OpenVPN auf 7170 - Problem mit ping/Route

[schossel]

Hallo,

Ich habe mit einem Pseudo Image einen OpenVPN Server auf meiner FritzBox 7170 erstellt, diesen habe ich soweit konfiguriert und er läuft auch, das Netz sieht so aus:

Server:
Fritzbox: IP lokal 10.0.0.9
Netz: 10.0.0.0 255.255.0.0
OpenVPN Server auf Fritzbox 10.8.0.0 255.255.255.0

hier noch die config:

daemon
ca /var/tmp/ca.crt
cert /var/tmp/server.crt
key /var/tmp/server.key
dh /var/tmp/dh1024.pem
local 10.0.0.150
proto tcp-server
port 443
dev-node /var/tmp/tun
dev tap0
mode server
tls-server
client-to-client
server 10.8.0.0 255.255.255.0
route-gateway 10.8.0.1
route 192.168.0.0 255.255.255.0
push "route-gateway 10.8.0.1"
push "redirect-gateway"
push "route 10.0.0.0 255.255.0.0 10.8.0.1"
ifconfig-pool-persist /var/tmp/ipp.txt
mssfix
persist-tun
float
keepalive 10 60
comp-lzo
persist-key
persist-tun
verb 3

Der Client ist ein Windows XP Rechner der sich auch im Prinzip ohne Probleme verbindet, er befindet sich in:
Router: IP lokal 192.168.0.1
Windows XP Rechner: IP lokal 192.168.0.20
Netz: 192.168.0.0 255.255.255.0

hier die config:

client
ca C:\\VPN\\ca.crt
cert C:\\VPN\\client1.crt
key C:\\VPN\\client1.key
ns-cert-type server
dev tap
proto tcp-client
remote meinserver 443
comp-lzo
verb 3
persist-tun 
persist-key
keepalive 10 60

Wenn die Verbindung aufgebaut ist, scheint von Clientseite aus alles zu klappen, was ich wollte. Ich kann alle Rechner im Servernetz anpingen und über das VPN Gateway surfen.

===========================================================================
Schnittstellenliste
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0         10.8.0.1        10.8.0.2	  1
         10.0.0.0      255.255.0.0         10.8.0.1        10.8.0.2	  1
         10.8.0.0    255.255.255.0         10.8.0.2        10.8.0.2	  30
         10.8.0.2  255.255.255.255        127.0.0.1       127.0.0.1	  30
   10.255.255.255  255.255.255.255         10.8.0.2        10.8.0.2	  30
     92.202.39.83  255.255.255.255      192.168.0.1    192.168.0.20	  1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1	  1
      192.168.0.0    255.255.255.0     192.168.0.20    192.168.0.20	  25
     192.168.0.20  255.255.255.255        127.0.0.1       127.0.0.1	  25
    192.168.0.255  255.255.255.255     192.168.0.20    192.168.0.20	  25
        224.0.0.0        240.0.0.0         10.8.0.2        10.8.0.2	  30
        224.0.0.0        240.0.0.0     192.168.0.20    192.168.0.20	  25
  255.255.255.255  255.255.255.255         10.8.0.2        10.8.0.2	  1
  255.255.255.255  255.255.255.255         10.8.0.2               3	  1
  255.255.255.255  255.255.255.255         10.8.0.2               2	  1
  255.255.255.255  255.255.255.255     192.168.0.20    192.168.0.20	  1
Standardgateway:          10.8.0.1

Routenverfolgung zu www.heise.de [193.99.144.85]  über maximal 30 Abschnitte:

  1    88 ms    78 ms    89 ms  10.8.0.1 

  2   127 ms   128 ms   142 ms  bras2.fra.qsc.de [213.148.133.3] 

  3     *      420 ms   139 ms  core1.fra.qsc.de [87.234.13.21] 

  4   142 ms   140 ms   137 ms  te3-1.c101.f.de.plusline.net [80.81.192.132] 

  5   151 ms   117 ms   116 ms  82.98.98.106 

  6   159 ms   141 ms   140 ms  www.heise.de [193.99.144.85] 

Ablaufverfolgung beendet.

Ping wird ausgeführt für 10.0.0.26 mit 32 Bytes Daten:

Antwort von 10.0.0.26: Bytes=32 Zeit=318ms TTL=127

Antwort von 10.0.0.26: Bytes=32 Zeit=300ms TTL=127

Antwort von 10.0.0.26: Bytes=32 Zeit=209ms TTL=127

Antwort von 10.0.0.26: Bytes=32 Zeit=194ms TTL=127

Ping-Statistik für 10.0.0.26:

    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),

Ca. Zeitangaben in Millisek.:

    Minimum = 194ms, Maximum = 318ms, Mittelwert = 255ms

Versuche ich das ganze jetzt allerdings andersherum, also vom Server (der Fritzbox) oder einem Client in dem Netz (10.0.0.0) dahinter einen Rechner im Clientnetz (192.168.0.0) anzupingen geht es nicht. Ein tracert bleibt in der Fritzbox hängen obwohl meiner Meinung nach eine Route gesetzt ist.
Das Server Gateway kann ich unter 10.8.0.1 anpingen auch kann ich noch die 10.8.0.2 anpingen, die laut den Zeiten des pings sich auf Clientseite befindet.
Ein Rechner im Clientnetz lässt sich aber überhaupt nicht anpingen (z.B. 192.168.0.20). Ich habe davon noch ein paar Screenshots angehängt.

Kann mir vielleicht jemand sagen, was ich ändern muss, damit ich auch vom Server zu den Clients pingen kann und/oder ob es noch Verbesserungsmöglichkeiten in den configs gibt (sprich evtl. TUN anstatt TAP usw.). Über das Netz wird nicht gespielt oder Ähnliches, ich möchte nur von unterwegs auf verschiedene datein zu hause zugreifen können und über das Gateway surfen.

 

[MaxMuster]

Kannst du denn den PC über seine VPN-IP erreichen (10.8.0.2)? Eventuell mal die Firewall abschalten/anpassen?

Warum gibst du dem Server sich selbst als Gateway ("route-gateway 10.8.0.1")? Damit hast du dann 192.168.0.0/24 auf die Box selbst geroutet. Der "route-gateway"-Befehl macht nur im push Sinn, ist aber in deinem Fall auch da unnötig, weil die 10.8.0.1 ja eh die VPN-IP der Box ist.
Auch eine einzelne Route ist überflüssig, wenn du danach das Default-Gateway "umbiegst" ;-).

Der Zugriff von der Box wird immer nur auf den Client möglich sein, sofern du nicht dort das Routing für das "Server-Netz" auf den Client leitest und dort das Routing aktivierst....

Jörg

 

[schossel]

Ja, das mit dem Gateway ist klar, das ist mir später auch selbst noch aufgefallen, die config sieht auch mittlerweile so aus und funktioniert:

daemon
ca /var/tmp/ca.crt
cert /var/tmp/server.crt
key /var/tmp/server.key
dh /var/tmp/dh1024.pem
local 10.0.0.150
proto tcp
port 443
dev-node /var/tmp/tun
dev tun0
mode server
tls-server
client-to-client
server 10.8.0.0 255.255.255.0
push "redirect-gateway"
push "route 10.0.0.0 255.255.0.0"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 217.237.151.205"
ifconfig-pool-persist /var/tmp/ipp.txt
mssfix
persist-tun
float
keepalive 10 60
comp-lzo
persist-key
persist-tun
verb 3

Auf der Clientseite lasse ich dann alles wie es ist, mir ist eh nur wichtig, dass ich auf den Server komme und darüber surfen kann.

Aber trotzdem noch als Frage: Welche Route müsste ich denn auf clientseite eintragen und wo?
Auf dem Router auf der Clientseite oder auf dem Client selbst?

 

[MaxMuster]

... das mit dem Routing kannst du machen, wie du lustig bist ;-)
Entweder fügst du auf allen PCs im "Client-Netz" eine Route für das Netz 10.0.0.0 hinzu, die auf die lokale IP des "VPN-Clinet-PC" (z.B. 192.168.0.20) verweist, oder aber du fügst diese Route auf dem Router hinzu, dann muss es nicht auf allen PCs gemacht werden.

Wie gesagt: Dann muss der VPN-Client aber auch das Routing eingeschaltet haben, damit das ginge.


Jörg