[Problem] kein Internet bei Clients bei OpenVPN auf gefreetzter Eumex 300 IP

DJB

Neuer User
Mitglied seit
13 Dez 2004
Beiträge
97
Punkte für Reaktionen
0
Punkte
6
Hi zusammen,
ich habe (für den Urlaub) meinen alten OpenVPN-Server (ge"freetz"te Eumex 300 IP) wieder in mein Netzwerk gehangen.
Der OpenVPN (im tun-Modus, weil das iPhone ja kein TAP kann) läuft, ich kann mich auch per iPhone (OpenVPN-Client) verbinden, aber ich bekomme weder Internet noch die Rechner im LAN über das iPhone...

Die Eumex nutzt den Client-Modus über "Internetzugang über LAN" ...

meine derzeitigen Einstellungen:
openvpn.jpg

ich glaube ja ich habe einen Fehler bei den IP-Adressen, vielleicht findet ja einer der Erfahrenen User hier den Fehler sofort ;-)

mein lokales Netz hat das Subnetz:
192.168.1.0
Die FritzBox/Eumex bekommt über DHCP vom Speedport (192.168.1.4) die IP 192.168.1.127 zugewiesen.


Mein Ziel:
ich möchte nur im Notfall aus dem Ausland in mein Netz zuhause "einwählen" (nur mit meinem iPhone) um ggf. mal einen Server oder eine IP-Cam neuzustarten.

Hat jemand einen Tipp für mich? was habe ich falsch gemacht?
Danke und Grüße

Nachtrag:
Also die VPN Verbindung steht definitiv, weil ich die FritzBox/Eumex über die IP-Adresse die unter Lokale IP-Adresse: eingetragen ist, aufrufen kann...
 
Zuletzt bearbeitet:
Hi,

deine IP-Kamera kennt sicherlich nicht die Rückroute 192.168.200.0/24 zu 192.168.1.127
Es ist einfacher, sowas auf dem Default-Gateway einzurichten.

Grüße
 
Zum Grundsatzverständnis:

Die Kamera bekommt eine Anfrage von 200.x und sendet die Antwort an die Adresse. Da dies nicht das lokale Netz 1.x ist wendet sich die Kamera an das Gateway (Speedport), welcher 200.x auch nicht kennt und somit an den WAN Anschluss weiterreicht. Das Internet weiß aber auch nicht wohin damit.

Lösungsansätze:

Statische Route in der Kamera, damit diese weiß solche Pakete müssen an die Eumex gesandt werden.

Dito im Speedport, dann gilt es fürs ganze Netz.

In beiden Fällen muss die Eumex wissen, was sie dann mit den Paketen tut.

Bridging mit tap, was aber dann mit den Clients nicht klappt.
 
Verstehe ich richtig, ihr sagt, dass VPN ist richtig eingestellt und es fehlen nur die Rückrouten? Wie kann ich das prüfen? Ist das auch der Grund, warum ich keinen Internetzugriff mehr am VPN-Client habe, sobald ich verbunden bin?

Nachtrag:
wenn das mit den tun nicht klappt gehe ich auf TAP.
Kenn jemand Clients für iOS (wenn sein muss auch nach Jailbreak) und aOS, die TAP-Modus bei OpenVPN unterstützen?
 
Zuletzt bearbeitet:
Prüfen kannst Du alles wenn Du Dir den Traffic anschaust, z.B. mit Wireshark.

Dass Du keinen Internetzugriff mehr hast liegt zunächst mal dran, dass das default gateway wohl jetzt die Eumex ist. Wenn Du Die Einstellung weg lässt hast Du Internet wenn auch nicht über VPN. Ansonsten liegt der Grund wie vermutet und je nach Konfig evtl auch an mehr.

Jetzt ist die Frage wie umfangreich Du Dein Vorhaben umsetzen willst. Über VPN kannst Du ja per telnet auf die Eumex und von dort das Netz erreichen und gewisse Aktionen durchführen.

Ansonsten hat @PeterPawn kürzlich mal in einem anderen Zusammenhang eine Lösung aufgezeigt wie man einzelne Ports über verschiedene Netze zugänglich machen kann.

Ein tap Device auf dem iPhone wäre mein letzter Gedanke.
 
Wenn du auf der FB eine statische Route zu dem VPN-Netz einrichtest, die auf die lokale IP deines VPN-Servers zeigt, sollte es auch funktionieren.
Das spart das setzten der statischen Router auf den Systemen.
Also auf der FB eine Route für das Netz 192.168.200.0 eintragen, die auf den VPN-Server zeigt.

Nach dem Bild oben hast du noch einen Fehler.
beim "Lokale Adresse" steht eine IP aus dem 200er Netz, da muss eine aus dem lokalen Netz stehen.
 
Die statische Route auf der Fritzbox aka Eumex bringt nichts.
 
beim "Lokale Adresse" steht eine IP aus dem 200er Netz, da muss eine aus dem lokalen Netz stehen.
Nö, das ist für TUN genau richtig: Ein eigenes Netz oder "Point-to-Point" wie hier. Eine bereits vorhandene IP wäre nur bei TAP sinnvoll möglich.

Wenn sich nur der eine Client verbindet, brauchst du kein "DHCP-Netz" für das VPN, der Client kann dann die eingetragene "remote IP" (die 192.168.200.2) nutzen.

Das Netz 192.168.200.0 würde ich jetzt erstmal nicht beim Client vermuten, oder (dann gehört es nicht in "entferntes Netz", das ist ein Netz beim Client).

Die einfachste Fehlerbehebung wäre vermutlich wirklich, auf dem Internet-Router (dem Speedport) eine Route für das VPN-Netz 192.168.200.0 einzutragen.

Dafür solltest du aber sicher stellen, dass die Eumex auch wirklich immer die gleiche IP hat, DHCP kann da auch mal eine andere zuweisen. Um sicher zu gehen, solltest du eine IP außerhalb des Speedport-DHCP-Bereiches fest eintragen und dahin das Netz 192.168.200.0 255.255.255.0 routen (wenn der Speedport das kann).
 
soo, ich habe jetzt mein altes iPhone 4 (gejailbreaked) aus der Schublade geholt, dort habe ich noch GuizmOVPN installiert, damit ich den TAP-Modus fahren kann...

Habe auch die IP-Adressen angepasst.... Leider ähnliches Fehlerbild...

ich kann mich verbinden, komme aber mit dem iPhone dann weder ins Internet (wäre egal) aber auch nicht ins lokale LAN (in den der VPN-Server steht), was ja mein Ziel ist...
TAP.jpg

Hat noch jemand einen heißen Tipp? Habe ich was falsch gemacht?

liefer auch gleich noch das Log-File aus dem iphone nach....

hier noch das Log-File (anonymisiert):
Code:
Running openvpn --cd /var/mobile/Documents/Configurations/iphone --config "iphone.ovpn" --auto-proxy

CoreFoundation = 847.270000
Tue Sep  1 19:43:38 2015 Tapemu : Local MAC address : 0A:xx:xx:xx:xx
Tue Sep  1 19:43:38 2015 OpenVPN 2.3.4 arm-apple-darwin10 [SSL (OpenSSL)] [LZO] [MH] [IPv6] built on Nov 23 2014
Tue Sep  1 19:43:38 2015 library versions: OpenSSL 0.9.8zg 11 Jun 2015, LZO 2.03
Tue Sep  1 19:43:38 2015 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Tue Sep  1 19:47:49 2015 UDPv4 link local (bound): [undef]
Tue Sep  1 19:47:49 2015 UDPv4 link remote: [AF_INET]xxx.xxx.xxx.203:1194
Tue Sep  1 19:47:50 2015 TLS: Initial packet from [AF_INET]xx.xx.xx.203:1194, sid=xxxxxx6 xxxxx56a
Tue Sep  1 19:47:51 2015 VERIFY OK: depth=1, C=DE, ST=NRW, L=NDK, O=OpenVPN, OU=xxxx, CN=xx, name=Comp, [email protected]
Tue Sep  1 19:47:51 2015 VERIFY OK: depth=0, C=DE, ST=NRW, L=NDK, O=OpenVPN, OU=xxxx, CN=xxx, name=xxxxp, [email protected]
Tue Sep  1 19:47:53 2015 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Sep  1 19:47:53 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Sep  1 19:47:53 2015 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Sep  1 19:47:53 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Sep  1 19:47:53 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Sep  1 19:47:53 2015 [xxx] Peer Connection Initiated with [AF_INET]xx.xxx.xx.203:1194
Tue Sep  1 19:47:56 2015 SENT CONTROL [xxx]: 'PUSH_REQUEST' (status=1)
Tue Sep  1 19:47:56 2015 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.0.0.1,topology subnet,route 192.168.1.0 255.255.255.0,dhcp-option DNS 192.168.1.4,redirect-gateway,ping 10,ping-restart 120,ifconfig 10.0.0.20 255.255.255.0'
Tue Sep  1 19:47:56 2015 Tapemu : Remote IP address is : 10.0.0.1
Tue Sep  1 19:47:56 2015 OPTIONS IMPORT: timers and/or timeouts modified
Tue Sep  1 19:47:56 2015 OPTIONS IMPORT: --ifconfig/up options modified
Tue Sep  1 19:47:56 2015 OPTIONS IMPORT: route options modified
Tue Sep  1 19:47:56 2015 OPTIONS IMPORT: route-related options modified
Tue Sep  1 19:47:56 2015 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Tue Sep  1 19:47:56 2015 Tapemu : Local IP address is : 10.0.0.20/255.255.255.0
Tue Sep  1 19:47:56 2015 ROUTE_GATEWAY 192.168.1.2/255.255.255.0 IFACE=en0 HWADDR=xx:xx:xx:xx:xxx
Tue Sep  1 19:47:56 2015 Opened utun device utun0
Tue Sep  1 19:47:56 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Sep  1 19:47:56 2015 /sbin/ifconfig utun0 delete
ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address
Tue Sep  1 19:48:00 2015 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
Tue Sep  1 19:48:00 2015 /sbin/ifconfig utun0 10.0.0.20 10.0.0.20 netmask 255.255.255.0 mtu 1500 up
Tue Sep  1 19:48:01 2015 /sbin/route add -net 10.0.0.0 10.0.0.20 255.255.255.0
add net 10.0.0.0: gateway 10.0.0.20
Tue Sep  1 19:48:02 2015 Tapemu : Route added for 10.0.0.0/255.255.255.0 gateway 10.0.0.20
Setting DNS to /Network/Service/AC7D462A-1CE5-4B1B-A9AD-A1D4C407F24A/DNS (192.168.1.4 192.168.1.2 fe80::1)
Tue Sep  1 19:48:07 2015 /sbin/route add -net xx.xxx.xxx.203 192.168.1.2 255.255.255.255
add net 87.135.100.203: gateway 192.168.1.2
Tue Sep  1 19:48:07 2015 Tapemu : Route added for xx.xxx.xxx.203/255.255.255.255 gateway 192.168.1.2
Tue Sep  1 19:48:07 2015 /sbin/route delete -net 0.0.0.0 192.168.1.2 0.0.0.0
delete net 0.0.0.0: gateway 192.168.1.2
Tue Sep  1 19:48:07 2015 /sbin/route add -net 0.0.0.0 10.0.0.1 0.0.0.0
add net 0.0.0.0: gateway 10.0.0.1
Tue Sep  1 19:48:07 2015 Tapemu : Route added for 0.0.0.0/0.0.0.0 gateway 10.0.0.1
Tue Sep  1 19:48:07 2015 /sbin/route add -net 192.168.1.0 10.0.0.1 255.255.255.0
route: writing to routing socket: File exists
add net 192.168.1.0: gateway 10.0.0.1: File exists
Tue Sep  1 19:48:07 2015 Tapemu : Route added for 192.168.1.0/255.255.255.0 gateway 10.0.0.1
Tue Sep  1 19:48:07 2015 Initialization Sequence Completed
 
Zuletzt bearbeitet:
Warum 192.168.1.2 als Gateway?

Du hast nach wie vor das Problem, dass das 10.0.0.0er Netz in 192.168.1.0 nicht bekannt ist und die Rückroute fehlt.
 
Teste über den Anschluss vom Nachbarn ;-), also an 2 Anschlüssen (komplett physikalisch getrennt):

Anschluss 1 (Nachbar):
Speedport mit IP-Adresse: 192.168.1.2

Anschluss 2 (meiner):
Speedport mit IP-Adresse:192.168.1.4
an diesem Speedport hängt der VPN-Server... (also die Freetz-Box)

Das iPhone (VPN Client) hängt also komplett physikalisch unabhängig im WLAN des Anschluss 1 (vom Nachbarn) und bekommt von dessen Speedport-Gateway/DHCP (192.168.1.2) die IP-Adresse 192.168.1.127 zugeteilt... also alles Standard...

Wie und wo müsste ich denn bei TAP eine Rückroute einstellen? Ich kann statische Routen im Speedport setzen, das wäre kein Problem...

PS:
Ich dachte im TAP-Modus würden alle Pakete durch die Bridge ins LAN fließen? oder kann ich mir ggf auch vom DHCP im LAN über VPN eine IP-Adresse zuteilen lassen, dann wäre ich für den Speedport doch völlig transparent ;-)
 
Zuletzt bearbeitet:
Um die Vorteile des TAP zu nutzen, sollte das TAP-Netz (anders als ein TUN-Netz) mit dem LAN "übereinstimmen" (und muss dafür "gebridged" sein, sonst geht das schief).
Also müsste in diesem Fall (wie gesagt, Voraussetzung ist, tap0 ist mit dem LAN gebrückt) lokale IP eine LAN-IP sein (das könnte sogar die schon vorhandene sein) und auch der "DHCP-Range" muss aus diesem Bereich sein (möglichst verschieden vom Speedport-DHCP-Bereich ;-)) oder (das geht zumindest bei einigen TAP-Interfaces) du vergibst tatsächlich keine IP vom OpenVPN aus und nutzt (über die Brücke) den lokalen DHCP.
Brücken geht am einfachsten (wenn vorhanden) mit brctl; Alternativ kannst du den Teil in der ar7.cfg suchen und "tap0" zu den interfaces bei "brinterfaces" hinzufügen (siehe hier).

Wenn aber das "normale" Netz wie hier (das Nachbar LAN) gleich dem VPN-TAP-Netz (was dann wiederum "dein LAN" mit dem OpenVPN-Server) ist, wird es immer schwierig werden/bleiben ...
 
Zuletzt bearbeitet:
OK, also mit der Eumex geht das nicht mit dem DHCP und eine ar7.cfg scheint es auch nicht zu geben ;-), komisch...
aber egal...
mit der richtigen IP-Adresse scheint es zu gehen, zumindest konnte ich es gerade erfolgreich testen... leider muss ich dazu den Speedport in ein anderes Subnetz (192.168.2.0 statt 192.168.1.0) bringen...
scheint tatsächlich problematisch zu sein, wenn das Netz, was das WLAN für den Client stellt, im gleichen Subnetz arbeitet..... gibt es da noch irgendwelche Tricks? ich meine ich kann ja nicht auf Reisen das Client-Subnet des Hotels anpassen ;-)
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.