OpenVPN - Probleme mit redirect-gateway

Apps & App Center
#1

Hallo,

ich möchte gern OpenVPN4UCS benutzen.
Kurzbeschreibung des Problems:
Ohne die Option redirect-gateway kann ich mich über externe Adresse verbinden, surfen, Freigaben aufrufen usw. Wenn ich aber redirect-gateway einschalte, um sämtlichen Verkehr über das VPN zu tunneln, kann ich mich verbinden, bekomme aber nach extern nur DNS Abfragen zum Laufen, weil UCS nicht weiterleitet.

Kurzbeschreibung des Netzwerkes:
Internet --> Fritzbox (192.168.2.1) - UCS für DNS/DHCP/OVPN (192.168.2.120) - Client (192.168.2.82 bzw. im VPN 10.4.4.6 aus dem Netz 10.4.4.0)

Problemdetails

--> Folgendes passiert beim TCP-Dump auf UCS, während von 10.4.4.6 ein Ping auf 192.168.2.1 erfolgt: 
10.4.4.6 > 192.168.2.1: ICMP echo request, id 1, seq 1171, length 40 --> Ping geht ein 
--- keine Antwort ---
	
--> Schneide ich das Pingen auf der FritzBox mit, ergibt sich:
Ping von 192.168.2.120 auf 192.168.2.1 -> Per Wireshark sichtbar im Mitschnitt
Ping von 10.4.4.6 auf 192.168.2.1 -> NICHT sichtbar im Mitschnitt, also leitet UCS nicht weiter.

Portforwarding ist eingeschaltet (von Hause aus, ich war es nicht)

nano /proc/sys/net/ipv4/ip_forward 
=> 1

Muss durch mich manuell in die Firewall von UCS eingegriffen werden?

Weitere Konfigurationsdetails, falls nötig:

########################################
FritzBox Konfig 192.168.2.1:
statische Route -> 10.4.4.0 255.255.255.0 nach 192.168.2.120

########################################
OVPN Serverconfig 192.168.2.120:
...
push "route 192.168.2.0 255.255.255.0"
push "dhcp-option DNS 192.168.2.120"
push "dhcp-option DOMAIN lokal.lan"
port 1194
server 10.4.4.0 255.255.255.0
proto udp
push "redirect-gateway"
...

########################################
OVPN Clientconfig 192.168.2.82 (bekommt nach Connect IP 10.4.4.6):

client
dev tun
proto udp
remote <externe IP> 1194
tls-remote snas
resolv-retry infinite
nobinds
...

########################################
Routen auf OVPN Server 192.168.2.120

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         192.168.2.1     0.0.0.0         UG    0      0        0 eth0 --> sollte diese nicht meine Pakete weiterleiten?
10.4.4.0        10.4.4.2        255.255.255.0   UG    0      0        0 tun0
10.4.4.2        *               255.255.255.255 UH    0      0        0 tun0
172.17.0.0      *               255.255.0.0     U     0      0        0 docker0
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
192.168.2.0     *               255.255.255.0   U     0      0        0 eth1

########################################
Client (10.4.4.6) Routen, die nach Connect hinzukommen:

Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0         10.4.4.5         10.4.4.6     30
         10.4.4.1  255.255.255.255         10.4.4.5         10.4.4.6     30
         10.4.4.4  255.255.255.252   Auf Verbindung          10.4.4.6    286
         10.4.4.6  255.255.255.255   Auf Verbindung          10.4.4.6    286
         10.4.4.7  255.255.255.255   Auf Verbindung          10.4.4.6    286
	<externe IP>  255.255.255.255      192.168.2.1     192.168.2.82     25 -> für den OVPN-Verkehr
#2

Hallo steve-e,

nach Ihren Post zu urteilen scheinen der VPN Zielpunkt, den Sie zu erreichen versuchen und der Client sich bereits in exakt dem selben Netz zu befinden? Ist dies korrekt?

Mit freundlichen Grüßen,

Ingo von Thielau

#3

Hallo Herr von Thielau,

was genau meinen Sie mit VPN Zielpunkt? Der VPN Server, also UCS, ist im Netz 192.168.2.0/24, der Client auch. Das VPN Netz ist dann das 10.4.4.0
Wahrscheinlich soll das schon ein Wink mit dem Zaunpfahl sein, ich erkenne es aber noch nicht :smiley:

Danke!

#4

Hallo steve-e,

ja, der UCS Server war mit dem VPN Zielpunkt gemeint.

Die grundlegende Idee von OpenVPN4UCS ist, dass einem Computer (z.B. Notebook), der sich nicht im Netz des Servers befindet eine virtuelle Präsenz im Netz des Servers zu ermöglichen. In Ihrem Fall haben beide Maschinen bereits ein Standbein im exakt selben Netz. Sie bekommen zwar eine Verbindung, doch der Ansatz ist von der Grundidee her nicht optimal - Sie sind bereits da, wo Sie mittels des VPN hin wollen. Evtl. gibt es hier Probleme mit der Rückroute.

Bitte versuchen Sie Ihren Test noch einmal, indem Sie mit dem Client aus einem anderen Netz versuchen den VPN Tunnel mit dem Server zu etablieren. Denkbar wäre z.B., dass Sie an Ihrer FritzBox den gewünschten Port an den VPN Server weiterleiten und am UCS Server die externe IP des Routers als Ziel angeben. Bitte beachten Sie, dass dieser Schritt das ready2go Paket neu generiert. Dann könnten Sie z.B. über eine mobile Internetanbindung einen Test durchführen.

Mit freundlichen Grüßen,

Ingo von Thielau

OpenVPN4UCS nicht erreichbar / Subnetz-Konflikt / VPN Hosts erreichen interne Ressourcen nicht (Gelöst)
#5

Hallo Herr von Thielau,

habe den Connect aus einem komplett anderen Netz probiert, DNS funktioniert, sonst leider nichts. Da ich auch im LAN-Segment der UCS immer die externe IP-Adresse zum Verbinden des VPN nutze, wüsste ich auch nicht so genau, wo der Unterschied zwischen Verbindungen aus dem heimischem LAN oder einem fremden LAN liegt. Wie kann ich analytisch weiterhelfen?

#6

Ich bin leider noch nicht weiter gekommen. Haben Sie noch einen Tipp für mich, wie ich vorgehen kann? Ist denn das Problem nachstellbar?

#7

Hallo,
Ich habe das gleiche Problem! Ich versuche das UCS-System als VPN-Gateway arbeiten zu lassen. Ich kann mich ebenfalls mit OpenVPN verbinden, mit SSH auf den Server, der uns leitet aber keine Pakete ins lokale LAN weiter!!

#8

Moin nnik,

könnten Sie den Inhalt von /etc/openvpn/server.conf des als VPN-Server fungierenden UCS-Systems einmal hier reinstellen?

Grüße
Björn Franke

#9

Hallo ,
ich verbinde mich via OPENVPN zum Server .
Habe mir Eth0:0 eingerichtet als staitsche zweite virtuelle Netzwerkadresse.
Tun0 wird bereitgestellt durch OPENVPN4UCS.

Samba/bind lo ETH0:0 und Tun0.
Mein internet funktioniert über eth0.
Soweit kann ich via VPN meine eth0:0 Adressen normal erreichen.
Alles funktioniert sehr schön.

VPN => Eth0:0 i.o
VPN 0> Eth0:0 => Eth0=> internet nicht i.o

Nun würde ich gerne noch über den Server mein Internet tunneln wollen.
Stand jetzt (DNS) Adressen werden aufgelöst. Aber keine Packete werden durchgeleitet.
Quasi kein internet zugriff mögllich bei einer aktiven VPN verbindung. Das ist natrülich etwas doof.

Mein Server steht in einem Rechenzentrum. Mein PC natürlich bei mir zuhause.

Muss ich hier der Firewall sagen packete nicht blockieren?
Muss ich Port forwading machen ?

Danke im Voraus

Mastodon