Problem mit OpenVPN

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
B

BobbyDD

Neuer User
Mitglied seit
13 Mai 2006
Beiträge
14
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich habe es geschafft eine VPN-Tunnel Verbindung mit 2 FB 7171 mit Zertifikate zu erstellen .

Server : FB 7171 im Lokalen Netzwerk 192.168.1.0/255.255.255.0 VPN IP 192.168.178.1

Client: FB 7171 im Lokalen Netzwerk 192.168.0.0/255.255.255.0 VPN IP 192.168.178.2

Nun mein Problem, von Client-Netzwerk (192.168.0.0) kann ich jeden Rechner im Client-Netwerk sowie im Servernetzwerk (192.168.1.0) erreichen.
Leider klappte das nicht anders herum. Ich komm vom Servernetzwerk auf keinen anderen Rechner im Clientnetzwerk. Da fehlt bestimmt die Route. nur wie erstelle ich die. Ich habe die Config.-files nur mit der Weboberfläche von Freetz erstellt.

Kann mir bitte jemand weiterhelfen?

Danke
Bobby
 
Das kann eigentlich kein Routingproblem sein, denn wenn du von A die Rechner in B erreichen kannst, stimmt das Routing, denn sonst könnten die Rechner aus B ja denen in A nicht "antworten".
Kannst du die Rechner per "Ping" erreichen? Wie sieht ein "tracert <IP.des.PC.in_B>" aus?
Wie hast du den Zugriff denn überhaput getestet? Sind die Geräte am Clientstandort vielleicht anders, haben eine Firewall oder so?

Jörg
 
Moin,

danke erstmal für die Antwort.

Also ich habe mich hier von meinem Rechner (ist im Server Netzwerk) per Telnet auf die Client-FB (192.168.0.1) eingelogt (übers Inet, nicht durchs VPN, geht ja nicht) und von dort aus per Ping die Server FB (192.167.1.1) sowie die anderen Rechner in diesem Netzwerk erreicht.

Wenn ich mich hier auf meine Server FB einlogge und dann per Ping versuche die Client FB zu erreichen klappt das nicht. Ich bekomm von hier kein ping zu irgend einem Rechner im Client Netzwerk.

Irgendwie geht das nur in eine Richtung.

VG
Bobby
 
Ah, ich verstehe. Ich dachte, du hättest das von PC zu PC versucht. Wenn du vom Server oder Client in das jeweils andere Netz gehst, benutzt du dafür die "VPN-IP".
Zumintest die LAN-IP der "Client-Box" solltest du aber von der Server-Box per Ping erreichen können?

Ansonsten sind zwei Dinge wichtig: Das Routing der Netze zur jeweiligen Gegenseite des VPNs, aber auch, dass die VPN-Boxen jeweils das "Defaultgateway" in den Netzen ist.

Könntest du mal die Routen der Boxen prüfen und ggf. posten? Ist jeweils das "Entfernte Netz" in den Configs eingetragen? Poste doch ggf. mal die erzeugten Configs (/mod/etc/openvpn.conf).

Jörg
 
Hier mal die conf vom Server:

Code: 
export OPENVPN_ADDITIONAL='#'
export OPENVPN_AUTH_TYPE='static#certs'
export OPENVPN_AUTOSTART='#'
export OPENVPN_BOX_IP='#192.168.178.1'
export OPENVPN_BOX_MASK='255.255.255.0#255.255.255.0'
export OPENVPN_CIPHER='BF-CBC#AES-256-CBC'
export OPENVPN_CLIENT2CLIENT='#yes'
export OPENVPN_CLIENTS_DEFINED='#1'
export OPENVPN_CLIENT_INFO='#'
export OPENVPN_CLIENT_IPS='#192.168.178.2:'
export OPENVPN_CLIENT_MASKS='#'
export OPENVPN_CLIENT_NAMES='#client1:'
export OPENVPN_CLIENT_NETS='#192.168.1.0 255.255.255.0:'
export OPENVPN_COMPLZO='yes#yes'
export OPENVPN_CONFIG_CHANGED='new#'
export OPENVPN_CONFIG_COUNT='1'
export OPENVPN_CONFIG_NAMES='DEFAULT#'
export OPENVPN_DEBUG='#yes'
export OPENVPN_DEBUG_TIME='10#10'
export OPENVPN_DHCP_CLIENT='#yes'
export OPENVPN_DHCP_RANGE='#192.168.178.3 192.168.178.5'
export OPENVPN_ENABLED=''
export OPENVPN_EXPERT=''
export OPENVPN_FLOAT='#yes'
export OPENVPN_KEEPALIVE='yes#yes'
export OPENVPN_KEEPALIVE_PING='10#10'
export OPENVPN_KEEPALIVE_TIMEOUT='120#120'
export OPENVPN_LOCAL='#'
export OPENVPN_LOCAL_NET='#192.168.1.0 255.255.255.0'
export OPENVPN_LOGFILE='#yes'
export OPENVPN_MAXCLIENTS='1#3'
export OPENVPN_MGMNT='#'
export OPENVPN_MODE='server#server'
export OPENVPN_MTU='1500#1500'
export OPENVPN_NO_CERTTYPE='#'
export OPENVPN_OWN_KEYS='#'
export OPENVPN_PARAM_1='#'
export OPENVPN_PARAM_2='#'
export OPENVPN_PARAM_3='#'
export OPENVPN_PORT='#1195'
export OPENVPN_PROTO='udp#udp'
export OPENVPN_PULL='#'
export OPENVPN_PUSH_DNS='#'
export OPENVPN_PUSH_WINS='#'
export OPENVPN_REDIRECT='#'
export OPENVPN_REMOTE='#'
export OPENVPN_REMOTE_IP='#192.168.178.2'
export OPENVPN_REMOTE_NET='#'
export OPENVPN_SHAPER='#'
export OPENVPN_TLS_AUTH='#yes'
export OPENVPN_TYPE='tun#tun'
export OPENVPN_UDP_FRAGMENT='#'
export OPENVPN_VERBOSE='3#3'

und hier vom Client

Code: 
export OPENVPN_ADDITIONAL='#'
export OPENVPN_AUTH_TYPE='static#certs'
export OPENVPN_AUTOSTART='#'
export OPENVPN_BOX_IP='#192.168.178.3'
export OPENVPN_BOX_MASK='255.255.255.0#255.255.255.0'
export OPENVPN_CIPHER='BF-CBC#AES-256-CBC'
export OPENVPN_CLIENT2CLIENT='#'
export OPENVPN_CLIENTS_DEFINED='#0'
export OPENVPN_CLIENT_INFO='#'
export OPENVPN_CLIENT_IPS='#'
export OPENVPN_CLIENT_MASKS='#'
export OPENVPN_CLIENT_NAMES='#'
export OPENVPN_CLIENT_NETS='#'
export OPENVPN_COMPLZO='yes#yes'
export OPENVPN_CONFIG_CHANGED='new#yes'
export OPENVPN_CONFIG_COUNT='1'
export OPENVPN_CONFIG_NAMES='DEFAULT#'
export OPENVPN_DEBUG='#'
export OPENVPN_DEBUG_TIME='10#10'
export OPENVPN_DHCP_CLIENT='#yes'
export OPENVPN_DHCP_RANGE='#'
export OPENVPN_ENABLED=''
export OPENVPN_EXPERT=''
export OPENVPN_FLOAT='#yes'
export OPENVPN_KEEPALIVE='yes#yes'
export OPENVPN_KEEPALIVE_PING='10#10'
export OPENVPN_KEEPALIVE_TIMEOUT='120#120'
export OPENVPN_LOCAL='#'
export OPENVPN_LOCAL_NET='#192.168.178.0 255.255.255.0'
export OPENVPN_LOGFILE='#yes'
export OPENVPN_MAXCLIENTS='1#1'
export OPENVPN_MGMNT='#'
export OPENVPN_MODE='server#client'
export OPENVPN_MTU='1500#1500'
export OPENVPN_NO_CERTTYPE='#yes'
export OPENVPN_OWN_KEYS='#'
export OPENVPN_PARAM_1='#'
export OPENVPN_PARAM_2='#'
export OPENVPN_PARAM_3='#'
export OPENVPN_PORT='#1194'
export OPENVPN_PROTO='udp#udp'
export OPENVPN_PULL='#yes'
export OPENVPN_PUSH_DNS='#'
export OPENVPN_PUSH_WINS='#'
export OPENVPN_REDIRECT='#'
export OPENVPN_REMOTE='#dyndns 1195'
export OPENVPN_REMOTE_IP='#192.168.178.1'
export OPENVPN_REMOTE_NET='#192.168.1.0 255.255.255.0'
export OPENVPN_SHAPER='#'
export OPENVPN_TLS_AUTH='#yes'
export OPENVPN_TYPE='tun#tun'
export OPENVPN_UDP_FRAGMENT='#'
export OPENVPN_VERBOSE='3#3'

Hier mal die route vom Server:

Code: 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
192.168.178.2   *               255.255.255.255 UH    0      0        0 tun0
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
Inet IP             *               255.255.255.255  UH    2      0        0 dsl
192.168.1.0      *               255.255.255.0      U     0      0        0 lan
169.254.0.0      *               255.255.0.0          U     0      0        0 lan
default              *               0.0.0.0                U     2      0        0 dsl

und hier vom Client

Code: 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.180.1   *               255.255.255.255    UH    2      0        0 dsl
192.168.178.1   *               255.255.255.255    UH    0      0        0 tun0
192.168.180.2   *               255.255.255.255    UH    2      0        0 dsl
inet IP              *               255.255.255.255    UH    2      0        0 dsl
192.168.178.0   192.168.178.1   255.255.255.0   UG    0      0        0 tun0
192.168.1.0     192.168.178.1   255.255.255.0   UG    0      0        0 tun0
192.168.0.0      *               255.255.255.0         U     0      0        0 lan
169.254.0.0      *               255.255.0.0             U     0      0        0 lan
default             *               0.0.0.0                    U     2      0        0 dsl

Hier mal ein traceroute vom client (192.168.0.1) auf einen Rechner im anderen Netzwerk
Code: 
traceroute to 192.168.1.3 (192.168.1.3), 30 hops max, 38 byte packets
 1  192.168.178.1 (192.168.178.1)  57.543 ms  54.622 ms  58.749 ms
 2  192.168.1.3 (192.168.1.3)  69.120 ms  56.360 ms  57.865 ms

Vom Server aus geht das nicht.

Ich hoffe das hilf weiter.

Danke
Bobby
 
Ach so, ich habe mal ein Traceroute vom Server zur IP im client gemacht. Da will der übers inet gehen und nicht über den VPN Gateway

Code: 
/var/mod/root # traceroute 192.168.0.1
traceroute to 192.168.0.1 (192.168.0.1), 30 hops max, 38 byte packets
 1  lo1.br50.asham.de.hansenet.net (213.191.84.234)  27.828 ms  28.322 ms  26.721 ms
 2  * * *
 3  *

Das kann so nicht gehen, Was ist da noch nicht i.O. bzw. was muss ich ändern?

Bobby
 
... du hast auf dem Server keine Route für das Client Netz. Das müsstest du in der GUI noch eintragen (entferntes Netz)...

Jörg
 
Ich habe bei "max. Clients" eine 3 eingetragen. Danach habe ich kein Feld mehr in der GUI für entferntes Netz. Nur noch lokales Netz und da steht 192.168.1.0 255.255.255.0.

Bei erw. Konfiguration habe ich dann die mögl. weitere Clients hinzuzufügen mit einer festen IP aus dem VPN Netz.

Clientname (Zertifikat) Client-VPN-IP Netz b. Client (Syntax: <ip> <subnetmask>)
client1 192.168.178.2 192.168.0.0 255.255.255.0

Wenn ich das so eintrage gehts aber auch nicht weiter. Selbes Problem.


VG
Bobby
 
Wie kann man die Route manuell eigeben, bzw. wie müsste die heissen damit ich das mal testen kann?

Danke
Bobby
 
Der Befehl für eine Route lautet:
Code: 
route add -net 192.168.0.0/24 gw 192.168.178.2
Heißt denn der Client, der sich verbindet, auch im Zertifikatsnamen "client1" und nicht vielleicht "Client1" oder "client01" oder so?
Schau doch bitte mal in's Log (entweder "von Hand starten", wie im Wiki beschrieben, oder den Haken beim debug-logging machen), dort wird der Name genannt.

... und wenn du "Nachträge" hast, nutze bitte die "Ändern" Funktion, sons meckert einer der Mods ;-)

Jörg
 
wow es geht Jörg :groesste: .

Der Client Name war falsch. Ich hatte dem client1 noch ein Zeichen mehr beim Zertifikat erstellen an gehangen aber nicht mehr dran gedacht. Steht dann aber im Logfile drin.
Ich werde verrückt es geht juhu.

Eine Frage habe ich noch. Es kommen noch 2 weitere Clients hinzu die trage ich dann noch mit ein. Müssen die jeder ein anderes Netz haben?
Also Server 192.168.1.0
Client 1 192.168.0.0
Client 2 192.168.2.0
Client 3 192.168.3.0
Oder kann der Client 1 und Client 2 das selbe Netzwerk haben?

Ich habe die Vermutung das jeder ein eigenes haben muss, weiß es aber nicht genau.

Viele Grüsse
Bobby
 
... sofern die Clients sich gleichzeitig verbinden (könnten) müssen die Netze eindeutig sein. Ob ansonsten der erste, oder letzte Client "gewinnt", eine Route zu beiden eingetragen wird (was auch nicht gut wäre) oder eine Fehlermeldung käme beim Versuch, die Route zu setzen, weiß ich nicht.

Jörg
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 725 (Mitglieder: 49, Gäste: 676)

Neueste Beiträge

Statistik des Forums

Themen
246,293
Beiträge
2,249,531
Mitglieder
373,886
Neuestes Mitglied
meister_yoda
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück