[Problem] OpenVPN Server Subnetz nicht erreichbar

[Scead]

Hallo zusammen,

ich habe meine Speedport W701V (Freetz 1.1.3) bisher als DSL-Router betrieben. Nach dem Wechsel zu Kabel Deutschland läuft dieser nunmehr als IP-Client und nutzt die bestehende Internetverbindung im LAN mit.

Die bisherige OpenVPN-Konfiguration mit dem Speedport als Server funktionierte ohne Probleme, d.h. das lokale Netz war durch den Tunnel stets erreichbar. Seit der Umstellung auf den IP-Client-Modus erreiche ich über den Tunnel nur noch den Speedport, aber nicht mehr das lokale Subnetz. Ich habe schon diverse Einstellungen im Freetz-Webinterface bei OpenVPN ausprobiert, aber keine führte zum Erfolg. Vielleicht hat ja einer eine Idee. Folgende Konfiguration habe ich:

Router (Kabel Deutschland): 192.168.2.1
Speedport (IP-Client): 192.168.2.2

Lokales Netz: 192.168.2.0 255.255.255.0

VPN-Tunnel (Server): 10.8.0.1
VPN-Tunnel (Client): 10.8.0.2

Server-Config:

#  OpenVPN 2.1 Config, Tue Jun  7 11:50:40 CEST 2011
proto udp
dev tun
port 1194
push "dhcp-option DNS 192.168.2.2"
push "redirect-gateway"
ifconfig 10.8.0.1 10.8.0.2
tun-mtu 1500
mssfix
verb 3
daemon
cipher BF-CBC
comp-lzo
keepalive 10 120
push "route 192.168.2.0 255.255.255.0"
push "route-gateway 192.168.2.1"

Client-Config:

port 1194
proto udp
dev tun
ifconfig 10.8.0.2 10.8.0.1
route 192.168.2.0 255.255.255.0
tun-mtu 1500
float
mssfix
nobind
verb 3
keepalive 10 120
comp-lzo

Thx,
Scead

 

[RalfFriedl]

Hast Du diese Erreichbarkeit mit einem Programm wie tcpdump oder Wireshark überprüft?

Wie würde denn die Erreichbarkeit der Clients Deiner Meinung nach funktionieren?

 

[Scead]

Also vorher gings immer über Ping oder das Webinterface war zumindest erreichbar, z.B. beim Router oder anderen Clients im lokalen Netz

 

[MaxMuster]

'Türlich haben wir Ideen, und vielleicht sogar Lösungen ;-) Ich würde mal die Vermutung wagen, dass jetzt nicht mehr der Speedport (OpenVPN-Server) das Dafaultgateway ist, sondern der Kabelrouter.
Der kennt aber meiner Vermutung nach dein VPN-Netz nicht.
Entweder brauchen dann alle deine Clients eine Route (10.0.8.0/30 auf 192.168.2.2 ; vielleicht auch für einen größeren Bereich aus dem 10.-er Netz) oder diese Route stellst du auf dem Kabelrouter ein.

Jörg

 

[RalfFriedl]

Vorher hat es funktioniert, jetzt wurde etwas geändert und es funktioniert nicht mehr. Das kommt öfters vor.

Ich gehe auch davon aus, dass es am Default Gateway der Rechner liegt, daher die Frage, wie es denn überhaupt funktionieren sollte.

 

[MaxMuster]

Sorry, ich wollte nicht in die Erziehungsmaßnahmen eingreifen ;-)
(ist jetzt nicht negativ gemeint, ich weiß ja: Selbst gefunden Fehler kommen viel seltener nochmals vor)

 

[Scead]

Danke, ich werde die Sache mit der Route am Kabelrouter mal ausprobieren.

Ähm, ohne jetzt überheblich zu werden, aber bei 8925 Posts hätte ich etwas konstruktivere Beiträge erwartet. Natürlich funktioniert irgendwas und dann gehts nicht mehr. Ich wollte den Sachverhalt ja auch so genau wie möglich beschreiben, sonst hätten wieder die ersten geheult, ob sie ihre Glaskugel rausholen sollen um zu kapieren was ich will.

Thx,
Sceady

 

[RalfFriedl]

Das bezog sich auch auf #3 und nicht auf #1.

Also etwas deutlicher, es liegt mit hoher Wahrscheinlichkeit am Routing, der Server kann die Clients hinter dem Router erreichen, nur die umgekehrte Richtung funktioniert nicht.

Deshalb auch meine Frage, wie es denn funktionieren sollte. Wenn Du Dir mal alle beteiligten Routing-Tabellen anschaust und feststellst, wie die Pakete tatsächlich gelenkt werden, um Gegensatz dazu, wie Du es gern hättest, findest Du auch leicht heraus, wo es hakt. Und das nicht nur bei diesem konkreten Problem.

 

[Scead]

Nochmals danke,

aber genau das war der Punkt, bei dem ich selber mit meinen Überlegungen nicht weitergekommen bin. Deshalb habe ich mich ja an euch gewendet. Ich probier die Sache aus und melde mich mit dem Bericht zurück.

Gruß,
Scead