Nochmal: Via OpenVPN auf Freigaben zugreifen

Weizenfelder · April 1, 2014, 11:08am

Hallo zusammen.

Auf der einen Seite des OpenVPN-Tunnels habe ich folgende Geräte im Netz 192.168.2.0:
ESXi (192.168.2.10)
- VM UNBUNTUServer: Webserver / Openvpn-Server (TUN) 192.168.2.60 / 10.8.0.1
- VMWin7ProClient 192.168.2.155 (DHCP) | Firewall Down
- VM Univention UCS (192.168.2.50)
Zyxell USG Firewall: 192.168.2.1 | Route 10.8.0.0 -> 192.168.2.60

Hier, auf der anderen Seite, habe ich einen Win 7 Pro Rechner, und ich möchte auf Freigabe des UCS zugreifen.
Wenn ich die Firewall vom Win7Client auf dem ESXi runter lasse, kann ich ihn anpingen und komme auf seine Freigaben rauf. Mit Firewall oben geht weder das eine noch das andere.
Das Routig in das 192.168.2.0-Netz funktioniert super, ich komme auf des Webinterface der USG rauf, und habe auch hier den Vsphere-Client laufen, und verwalte den ESXi hier von zuhause.

Was muss ich am UCS machen, damit ich auf seine Freigaben raufkomme?
DNS push brauche ich nicht (alles via IP reicht).

Bin Dankbar für jeden Tip.
LG
Weizenfelder

Weizenfelder · April 1, 2014, 7:32pm

Achso, das hatte ich vergessen zu erwähnen:
Ich komme Netzintern von dem Win7-Client schon auf die Freigaben des UCS rauf. Anpingen kann ich ihn auch.
Nur durch den Tunnel klapp beides nicht.

LG
Weizenfelder

c.keck · April 2, 2014, 6:04am

Hallo,

das klingt nach einem routing-Problem.
was ist denn die Ausgabe am Windows-Rechner von

route print

Sollte der VPN-Server die richtigen Routen bereits hinterlegt haben und diese auch an den Client weitergeben, kann es daran liegen, daß der VPN-Client nicht die nötigen Rechte hat, die Routen einzurichten.
Abhilfe:
Den VPN-Client mit Admin-Rechten ausführen oder VPN als Service starten (läuft dann komplett im Hintergrund).

Gruß,
C.Keck

Weizenfelder · April 2, 2014, 7:06am

Hallo c.keck.

Erstmal Danke für die Antwort!
Ich kann die Tabelle erst heute Abend liefern, meine aber ausschließen zu können, dass es sich um ein Routing Problem handelt. Denn:

Ich hab in dem 192.168.2.0-Netz, in dem auch der UCS-VM läuft ja noch folgende Maschienen laufen:
- Eine Win7-VM: Wenn Firewall unten kann ich pingen und auf die Freigaben rauf
- Eine Gateway-Firewall: Ich komme auf das Webinterface rauf
- Einen ESXi: Den bekomme ich mit dem Vsphere-Client hier komplett verwaltet

Alles von Zuhause aus, also von der anderen Seite des Tunnels. Es wird also alles super geroutet.
Nur der UCS lässt sich via VPN nicht anpingen und die Freigaben sind auch Tabu.
Beides Sachen, die ich z.B. von meiner Win7-VM sauber erreichen kann.

Mir scheint es eher so zu sein, dass der UCS keine Anfragen aus dem ihm fremdem VPN-Netz akzeptiert, so wie Win7 mit Firewall es auch tut.
Daher die Frage, wie ich ihm das abgewöhnen kann.
Oder liege ich Falsch?

LG
Weizenfelder

greif · April 2, 2014, 11:29am

Hallo,

ich würde auch ein Routing-Problem vermuten, aber nicht auf der Clientseite, sondern im internen Netz.

Wenn ein “normaler” Rechner im internen Netz hochgefahren wird, bekommt er (wahrscheinlich vom Router per DHCP) eine IP zugewiesen und die “Standard-Route” mitgeteilt, also die IP, an die alle Pakete zu schicken sind, die sich nicht im internen Netz befinden. Soweit gut. Was macht ein Server, insbesondere ein UCS? Der wird normalerweise nicht mit DHCP eingerichtet, er soll doch besser eine feste IP haben? Also bekommt er die Standardroute nur einmal, und zwar beim Installieren. Danach fragt er nie mehr per DHCP nach irgendwas, und das funktioniert solange, wie sich im Netz nichts ändert. Auf dem UCS sollte man das sehen durch Eingabe von root@ucs-server# route -n der Standard-Gateway ist die IP, bei der in der Spalte “Destination” die Adresse 0.0.0.0 drin steht.

Wenn Sie sich von zu Hause per VPN einwählen, dann aber kommen Ihre Pakete nicht vom Router, sondern von der IP des VPN-Servers, und die Antwortpakete müssen auch dorthin zurückgeschickt werden. Ich würde vermuten, daß Ihr UCS diese Route nicht weiß, und deshalb die Antwortpakete nicht an den VPN-Servers zurückschickt, sondern an den Router. Ich versuche mal aus Ihren Angaben zusammenzubauen:

[ul]
[li] Ihr inneres Netz ist 192.168.2.0/255.255.255.0[/li]
[li] auch der UCS Rechner ist in diesem Netz[/li]
[li] Ihr Router hat auch eine interne Adresse in diesem Netz, ich erfinde einfach mal eine: 192.168.2.0[/li]
[li] route -n auf dem UCS listet als Default Gateway wirklich die Router-IP[/li]
[li] Ihr VPN Server hat auch eine Adresse im internen Netz, sagen wir mal 192.168.2.10[/li]
[li] die eingewählten VPN Rechner landen im virtuellen Netz 10.8.0.1/255.255.255.0[/li][/ul]

Dann muß ein Rechner, der sauber mit den per VPN eingewählten Rechnern kommunizieren will, neben dem Standard-Gateway noch eine weitere Route bekommen, nämlich eine Route, die alle Pakete für IPs im VPN-Netz an die IP 192.168.2.10 leitet. Für alle Rechner, deren Netzwerkkonfiguration “automatisch” geschieht (per DHCP?) ist dies dann wahrscheinlich schon realisiert, aber die Rechner, deren Konfiguration statisch ist, müssen es separat gesagt bekommen.
Auf der Kommandozeile sähe das etwa so aus:

root@ucs-server# route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.2.10

Oder auf einem Univention System müßte man es in der Systemkonfiguration verewigen:

root@ucs-server# ucr set interfaces/eth0/route/vpnroute="net 10.8.0.0 netmask 255.255.255.0 gw 192.168.2.10"