.titleBar { margin-bottom: 5px!important; }

OpenVPN Server hinter KabelBWBox / Routing Probleme

Dieses Thema im Forum "Freetz" wurde erstellt von Jolly79, 1 März 2012.

  1. Jolly79

    Jolly79 Neuer User

    Registriert seit:
    17 Okt. 2010
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,

    ich habe eine KabelBW-FritzBox mit IP 192.168.1.1, dahinter eine 7170 mit IP 192.168.1.100, Freetz und OpenVPN als Server. Portweiterleitung von der KabelBW Box auf den VPN Server ist eingerichtet.
    Eine zweite FritzBox mit Freetz und OpenVPN hängt direkt am Internet und hat die IP 192.168.0.59. Sie ist als VPN-Client konfiguriert.
    Nun kann ich von einem Rechner aus dem Netzwerk hinter der ClientBox (192.168.0.59) über den VPN Tunnel die Fritzbox mit IP 192.168.1.100 erreichen. Ping und Webserver sind kein Problem. Nur komme ich nicht in das Netzwerk hinter der Fritzbox, auf der der VPN Server läuft. Aus dem Server-Netzwerk (192.168.1.0) erreiche ich nicht einmal die Client-FritzBox (IP 192.168.0.59). Es muss also irgendwie am Routing liegen. Nur blick ich das nicht so richtig und hoffe hier kann mir jemand helfen....

    Hier die Route der ServerBox:
    [email protected]:/var/mod/root# route
    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    192.168.0.59 * 255.255.255.255 UH 0 0 0 tun0
    192.168.1.0 * 255.255.255.0 U 0 0 0 lan
    192.168.0.0 192.168.0.59 255.255.255.0 UG 0 0 0 tun0
    169.254.0.0 * 255.255.0.0 U 0 0 0 lan
    default 192.168.1.1 0.0.0.0 UG 9 0 0 lan


    Hier die Route der ClientBox:
    [email protected]:/var/mod/root# route
    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    192.168.180.1 * 255.255.255.255 UH 2 0 0 dsl
    192.168.1.100 * 255.255.255.255 UH 0 0 0 tun0
    84.171.211.153 * 255.255.255.255 UH 2 0 0 dsl
    192.168.180.2 * 255.255.255.255 UH 2 0 0 dsl
    192.168.179.0 * 255.255.255.0 U 0 0 0 guest
    192.168.1.0 192.168.1.100 255.255.255.0 UG 0 0 0 tun0
    192.168.0.0 * 255.255.255.0 U 0 0 0 lan
    169.254.0.0 * 255.255.0.0 U 0 0 0 lan
    default * 0.0.0.0 U 2 0 0 dsl


    Mich irritiert dieser Eintrag in der Client Box:
    192.168.1.0 192.168.1.100 255.255.255.0 UG 0 0 0 tun0
    Wo kann ich denn die Routing Einstellungen ändern?

    Wäre schön, wenn mir hier jemand helfen könnte...

    Grüße
    Jolly
     
  2. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,932
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    #2 MaxMuster, 1 März 2012
    Zuletzt bearbeitet: 1 März 2012
    War etwas zu schnell, denke ich, die Verbindung klappt ja wohl.

    Dann fehlt in der Tat das Routing, aber das für den "Rückweg": Alle Geräte im Netz des Servers (ausser der Server selbst) wissen nix davon, dass diese Box eine Route für das Netz beim Client kennt.
    Am einfachsten stellst du auf der Kabel-Box das Routing ein, so dass das Netz beim Client (192.168.0.0) zu deiner Server-Box (192.168.1.100) geroutet wird. Die schickt das dann durch den Tunnel
     
  3. Jolly79

    Jolly79 Neuer User

    Registriert seit:
    17 Okt. 2010
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #3 Jolly79, 1 März 2012
    Zuletzt bearbeitet: 1 März 2012
    cool, das hat geklappt. Vielen Dank!
    Allerdings habe ich jetzt das nächste Problem:
    Jetzt würde ich gerne aus dem Internet über die KabelBox (192.168.1.1) üder die VPN-ServerBox (192.168.1.100) durch den VPN Tunnel und die VPN-ClientBox (192.168.0.59) im Netzwerk dahinter auf einen Webserver (192.168.0.58 ) zugreifen.
    Dazu habe ich eine Portweiterleitung in der KabelBox auf 192.168.0.58 eingerichtet. Leider klappt das nicht...
    Hat jemand eine Idee?
     
  4. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,932
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Das ist jetzt schon etwas "komplexer".
    Ich bin mir erstmal nicht sicher, ob die Kabelbox wirklich Ports zu "nicht LAN-Geräten" weiterleiten kann.
    Entscheidend dürfte aber sein, dass der Webserver dann wissen müsste, dass er genau diese Anfrage auch wieder durch das VPN zurückschicken müsste (sonst käme die Antwort ja, wenn sie überhaupt durch die Firewall geht) von der Internet-IP auf der Client Seite.
    Ohne "NAT" dürfte das nicht gehen, du müsstest also zumindest die Source-IP auf eine im Server-Netz ändern, eventuell sogar auch den Webserver aus Richtung Servernetz hinter einer IP aus dem Netz "verstecken", damit die Portweiterleitung klappt...
     
  5. Jolly79

    Jolly79 Neuer User

    Registriert seit:
    17 Okt. 2010
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich habe jetzt auf TAP umgestellt und ich denke, das erfüllt meine Anforderungen. Ein wenig unschön ist, dass ich auf der Client Seite keinen DHCP Server laufen lassen kann. Der DHCP Server im Server-Netzwerk weist auch den Teilnehmern im Client-Netzwerk seinen Gateway zu. Dies hat zur Folge, dass der Weg ins Internet über den Tunnel fürht. Ist nicht optimal.
    Ich kann jedoch aus dem Internet über die Kabel Box und über die zweite Box durch den VPN Tunnel ins Client Netz und dahinter einen Webserver erreichen. Das geht mit dem internet Exporter und mit dem Chrome. Der Firefox zickt.
    Die Idee ist, dass ich eine Heizung im Client Netz über eine FritzBox mit UMTS über einen Tunnel ans Internet hänge. Diese will ich fernsteuern. Das müsste so klappen. Jetzt kann ich den UMTS Stick besorgen...
     
  6. MaxMuster

    MaxMuster IPPF-Promi

    Registriert seit:
    1 Feb. 2005
    Beiträge:
    6,932
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ich würde wenn möglich versuchen, auf TAP zu verzichten...

    Mit was willst du denn "von außen" zugreifen? Direkter Webzugriff in dein LAN ist ja an sich keine besonders sichere Sache...
    Könntest du nicht das Gerät mit dem Browser auch auf den VPN-Server verbinden? Über das VPN kannst du dann in das andere Netz "rüber".
     
  7. Jolly79

    Jolly79 Neuer User

    Registriert seit:
    17 Okt. 2010
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich bin jetzt wieder auf TUN, habe also zwei Netzwerke.
    Den Webserver im Client Netz erreiche ich noch nicht. Das liegt aber sicher an der Firewall.
    Allerdings erreiche ich die Client Box selbst. Ich nutze den TinyProxy wie hier beschrieben:
    http://www.ip-phone-forum.de/archive/index.php/t-244317.html?
    Jetzt muss ich mir noch die Firewall anschauen. Ich vermute, dass sie Zugriffe aus dem anderen Netz blockiert.