OpenVPN Verbindungsprobleme

german

#1

Hallo,

Bin im Moment dabei, ein Testnetzwerk mit UCS aufzusetzen und habe Probleme, mit OpenVPN auf das Netzwerk zuzugreifen. Mein Setup schaut momentan folgendermaßen aus:

  • Netgear WLAN Router (IP 10.0.0.1)
    [ul]
    [li] Hängt am externen Internet mit statischer IP[/li]
    [li] Als DHCP für Bereich 10.0.0.2 - 10.0.0.254[/li]
    [li] Verwendet als DNS 10.0.0.2 (= UCS)[/li]
    [li] Portweiterleitung für Ports 25, 143, 443, 1194 nach 10.0.0.2 (=UCS)[/li]
    [li] Statische Route für Zieladresse 10.153.175.0/24 nach Gateway 10.0.0.2 (=UCS)[/li][/ul]

  • UCS als DC / AD, Mail- und OpenVPN Server (IP 10.0.0.2)
    [ul]
    [li] Verwendet als DNS die DNS des ISP[/li]
    [li] Hat OpenVPN4UCS installiert, konfiguriert auf Port 1194, 10.153.175.0/24, redirect gateway EIN[/li]
    [li] echo 1 > /proc/sys/net/ipv4/ip_forward in /etc/rc.local[/li][/ul]

  • Win10 pro Desktop Rechner in lokaler Domäne (IP 10.0.0.3)
    [ul][li]Verwendet als Arbeitsplatzrechner und als Server für ein Datenbankprogramm[/li][/ul]

  • Win10 Laptop als Testrechner
    [ul][li]Wahlweise direkt im Firmennetz oder über einen separaten Internetanschluss mittels VPN verbunden[/li][/ul]

Die Problemsituation in Bezug auf den VPN-Zugriff sieht folgendermaßen aus:

  • Was funktioniert:
    [ul]
    [li] Verbindung vom Testrechner mittels VPN klappt, der Testrechner bekommt eine statische IP 10.153.175.2[/li]
    [li] Ich kann den UCS sowohl anpingen als auch auch auf die UMC zugreifen, sowohl per IP 10.0.0.2 als auch über den lokalen Domänennamen bla.domaene.intranet[/li]
    [li] Ich kann im Internet surfen[/li][/ul]

  • Was nicht funktioniert:
    [ul]
    [li] Ich kann keine Netzwerkfreigaben/Netzwerkrechner sehen[/li]
    [li] Ich kann den Arbeitsplatzrechner nicht anpingen[/li]
    [li] Ich kann mittels am Testrechner installiertem DB-Clientprogramm nicht auf den Datenbankserver am Arbeitsplatzrechner zugreifen[/li][/ul]

Habe leider nicht so viel Erfahrung mit dem Einrichten von Netzwerken und wäre daher für jegliche Hilfe und Tipps dankbar!


#2

Hallo,

Eigentlich sieht alles richtig aus, insbesondere auch daß vom Router eine statische Route auf das Subnetz eingerichtet ist, in dem die per VPN eingewählten Rechner landen. Damit sollten eigentlich die Ping-Antworten z.B. des Arbeitsrechners zum VPN Knoten zurückgeführt werden. Ich habe aber schon Situationen gesehen, in denen das nicht ausgereicht hat, und mußte dann dafür sorgen, daß die Rechner im “inneren” Netz die genannte Route (10.153.175.0/24 -> 10.0.0.2) ebenfalls erhalten. Also wenn der Router DHCP zur Verfügung stellt, sollte er diese Route auch per DHCP verteilen, das sollte man am Arbeitsplatzrechner prüfen können.

Während ich das schreibe, fällt mir noch ein und auf: ein UCS DC kann auch auf DHCP Anfragen antworten (und Clients nehmen einfach die erste Antwort, die sie bekommen). Man sollte sicherstellen, daß es im Netz nur einen DHCP Server gibt (oder alle die gleichen Antworten liefern), sonst weiß man am Ende nicht mit Sicherheit, wie die Clients konfiguriert sind.

Auf der Clientseite sollte das Routing ebenfalls vollständig sein, also nachdem man eingewählt ist, sollte man zwei Routen dazubekommen haben, eine in das Subnetz, in dem sich der Client jetzt befindet (10.153.175.0/24) und eine in das Netz, in dem die Rechner in der Firma stehen (10.0.0.2/24). Der eleganteste Weg das zu erreichen ist sicher, serverseitig diese Optionen als PUSH zur Verfügung zu stellen, so daß die Clients sie automatisch beim Einwählen erhalten.

viele Grüße
Frank Greif.


#3

Vielen Dank für die Antwort.

Wie es aussieht scheint es tatsächlich der Fall zu sein, dass sich der Univention Server selbst bei nicht installiertem DHCP Modul trotzdem nicht mit dem DHCP des Netgear-Router verträgt. Nach dem Ausschalten der DHCP-Funktionalität am Netgear-Router und Einrichten derselbem am UCS scheint alles korrekt zu funktionieren.

Ein Problem, das ich noch mit OpenVPN4UCS hatte, ist, dass offenbar ein Teil der für OpenVPN relevanten Konfigurationsdaten nicht upgedatet werden, wenn an der IP-Konfiguration des UCS-Rechners und/oder des internen Netzwerkes eine Änderung vorgenommen wird. Dieser Bug kann folgendermaßen umgangen werden:
Die Daten in der Konfigurationsdatei /etc/openvpn/server.conf müssen manuell angepasst werden. Dies betrifft die ‘push’-Einträge in der Sektion ‘### Constant values’ der Datei, bei denen die alte Route, DNS und eventuell Domäne manuell auf die neuen Werte eingestellt werden müssen.
Unglücklicherweise bin ich mir nicht sicher, ob diese Konfigurationsdatei bei gewissen Konfigurationsänderungen oder beim Einspielen von Updates neu generiert wird, und damit meine Änderungen wieder mit den falschen Werten überschrieben werden…