- Mitglied seit
- 11 Nov 2013
- Beiträge
- 27
- Punkte für Reaktionen
- 0
- Punkte
- 0
Ich kämpfe seit 2 Tagen an der Verknüpfung meiner zwei Netzwerke über OpenVPN und bin bei meinen Google-Suchen immer wieder hier im Forum gelandet, ihr habt anscheinend überdurchschnittliche OpenVPN-Kompetenzen :roll: Deshalb bin ich mal so frei und erläutere hier mein Problem(e).
Der Übersichtlichkeit halber als erstes mal eine Darstellung der Topologie:
Kurzversion des Zustands:
Netz A ist über eine Fritzbox 7412 an einem VDSL mit (dynamischer) öffentlicher IP online und über einen DynDNS-Namen (mydomain.de in den anonymisierten conf-Dateien) erreichbar. Lokales Netz 192.168.3.0.
In Netz A gibt es einen Ubuntu-Server der (unter Anderem) als OpenVPN-Server fungiert, deshalb sind hier die UDP-Ports 1194 & 1195 in der Fritzbox zu diesem Server (192.168.3.130) weitergeleitet. Es sind zwei OpenVPN-Server-Konfigurationen aktiv, von denen eine zur Anbindung des entfernten Netzes (Netz B) dient (server1), die andere für ein einzelnes iPhone von außen (server2).
Netz B ist über eine Fritzbox 7390 die hinter einem LTE-Router sitzt, online. Lokales Netz 192.168.20.0.
In Netz B befindet sich ein Raspberry Pi (mit Ubuntu MATE, 192.168.20.24) als OpenVPN-Client.
Ziel: Es sollen alle Clients aus beiden lokalen Netzen einschließlich das iPhone untereinander kommunizieren können. Um das zu erreichen sind in der OpenVPN-Konfiguration entsprechende push-Routen angelegt und in den Fritzboxen der beiden Netze statische Routen, die für die jeweils entfernten Adressbereiche das VPN-Gerät als Gateway angeben.
Was alles funktioniert:
Was nicht geht:
Bereits unternommene Lösungsversuche:
Und hier noch meine Konfigurationsdateien:
Auf Ubuntu-Server in Netz A, server1.conf:
Im Unterverzeichnis ccd eine Datei mit Dateinamen identisch dem Common Name des Client-Zertifikats und dem Inhalt:
Auf Ubuntu-Server in Netz A, server2.conf:
Desweiteren ist auf dem Ubuntu-Server IPv4-Routing aktiviert und in der ufw-Firewall diese Routen erlaubt.
Auf Raspberry Pi in Netz B, client.conf:
Außerdem auch auf dem Raspberry das IPv4-Routing aktiviert.
iphone.ovpn:
Die statischen Routen der Fritzbox in Netz A:
Die statischen Routen der Fritzbox in Netz B:
Da ich den Wald vor lauter Bäumen nicht mehr sehe oder vielleicht auch einfach irgendeinen logischen Fehler mache, würde ich mich über Input was ich noch tun könnte oder wo ich was falsch mache, sehr freuen
Der Übersichtlichkeit halber als erstes mal eine Darstellung der Topologie:
Kurzversion des Zustands:
Netz A ist über eine Fritzbox 7412 an einem VDSL mit (dynamischer) öffentlicher IP online und über einen DynDNS-Namen (mydomain.de in den anonymisierten conf-Dateien) erreichbar. Lokales Netz 192.168.3.0.
In Netz A gibt es einen Ubuntu-Server der (unter Anderem) als OpenVPN-Server fungiert, deshalb sind hier die UDP-Ports 1194 & 1195 in der Fritzbox zu diesem Server (192.168.3.130) weitergeleitet. Es sind zwei OpenVPN-Server-Konfigurationen aktiv, von denen eine zur Anbindung des entfernten Netzes (Netz B) dient (server1), die andere für ein einzelnes iPhone von außen (server2).
Netz B ist über eine Fritzbox 7390 die hinter einem LTE-Router sitzt, online. Lokales Netz 192.168.20.0.
In Netz B befindet sich ein Raspberry Pi (mit Ubuntu MATE, 192.168.20.24) als OpenVPN-Client.
Ziel: Es sollen alle Clients aus beiden lokalen Netzen einschließlich das iPhone untereinander kommunizieren können. Um das zu erreichen sind in der OpenVPN-Konfiguration entsprechende push-Routen angelegt und in den Fritzboxen der beiden Netze statische Routen, die für die jeweils entfernten Adressbereiche das VPN-Gerät als Gateway angeben.
Was alles funktioniert:
- Die Tunnel sind beide aktiv
- Ping, im einzelnen:
vom Ubuntu-Server nach 10.8.0.10, 192.168.20.24
von Client-PC aus Netz A nach 10.8.0.10, 192.168.20.24, als auch auf die entfernte Fritzbox 192.168.20.1
vom Raspi aus Netz B nach 10.8.0.1, 192.168.3.130, als auch auf die entfernte Fritzbox 192.168.3.1 sowie einen Client in Netz A (192.168.3.154)
vom Client-PC aus Netz B nach 192.168.3.130, als auch auf die entfernte Fritzbox 192.168.3.1 sowie einen Client in Netz A (192.168.3.154)
von Client-PC aus Netz A nach 10.8.0.10, 192.168.20.24, als auch auf die entfernte Fritzbox 192.168.20.1
vom Raspi aus Netz B nach 10.8.0.1, 192.168.3.130, als auch auf die entfernte Fritzbox 192.168.3.1 sowie einen Client in Netz A (192.168.3.154)
vom Client-PC aus Netz B nach 192.168.3.130, als auch auf die entfernte Fritzbox 192.168.3.1 sowie einen Client in Netz A (192.168.3.154)
- Webseiten-Aufruf vom iPhone innerhalb Netz A (also auf Ubuntu-Server als auch einem anderen Gerät in Netz A, bspw. 192.168.3.154)
- Webseiten-Aufruf vom Raspi in Netz B von allen Geräten in Netz A, also 192.168.3.130, 192.168.3.1, 192.168.3.154
- SSH vom Ubuntu-Server durch den Tunnel an den Raspi über 10.8.0.10 als auch über 192.168.20.24
- SSH vom Client-PC in Netz A durch den Tunnel an den Raspi über 10.8.0.10 als auch über 192.168.20.24
- SSH vom Raspi in Netz B durch den Tunnel an den Ubuntu-Server über 10.8.0.1 als auch über 192.168.3.130
Was nicht geht:
- SSH vom Client-PC in Netz B durch den Tunnel an den Ubuntu-Server über 192.168.3.130
- Webseiten (http) oder Dateifreigaben (smb) durch die Tunnel, im einzelnen:
vom Client-PC in Netz B durch den Tunnel nach 192.168.3.130, 192.168.3.1, 192.168.3.154 >> timeout
vom Client-PC in Netz A durch den Tunnel nach 10.8.0.10, 192.168.20.24, 192.168.20.1 >> timeout
vom iPhone durch beide Tunnel nach 10.8.0.10, 192.168.20.24, 192.168.20.1 >> timeout
vom Client-PC in Netz A durch den Tunnel nach 10.8.0.10, 192.168.20.24, 192.168.20.1 >> timeout
vom iPhone durch beide Tunnel nach 10.8.0.10, 192.168.20.24, 192.168.20.1 >> timeout
- Ping aus Netz A (von allen Punkten) an ein Gerät in Netz B welches eine feste IP (192.168.2.200) hat (alles andere hängt am DHCP)
Bereits unternommene Lösungsversuche:
- mit den Optionen "tun-mtu", "fragment" und "mssfix" herumexperimentiert, ohne irgendeine Veränderung
- Testweise die Firewalls auf Ubuntu-Server und Raspberry Pi komplett abgeschaltet, ohne irgendeine Veränderung
Und hier noch meine Konfigurationsdateien:
Auf Ubuntu-Server in Netz A, server1.conf:
Code:
port 1194proto udp
dev tun
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key # This file should be kept secret
dh ./easy-rsa2/keys/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp_hhsl.txt
push "route 192.168.3.0 255.255.255.0"
push "route 10.8.1.0 255.255.255.0"
client-config-dir ccd
route 192.168.20.0 255.255.255.0
client-to-client
keepalive 10 120
tls-auth ./easy-rsa2/keys/ta.key 0
cipher AES-256-CBC # AES
comp-lzo
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status_hhsl.log
verb 3
tun-mtu 1200
fragment 1200
mssfix 1200
Im Unterverzeichnis ccd eine Datei mit Dateinamen identisch dem Common Name des Client-Zertifikats und dem Inhalt:
Code:
iroute 192.168.20.0 255.255.255.0
Auf Ubuntu-Server in Netz A, server2.conf:
Code:
port 1195
proto udp
dev tun1
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key
dh ./easy-rsa2/keys/dh2048.pem
server 10.8.1.0 255.255.255.0
ifconfig-pool-persist ipp_vic.txt
push "route 192.168.3.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
client-to-client
keepalive 10 120
tls-auth ./easy-rsa2/keys/ta.key 0
comp-lzo
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status_vic.log
verb 3
Desweiteren ist auf dem Ubuntu-Server IPv4-Routing aktiviert und in der ufw-Firewall diese Routen erlaubt.
Auf Raspberry Pi in Netz B, client.conf:
Code:
clientdev tun
proto udp
remote mydomain.de 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert hhsl.crt
key hhsl.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 3
tun-mtu 1200
fragment 1200
mssfix 1200
Außerdem auch auf dem Raspberry das IPv4-Routing aktiviert.
iphone.ovpn:
Code:
clientdev tun1
proto udp
remote kunterbuntcloud.de 1195
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert vic.crt
key vic.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
comp-lzo
verb 3
Die statischen Routen der Fritzbox in Netz A:
Die statischen Routen der Fritzbox in Netz B:
Da ich den Wald vor lauter Bäumen nicht mehr sehe oder vielleicht auch einfach irgendeinen logischen Fehler mache, würde ich mich über Input was ich noch tun könnte oder wo ich was falsch mache, sehr freuen
Zuletzt bearbeitet: