RoutingProblem Fritzbox & OpenVPN

[tsaenger]

Hallo zusamen,

ich hatte vor einiger Zeit schon mal euch bzgl eines Routing-Problems gefragt.
Ich habe nun noch mal eine Frage bzw. ein Problem.

Ich habe einen OpenVPN-Server. Wenn ich mit einem Notebook mich auf den OpenVPN-Server anmelde, kann ich wie gewünscht über die VPN-Verbindung surfen. Meine IP entspricht in dem Fall der Ip meines OpenVPN-Servers. So wie es sein soll. Ein Problem habe ich nur dann, wenn ich mich anstelle des PCs mit der Fritzbox verbinde. Dann wird auch der VPN-Kanal aufgebaut, aber ich kann mit den PCs die mit der FB verbunden sind nicht auf das Internet zugreifen.

Folgende Schritte tue ich:

1. Ich baue mit dem neuen OpenVPN-Binary eine Verbindung zu meinem OpenVPN-Server auf.
Die Fritzbox bekommt ein Interface tun0 mit der IP 10.8.0.10
Von der Fritzbox aus, kann ich Adressen im Internet anpingen ( 8.8.8.8 )
Von meinem PC der an der FB angeschlossen ist kann ich die 10.8.0.10 anpingen aber nicht auf das Internet.
Auch kann ich die 10.8.0.1 nicht erreichen, die ich von der Fritzbox anpingen kann.

Ich gehe davon aus, das ich irgendwo ein Routingproblem habe.

meine Routen sehen so aus:

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Ifac
10.8.0.1        10.8.0.1        255.255.255.255 UGH   0      0        0 tun0
10.8.0.1        *               255.255.255.255 UH    0      0        0 tun0
192.168.180.1   *               255.255.255.255 UH    2      0        0 dsl
176.9.56.148    *               255.255.255.255 UH    0      0        0 dsl
192.168.180.2   *               255.255.255.255 UH    2      0        0 dsl
62.242.234.100  *               255.255.255.255 UH    0      0        0 dsl
10.43.100.49    *               255.255.255.255 UH    2      0        0 dsl
192.168.188.0   *               255.255.255.0   U     0      0        0 lan
192.168.189.0   *               255.255.255.0   U     0      0        0 gues
169.254.0.0     *               255.255.0.0     U     0      0        0 lan
default         10.8.0.1        128.0.0.0       UG    0      0        0 tun0
128.0.0.0       10.8.0.1        128.0.0.0       UG    0      0        0 tun0

Muss ich das Probelm auf der Fritzbox suchen, oder fehlt mir eine Route auf dem VPN-Server?


Vielen Dank.

Gruß

Tobias

 

[tsaenger]

Hallo nochmal,

es sieht mir glaube ich dannach aus, das es ein Problem mit dem Routing auf dem VPN-Server zu tun hat, denn ein:

tcpdump -i tun0 -vvv

ergab:
wenn ich vom PC versuche web.de anzupingen

13:11:33.922446 IP (tos 0x0, ttl 64, id 49193, offset 0, flags [none], proto UDP (17), length 56)
    10.8.0.10.41674 > frnk-mdr.dnscache.mediaways.net.domain: [udp sum ok] 2728+ A? www.web.de. (28)
13:11:33.932167 IP (tos 0x0, ttl 51, id 0, offset 0, flags [DF], proto UDP (17), length 40)
    frnk-mdr.dnscache.mediaways.net.domain > 10.8.0.10.41674: [udp sum ok] 2728 Refused [0q] 0/0/0 (12)
13:11:34.002448 IP (tos 0x0, ttl 64, id 7614, offset 0, flags [none], proto UDP (17), length 56)
    10.8.0.10.41674 > gtso-mdr.dnscache.mediaways.net.domain: [udp sum ok] 28564+ A? www.web.de. (28)
13:11:34.023277 IP (tos 0x0, ttl 52, id 0, offset 0, flags [DF], proto UDP (17), length 40)
    gtso-mdr.dnscache.mediaways.net.domain > 10.8.0.10.41674: [udp sum ok] 28564 Refused [0q] 0/0/0 (12)

Fehlt mir hier dann noch eine Route auf dem VPN-Server?

Meine Interface auf dem Server sehen so aus:

root@vpngate:/etc/openvpn/clients# ifconfig 
eth0      Link encap:Ethernet  HWaddr 00:50:56:00:xx.xx
          inet addr:176.9.xx.xx  Bcast:176.9.xx.xx  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:34446677 errors:0 dropped:0 overruns:0 frame:0
          TX packets:20236344 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:37914552421 (35.3 GiB)  TX bytes:14259624190 (13.2 GiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1125 errors:0 dropped:0 overruns:0 frame:0
          TX packets:820 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:74585 (72.8 KiB)  TX bytes:44512 (43.4 KiB)

und meine Route:

root@vpngate:/etc/openvpn/clients# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
static.145.56.9 *               255.255.255.255 UH    0      0        0 eth0
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
176.9.xx.xx    *               255.255.255.248 U     0      0        0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
default         static.145.56.9 0.0.0.0         UG    0      0        0 eth0

EDIT 25.9.13 16:47:

Also in meiner client-config auf dem Server steht:

ifconfig-push 10.8.0.10 10.8.0.1
push "route-gateway 10.8.0.1"
iroute 192.168.188.0 255.255.255.0
push "route 0.0.0.0 128.0.0.0"
push "route 128.0.0.0 128.0.0.0"
[CODE]

somit sollte doch die Route dem Server bekannt sein oder?

Das heißt es fehlt mir nur noch das NAT von 192.168.188.0/24 in Richtung Internet?

Gruß

Tobias

 

[MaxMuster]

Vorweg: Für Ergänzungen und neue Informationen bitte nicht Antworten sondern den Beitrag per "Bearbeiten" ergänzen.

Der VPN-Server muss zwei Dinge tun:
Dein LAN (192.168.188.0) muss vom VPN-Server zur FB geroutet werden und zusätzliche per Client-Config-Dir oder Client-Connect-Script ein "iroute" Eintrag dafür.
Dann muss (damit du von PCs hiner der FB surfen kannst) auch dieses LAN auf dem VPN-Server in Richtung Internet "natten".

 

[MaxMuster]

Hier wäre eine "Antwort" passend gewesen, so hab ich deine Ergänzung nur zufällig gefunden ;-)

In der Server-Config fehlt vermutlich "route 192.168.188.0 255.255.255.0", denn dafür ist nichts in der Routingtabelle des Servers.
Es sind in diesem Szenario immer beide Einträge nötig:
Der "route" Eintrag sagt dem Betriebssystem, dass es dieses Netz dem OpenVPN "geben" soll, der "iroute" Eintrag sagt dem OpenVPN, zu welchem Client das soll.

 

[tsaenger]

Hallo MaxMuster,

die route habe ich hinzugefügt, aber leider komme ich über die VPN-Verbindung weiter nicht ins Internet.
Ich habe das Gefühl das es am NAT der VPN-Routers hängen bleibt.
Die Pakete kommen ja auf dem tun0 des VPN-Routers an, gehen aber von dort aus nicht weiter.

Ich habe es im Hetzner-Forum schon mal andiskutiert, aber leider bisher noch kein Hilfe dazu bekommen:

http://forum.hetzner.de/wbb2/thread.php?threadid=20594

Von der Fritzbox aus habe ich ich zugriff auf das Internet:

# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: seq=0 ttl=49 time=144.523 ms
64 bytes from 8.8.8.8: seq=1 ttl=49 time=84.372 ms
64 bytes from 8.8.8.8: seq=2 ttl=49 time=73.729 MS

Viele Grüße und Danke

Tobias

 

[MaxMuster]

Welche Möglichkeiten hast du denn auf dem Server? iptables?
Geht die Verbindung der FB auch "durch den Tunnel" (traceroute)?
(Der Link in das Forum geht nur für angemeldete User...)

 

[tsaenger]

Ich habe einen root-server.
Dort ist iptables unter anderem installiert.
Der vpn-server läuft als openvz unter debian in einem Proxmox Kvm.
Soll ich die config auch mal hier posten?

Gruß

Tobias

 

[MaxMuster]

Mach doch mal ein "iptables -t nat -L", das sollte die jetzt aktive Regeln anzeigen.
Vermutlich fehlt nur ein "iptables -I POSTROUTING -t nat -s 192.168.188.0 -o <Ausgangsdevice> -j MASQUERADE" oder sowas in der Art