fritz!Box verbunden, und möchte diese

a) als Internet-Gateway nutzen und
b) auch das per Fritz!-VPN angebundene Netz im Geschäft erreichen.

Mein Aufbau:

Code:

Zuhause-LAN
Fritz!Box bzw. OpenVPN-----------Notebook (Vista) per Handy-Modem
192.168.176.1 bzw. 10.0.0.1      10.0.0.6 (vom OpenVPN)
  |
  |                                       (später noch ein, zwei Clients)
Fritz!-VPN
  |
  |
Geschäft-LAN
Fritz!Box
192.168.177.1

Ich erreiche mein Zuhause-LAN (Browser,Ping etc.), kann aber nicht über die Fritz!Box ins Internet (kontrolliert über wieistmeineip.de). Auch erreiche ich nicht das Geschäft-LAN.
Fritz!Box zu Fritz!Box über das Fritz!-VPN funktioniert.
Route in der Fritz!Box ist gesetzt:

Code:

Netzwerk   Subnetz         Gateway
10.0.0.0   255.255.255.0   10.0.0.1

Achso, ar7.cfg habe ich schon geändert (udp 0.0.0.0:1194 0.0.0.0:1194).
Einstellungen in der Serverkonfiguration müssten doch richtig sein:

Code:

#OpenVPN server.conf

# Pfad zu den Dateien
ca ca.crt
cert fritzbox.crt
key fritzbox.key
dh dh1024.pem

# Verschlüsselung
auth SHA1
cipher AES-256-CBC

# Servereinstellungen
mode server
tls-server 
server 10.0.0.0 255.255.255.0
port 1194
proto udp

# TUN auswählen
dev tun
dev-node /var/tmp/tun

# Client das Zuhause-LAN mitteilen
push "route 192.168.176.0 255.255.255.0"

# Client das Geschäft-LAN mitteilen
push "route 192.168.177.0 255.255.255.0"

# Damit stürzt die Fritz!Box ab
#route 192.168.176.0 255.255.255.0
#route 192.168.177.0 255.255.255.0

# Funktioniert nicht/schon getestet
#push "redirect-gateway"

# Sonstiges
ping 10
push "ping 10"
ping-restart 60
push "ping-restart 60"

Code:

# client.conf
# Pfad zu den Dateien
cd c:\\programs\\openvpn\\keys # Pfadanpassung; bzw. /etc/keys/...
ca ca.crt
cert client.crt
key client.key

#Verschlüsselung
auth SHA1
cipher AES-256-CBC

# Servereinstellungen
dev tun
dev-node OpenVPN-Adapter # Name des TAP32-Adapters in Windows
port 1194
proto udp
remote ip.dyndns.de

# Client-Einstellungen
tls-client
ns-cert-type server

# Internet-Gateway nutzen / funktioniert nicht, getestet über wieistmeineip.de
redirect-gateway def1

pull
nobind

# Wichtig für Windows Vista
route-method exe
route-delay 2

Das Mini-How-To zum Fritz!VPN als Internet-Gateway habe ich natürlich schon gelesen. Ich möchte trotzdem lieber OpenVPN einsetzen, es handelt sich vermutlich nur um eine Einstellungssache, wie so vieles im Leben :mrgreen:
Achso, meine Routing-Tabelle:

Code:

===========================================================================
Interface List
 43 ........................... BluetoothConnection
 31 ...00 ff 4d da 47 5f ...... TAP-Win32 Adapter V8
 13 ...00 21 5d d8 03 66 ...... Intel(R) WiFi Link 5100 AGN
 12 ...00 21 4f b7 66 f0 ...... Bluetooth Device (Personal Area Network)
 10 ...00 1d ba 65 40 24 ...... Intel(R) 82567LM Gigabit Network Connection
  1 ........................... Software Loopback Interface 1
 35 ...00 00 00 00 00 00 00 e0  isatap.{0D2D12C2-D811-423A-BA84-49F655FC1DB2}
 36 ...00 00 00 00 00 00 00 e0  isatap.fritz.box
 15 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
 34 ...00 00 00 00 00 00 00 e0  isatap.{4DDA475F-F231-4C55-8FDF-B9039B43FF30}
 42 ...00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter #4
 44 ...00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter #5
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0         On-link    10.134.143.240     51
          0.0.0.0        128.0.0.0         10.0.0.5         10.0.0.6   4256
         10.0.0.1  255.255.255.255         10.0.0.5         10.0.0.6   4256
         10.0.0.4  255.255.255.252         On-link          10.0.0.6   4511
         10.0.0.6  255.255.255.255         On-link          10.0.0.6   4511
         10.0.0.7  255.255.255.255         On-link          10.0.0.6   4511
   10.134.143.240  255.255.255.255         On-link    10.134.143.240    306
   92.226.227.168  255.255.255.255         On-link    10.134.143.240     51
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
        128.0.0.0        128.0.0.0         10.0.0.5         10.0.0.6   4256
    192.168.176.0    255.255.255.0         10.0.0.5         10.0.0.6   4256
    192.168.177.0    255.255.255.0         10.0.0.5         10.0.0.6   4256
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link          10.0.0.6   4511
        224.0.0.0        240.0.0.0         On-link    10.134.143.240     51
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link          10.0.0.6   4511
  255.255.255.255  255.255.255.255         On-link    10.134.143.240    306
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 31    286 fe80::/64                On-link
 31    286 fe80::55ac:67a0:92a0:8cc4/128
                                    On-link
  1    306 ff00::/8                 On-link
 31    286 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Was habe ich noch nicht richtig eingestellt? Die Route zum Geschäft-LAN bekommt der Client ja in der server.conf mitgeteilt, und aufgrund der redirect-gateway sollte er über die Box online gehen.
Vielleicht fällt ja jemandem der Fehler direkt auf - könnte es an fehlendem IP-Tables Eintrag in der Fritz!Box liegen?

MaxMuster · 3 Nov 2009

Sieht erstmal ja so schlecht nicht aus, in den angebenen Routen hattest du "redirect-gateway def1" drin, nicht wahr? Denn das hat gezogen, wie man an diesen Einträgen sieht:

Code:

Network Destination        Netmask          Gateway       Interface  Metric
[...]
          0.0.0.0        128.0.0.0         10.0.0.5         10.0.0.6   4256
[...]
        128.0.0.0        128.0.0.0         10.0.0.5         10.0.0.6   4256
[...]

Das ist so erstmal ganz o.k.

Dass du nicht in das "Firmennetz" kommst könnte am fehlenden "Rückrouting" dort liegen: Die "Firma" müsste wissen, dass das Netz 10.0.0.0 hinter der OpenVPN-Serverbox liegt und das nach 192.168.176.1 routen. Ist das schon eingestellt?

Die Internet-Frage ist mir etwas suspekt, denn wie gesagt, "eigentlich sieht das gut aus". Könnte da ein Zwangs-Proxy im Spiel sein?

Mach doch bitte mal aus der Konsole einen "tracert -d google.de". Das sollte zunächst mal auf die OpenVPN-Fritzbox gehen....

Jörg

paike · 4 Nov 2009

Habs jetzt noch mit einem Windows-XP-Notebook versucht, wenn OpenVPN aktiv ist, gibt es keine Verbindung ins Internet.

Tracert ergab:

Code:

C:\Users\Me>tracert -d google.de
Unable to resolve target system name google.de.

C:\Users\Me>tracert -d 192.168.176.1

Tracing route to 192.168.176.1 over a maximum of 30 hops

  1     5 ms     3 ms     5 ms  192.168.176.1

Trace complete.

C:\Users\Me>tracert -d 10.0.0.1

Tracing route to 10.0.0.1 over a maximum of 30 hops

  1     5 ms     4 ms     4 ms  10.0.0.1

Trace complete.

C:\Users\Me>tracert -d 192.168.177.1

Tracing route to 192.168.177.1 over a maximum of 30 hops

  1     5 ms     5 ms     4 ms  10.0.0.1
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.
  4     *        *        *     Request timed out. (...)

In der Firma-Fritz!Box hab ich jetzt unter "Netzwerk" eine Route mit 10.0.0.0, 255.255.255.0 über 192.168.176.1 erstellt, oder meintest du in der VPN-Konfiguration?

MaxMuster · 4 Nov 2009

Moin,

Zur "Firma": Ja das mit der Route meinte ich so, ich hoffe, dass das über das VPN so geht? Wenn die Verbindung über IPSec läuft hast du ja keinen "normalen" Tunnel, sondern es werden nur "Verbindungspaare" durch das IPSec geschickt (bei dir vermutlich 192.168.177.0/24 <-> 192.168.176.0/24). Wenn das so wäre, müsste auf beiden Seiten "nachgebessert" werden, so dass auch "192.168.177.0/24 <-> 10.0.0.0/24" da mit drin ist.
Ein erster Test wäre, ob von der "Firmenseite" aus die OpenVPN-IP der anderen Box (10.0.0.1) erreichbar wäre.

Der "Internetzugang" scheint noch Probleme zu haben, vielleicht weil garkein kein DNS-Server gefunden wird? Ein "nslookup google.de" sollte dir zeigen, welchen DNS der PC versucht zu erreichen, den siehst du ansonsten mit "ipconfig /all"

Jörg

Languages

Suche

Languages

Suche

Fritz!Box-OpenVPN: Internet-Gateway und Zugriff auf zweites VPN-Subnetz nicht möglich

paike

Neuer User

MaxMuster

IPPF-Promi

paike

Neuer User

MaxMuster

IPPF-Promi

Zurzeit aktive Besucher

Neueste Beiträge

Statistik des Forums