FritzBox mit OpenVPN - Routing Hilfe

[Frazier]

Hallo Ihr Lieben,

Ich muss mir zuerst für die klasse Beiträge in diesem Forum bedanken. Nur mithilfe dieses Forums konnte ich alle gewünschten Modifikationen an der Box vornehmen.

Doch nun zu meinem Problem. Ich muss dazu sagen das ich in sachen Routing Anfänger bin. Ich habe zwar schon im Forum gesucht, es gibt auch Beiträge dazu, doch fällt es mir schwer diese Situationen auf meine Bedürfnisse umzuwandeln. Ich hoffe Ihr habt Verständnis dafür.

Also ich habe ein OpenVPN Netzwerk mit einem Server und 2 Clients. Bis jetzt lief die Software auf den PCs und funktionierte auch tadellos.
Ich habe jetzt begonnen an den Clients OpenVPN auf die FritzBox zu legen, funktioniert auch soweit.
Ich bekomme derzeit eine Verbindung vom Client auf den Server hin, jedoch kann der Server den Client nicht ansprechen.
Hier meine Frage: Was genau muss ich an der Fritzbox eingeben, um die Route zum Client Rechner korrekt einzurichten?

Router (192.168.0.3) <----> OpenVPN Server (PC: 192.168.0.1) (VPN 10.8.0.1)
|
|
|
OpenVPN Client
(Fitzbox: LAN: 192.168.0.111 VPN: 10.8.0.3
WLAN: 192.168.2.111) <-----> Ziel PC (WLAN: 192.168.2.112)

- OpenVPN funktioniert
- Ping von FritzBox auf ZielPC möglich
- Ping von FritzBox auf 192.168.0.1 möglich (bei aktivem VPN)
- Ping von der 192.168.0.1 auf die 192.168.2.112 nicht möglich (bei aktivem VPN)

Zudem frage ich mich, ob ich den route Befehl nach jedem booten ausführen muss oder nicht?

 

[RalfFriedl]

Einen route-Befehl mußt Du nach jedem Booten ausführen, oder dafür sorgen, daß er automatisch ausgeführt wird.

Wie sieht die Routing-Tabelle auf dem VPN Server und dem VPN Client aus?
Geht ein ping von der 192.168.2.112 auf die 192.168.0.1 (also die umgekehrte Richtung)?

 

[MaxMuster]

Entscheidend ist vermutlich das Routing auf dem Server. Davon hängt es ab, ob deine "Annahme oben" überhaupt stimmt ;-): Je nach Routing dort geht dein Ping vom OpenVPN-Server auf die 192.168.2.112 entweder von der "OpenVPN-IP" (10.8.0.1) aus oder von der "echten IP" (192.168.0.1). Abhängig davon muss der Ziel-PC halt die eine oder andere IP erreichen können.

Jörg

 

[Frazier]

Danke für die Antworten.

Ein Ping von der 192.168.2.112 auf die 192.168.0.1(Server) geht. Ich kann auch den Server in der Netzwerkumgebung finden und draufgehen.
Ein Ping vom Server aus auf die VPN-IP der Box geht nicht, was aber daran liegt das die Box Ping unterdrückt würde ich sagen. (SSH geht dagegen, über eine DynDNS)
Ein Ping vom Server auf die 192.168.2.112 geht nicht. Von der Fritz Box schon.

Das Routing ist so eingerichtet, das es mit OpenVPN auf dem Zielrechner geklappt hatte. Also ich konnte vom Server auf die 192.168.2.112, da lief aber OpenVPN auf auf dieser IP.
Jetzt, da es auf der Box läuft, fehlt mir das Stück Route zum Rechner.

Ich muss das dann auch noch bei nem 2ten Client machen, wo dann auch noch eine WLAN Kamera eingebunder werden muss.

Routing Tabelle der FritzBox (WLAN: 192.168.2.111 | LAN: 192.168.0.111)

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.180.1 * 255.255.255.255 UH 2 0 0 dsl
192.168.180.2 * 255.255.255.255 UH 2 0 0 dsl
192.168.179.0 * 255.255.255.0 U 0 0 0 usbrndis
192.168.2.0 * 255.255.255.0 U 0 0 0 wlan
10.8.0.0 192.168.2.112 255.255.255.0 UG 0 0 0 wlan
10.8.0.0 * 255.255.255.0 U 0 0 0 tap0
192.168.0.0 10.8.0.1 255.255.255.0 UG 0 0 0 tap0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
default * 0.0.0.0 U 2 0 0 dsl

 

[MaxMuster]

Lösch doch als erstes mal die "alte" Route aus der Fritzbox, die das Openvpn-Netz ins WLAN schickt... (10.8.0.0 192.168.2.112 255.255.255.0 UG 0 0 0 wlan).
Kann der Ziel-PC die Open-VPN IPs (10.8.0.x der lokalen FBF und des Servers) den anpingen?

Jörg

 

[RalfFriedl]

Erstens, für solche Tabellen sind die CODE-Tags sinnvoll.
Zweitens fällt mir an Deiner Tabelle folgendes auf:

[B]10.8.0.0[/B] 192.168.2.112 255.255.255.0 UG 0 0 0 [B]wlan[/B]
[B]192.168.0.0[/B] * 255.255.255.0 U 0 0 0 [B]eth1[/B]

- Ist die Verbindung zwischen VPN CLient und Server das Internet oder ein lokales Netz?
- Wieso ist 10.8.0.0 über wlan?
- Wieso ist 192.168.0.0 über eth0?
- Welche Verbindung willst Du letztlich erreichen? Von 10.8.0.1 auf 10.8.0.3?
Hier habe ich mal aus anderen Gründen meine busybox angehängt.
Wenn Du dies auf die Box lädst, kannst Du mit

busybox ip ro

Noch etwas mehr Informationen über die Routing-Tabellen bekommen.

 

[Frazier]

- Die Verbindung zwischen Client und Server geht über Internet (DynDNS)
- Die 10.8.0.0 ist über WLAN, weil bis vor kurzem OpenVPN(Client) auf dem PC vor Ort gelaufen ist. (192.168.2.112 am WLAN)
- Die 192.168.0.0 am eth0 kommt glaube ich von dem push-route Befehl in der OpenVPN Config des Servers. Dies sollte das Server-LAN vom Client aus erreichbar machen, was ja auch geht.

Ja, ich möchte vom Server (192.168.0.1 | 10.8.0.1) auf den Client (192.168.2.112 | keine VPN IP).
Von dem Client hatte ich bereits vollen Zugriff auf die 192.168.0.1 über VPN.

Ich kann von der Fritzbox aus (bin über SSH drauf) die IP 192.168.0.1 anpingen.
(LAN IP des OpenVPN Servers)
Ich kann auch von der Box die eigene, von VPN zugewiesene VPN-IP anpingen (10.8.0.3).
Ich kann aber NICHT die VPN-IP des Servers anpingen. (10.8.0.1)

Hier nochmal die Übersicht:

VPN Server (PC)
LAN: 192.168.0.1
VPN: 10.8.0.1
|
Router
LAN: 192.168.0.3
|
Internet (DynDNS)
|
FritzBox mit OpenVPN(Client)
LAN: 192.168.0.111 (Am LAN ist nichts weiter angeschlossen)
WLAN: 192.168.2.111
VPN: 10.8.0.3
|
Ziel-Rechner am WLAN (ehemaliger OpenVPN Client)
WLAN: 192.168.2.112

Hier die Routing-Tabelle des Servers (Win2k):

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Anzahl
0.0.0.0 0.0.0.0 192.168.0.3 192.168.0.1 1
10.8.0.0 255.255.255.0 10.8.0.1 10.8.0.1 1
10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 1
10.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 1
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 1
192.168.1.0 255.255.255.0 10.8.0.2 10.8.0.1 1
192.168.2.0 255.255.255.0 10.8.0.3 10.8.0.1 1
224.0.0.0 224.0.0.0 10.8.0.1 10.8.0.1 1
224.0.0.0 224.0.0.0 192.168.0.1 192.168.0.1 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
Standardgateway: 192.168.0.3

Könnt Ihr mir den Syntax des route-Befehls unter Linux angeben, bitte?
Zum Beispiel zum Entfernen der alten Route. Bei mir zeigt er immer flaschen Syntax an, wenn ich versuche eine Route einzutragen.

 

[MaxMuster]

Wenn du von der FBF (dem VPN-Client) den VPN-Server nicht erreichen kannst, ist das seeehr schlecht. Daran ist vermutlich die o.g. Route ins WLAN schuld. Wenn die im Web-IF gemacht wurde, kannst du sie da auch wieder löschen.

Da der VPN-Server (wenn alles richtig läuft) den "Ziel-PC" ja über das VPN erreichen soll, wird seine Absende-Adresse die OpenVPN-Server-IP (10.8.0.1) sein. Die muss deshalb vom "Ziel-PC" und deshalb als Stelle "Routingtechnisch davor" auch vom OpenVPN Client, der FBF erreichbar sein.


EDIT: Für eventuelle zusätzlichen Routen würde ich immer die Mittel nutzen, die das OpenVPN mitbringt. route <Netz> <Maske> oder auch in Verbindung mit pull das push "route <Netz> <Maske>"

Jörg

 

[RalfFriedl]

route del -net 192.168.0.0 netmask 255.255.0.0
# oder
ip ro del 192.168.0.0/16

Du willst also von der 192.168.0.1 auf die 192.168.2.112. Diese Richtung geht nicht, aber die andere Richtung funktioniert.
Vielleicht hilft es schon, wenn Du die falschen Routen auf der Box entfernst.

 

[Frazier]

Ok, ich muss dazu sagen, ich komme grade nich auf das Web-Interface. Die Box und der Rechner sind 20 km von mir entfernt
Ich kann die Box auch nicht neu booten, da sonst das SSH nicht geladen wird. Die USB Sticks werde morgen erst geliefert. Das SSH und OpenVPN sind noch Montag drauf und laufen seither durch.

Wenn du von der FBF (dem VPN-Client) den VPN-Server nicht erreichen kannst, ist das seeehr schlecht. Daran ist vermutlich die o.g. Route ins WLAN schuld. Wenn die im Web-IF gemacht wurde, kannst du sie da auch wieder löschen.

Ja, ich habe im Interface eine Route eingerichtet. Kann ich die über SSH wieder rausnehmen, über die ar7.cfg vielleicht? Und was muss ich eingeben um die route aus der Routing-Tabelle zu löschen? (also ohne Reboot)

Da der VPN-Server (wenn alles richtig läuft) den "Ziel-PC" ja über das VPN erreichen soll, wird seine Absende-Adresse die OpenVPN-Server-IP (10.8.0.1) sein. Die muss deshalb vom "Ziel-PC" und deshalb als Stelle "Routingtechnisch davor" auch vom OpenVPN Client, der FBF erreichbar sein.

Genau, nur wie erreiche ich das?

Mangels VPN komme ich z.Z. ja auch nicht auf den Ziel-PC, ich kann also nicht sagen welche IP anpingbar sind. Was ich aber weiß ist, das die Box erreichbar ist und auch die LAN-IP des Servers (192.168.0.1). Da ich Montag, als ich vor Ort war, eine VPN Verbindung zum Server aufgebaut hatte.

 

[MaxMuster]

Ich würde zunächst mal versuchen, die Route wie von Ralf genannt zu löschen:

route del -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.2.112

Reicht das, damit diese "WLAN-Route" für das VPN-Netz "verschwindet"?!?

Jörg

 

[Frazier]

Also ich habe die Route

10.8.0.0 192.168.2.112 255.255.255.0 UG 0 0 0 wlan

gelöscht, und jetzt geht es.

Ich kann jetzt auf den Rechner hinter der FritzBox mit VPN zugreifen.
Anders-herum kann ich es grade nich testen, aber ich denke es geht.
Von der Fritzbox ist jetzt auch die 10.8.0.1 und die 192.168.0.1 anpingbar.

Also ich sage erstmal Danke an Alle... War doch ziemlich einfach, die Lösung

Ich bin dann gespannt auf den zweiten Client mit der Kamera morgen. Na ich werde mich melden wenns nicht klappt. Also Danke nochmal

EDIT:
Habe mich grad über Remote auf den Ziel-PC geklingt und von dort den Server angesprochen. Geht auch, also wie es soll in beide Richtungen.