Fritzbox als OpenVPN Client

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
S

Softfruits

Neuer User
Mitglied seit
11 Jun 2009
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Bitte, bitte um Hilfe:

ich habe eine Fritzbox als OpenVPN-Client eingerichtet, alles funktioniert soweit. Von der Fritzbox (Telnet) habe ich einen Ping auf alle relevanten
Netze. Nun das Problem:

Ich komme von einem angeschlossenem Client hinter der Fritzbox nicht auf den VPN-Server bzw. die anderen Netze dahinter. Das TUN Device läßt sich aber vom Client anpingen.

Fritzbox: 192.168.0.253
Client hinter der Fritzbox: 192.168.0.112
TUN Device: 10.183.150.9


ROUTE von Fritzbox:
10.183.150.1 10.183.150.10 255.255.255.255 UGH 0 0 0 tun0
10.183.150.10 * 255.255.255.255 UH 0 0 0 tun0
192.168.7.0 10.183.150.10 255.255.255.0 UG 0 0 0 tun0
192.168.178.0 * 255.255.255.0 U 0 0 0 eth0
192.168.6.0 10.183.150.10 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 * 255.255.255.0 U 0 0 0 lan
10.183.144.0 10.183.150.10 255.255.248.0 UG 0 0 0 tun0
169.254.0.0 * 255.255.0.0 U 0 0 0 lan
default dns1.fritz.fonw 0.0.0.0 UG 9 0 0 lan


Beim Client der an der Fritzbox hängt ist nur das Gateway (192.168.0.253) eingestellt. Ein Ping auf Fritzbox und TUN geht ....
 
Existiert auf der Serverseite eine Route für 192.168.0.0/24?
 
Serverseitig ja.

Danke für die schnelle Antwort.

Ja auf dem Server gibt es die Route. Auf dem Client habe ich auch OpenVPN (Windows), hier bekomme ich eine Verbindung.

Die Fritzbox soll jetzt aber als OpenVPN-Client seinen Dienst machen und
alle dahinter sollen dann die Verbindung nutzen können.

Hat das TUN-Device auf der Fritzbox eigentlich NAT ?
 
Bei Tracert vom Client auf den OpenVPN-Server komme ich nur bis zur Fitzbox 192.168.0.253.
 
Das klingt mehr nach einem Internet/Netzwerkproblem, als nach einer Telefonfrage.
Folgerichtig habe ich mal verschoben. Bitte achte nächstes Mal selbst auf den richtigen Forenteil. ;)
 
Nutzt der Server den "mode server" in der Konfiguration und du nutzt Zertifikate?
Dann muss der Server über das am Client angeschlossene Netz nicht nur per "route" informiert werden, sondern auch noch per "iroute". Dafür muss der Server eine spezielle Client Configuration haben, die im "client-config-dir" liegt. Schau das evtl. bei openvpn.net oder so nochmal nach.
Das Problem äußert sich ansonsten auf dem Server mit Logmeldungen "MULTI: bad source address..."

NAT wäre nur mit iptables auf der Box möglich.


Jörg
 
Zuletzt bearbeitet:
Ah siehste an die Routingproblematik bei Multi-Client mit dahinterliegenden Subnetz hatte ich überhaupt nicht gedacht. :blonk: Wenn nicht noch irgendeine Firewall dazwischenfunkt wirds das wohl sein.
 
Und: geht es jetzt oder hast du aufgegeben??

Jörg
 
Probelm besteht weiterhin!

Das Probelm besteht weiterhin!

Von den Clients die an den LAN-Interface hängen komme ich bis zum TUN-Interface. Die FB macht den OpenVPN Client-Login ohne Fehler, auf auf dem Server wird die Verbindung einwandfrei angezeigt, von Telnet/Fritzbox komme ich auch überall drauf, nur von den Clients nicht.

Kann das TUN-Interface NAT oder nicht? Brauche ich NAT oder nicht?

Danke für die Hilfe.
 
Das ist soweit alles schon bekannt, MaxMuster hat vermutlich nicht umsonst eine Richtung für wichtige Information vorgegeben.
 
Danke MaxMuster, so sehen meine Configs aus:

Ich habe alles in eine Datei gesteckt, vielen Dank für die Hilfe!

Hoffe das hilft weiter, bin schon am verzweifeln.
 

Anhänge

  • all_conf.txt
    2.1 KB · Aufrufe: 20
Wenn ich mir /etc/openvpn/ccd/client1 so anschau passt da etwas nicht.

#Client feste IP zuweisen, okay.
ifconfig-push 10.183.150.9 10.183.150.10

#Dieses Server-LAN beim Client bekannt machen, ist gewollt?
push "route 192.168.7.0 255.255.255.0"

#Client-LAN 192.168.0.0/24 routen, z.B. so.
route 192.168.0.0 255.255.255.0"
iroute 192.168.0.0 255.255.255.0
 
... jepp, die Dinge fehlten schonmal, oder sogar die Datei für den Client??. Nochmal als Hinweis: Im Verzeichnis, was als "client-config-dir" angegeben ist muss das in einer Textdatei stehen, die so heißt, wie der Namen des Clients in dessen Zertifikat lautet.
Dazu kommt wohl noch die iptables-Firewall, die auf dem Interface "tun" nur Pakete akzeptiert, die aus dem Netz "10.183.150.0/27" kommen. Das müsste auch noch um das Netz "192.168.0.0/24" ergänzt werden.

Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 511 (Mitglieder: 30, Gäste: 481)

Neueste Beiträge

Statistik des Forums

Themen
246,783
Beiträge
2,257,403
Mitglieder
374,828
Neuestes Mitglied
Polluxis
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück