It is currently 24.09.2017 19:29


All times are UTC




Post new topic Reply to topic  [ 6 posts ] 
Author Message
 Post subject: das leidige routing problem
PostPosted: 04.01.2017 14:53 
DES
DES

Joined: 01.01.2017 11:19
Posts: 2
Auch ich hadere mit dem Routing Problem mit OPEN VPN. Nachdem ich seid 3 Tage ziemlich viele Foren durchstöbert habe und div Tests gemacht habe muss ich mich nun doch mit meiner Frage an Euch wenden.
Ich sehe den Wald vor lauter Bäumen nicht mehr.

Situation: Home Netz 192.168.8.x/24
Open VPN Server ist ein Raspi
Zugriff von aussen mit Laptop open VPN ( eigener Client ) ok = sämtliche Clients im 192.168.8.x erreichbar
Zugriff von aussen mit Handy open VPN ( eigener Client ) ok = sämtliche Clients im 192.168.8.x erreichbar

Ferienwohnung:
GSM Router IP 192.168.10.x/24 KEIN STATISCHES ROUTING MÖGLICH
2 tes Raspi als VPN CLient
VPN zu SERVER steht PING mittels CONSOLE Raspi ins Home NETZ geht

Aber andere Clients finden so den Gateway natürlich nicht.
Wie oder wo muss ich eine Route einstellen damit eine Wlan Camera die auch im 192.168.10.x Netz ist von beiden Seiten erreichbar ist?

Beim Client raspi habe ich das Routing freigeschaltet ...

Was sicher fehlt ist doch der Routing Eintrag auf Client Seite damit ein PC weiss dass er nicht den 192.168.10.1 GW sondern über den Tunnel ins andere Netz muss
Da happerts bei mir
der Befehl auf dem Client Raspi:
sudo route add -net 192.168.8.0 netmask 255.255.255.0 gw 10.8.0.1 dev tun0
brachte auch nix
Ich bin dankbar für Eure Hilfe


Top
Offline Profile  
Reply with quote  
 Post subject: Re: das leidige routing problem
PostPosted: 05.01.2017 12:14 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Hi,
so richtig klar ist mir Deine Frage nicht.
Quote:
Was sicher fehlt ist doch der Routing Eintrag auf Client Seite damit ein PC weiss dass er nicht den 192.168.10.1 GW sondern über den Tunnel ins andere Netz muss

Poste mal bitte die Openvpn-conf, ccd-File des Servers und die OpenVPN.conf des Clients.
Das Routing der mit dem Tunnel verbundene Netze terminierst Du eigentlich auf dem OpenVPN-Server. Um dem OpenVPN-Client mitzuteilen, das er Pakete für Dein Netz zu Hause in den Tunnel leitet, reicht ein push-Route Eintrag eigentlich aus.
Gruß orcape


Top
Offline Profile  
Reply with quote  
 Post subject: Re: das leidige routing problem
PostPosted: 05.01.2017 14:48 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
regalboot wrote:
Was sicher fehlt ist doch der Routing Eintrag auf Client Seite damit ein PC weiss dass er nicht den 192.168.10.1 GW sondern über den Tunnel ins andere Netz muss
also kennst du die Lösung !
Quote:

Da happerts bei mir
der Befehl auf dem Client Raspi:
sudo route add -net 192.168.8.0 netmask 255.255.255.0 gw 10.8.0.1 dev tun0
brachte auch nix
Ich bin dankbar für Eure Hilfe

wenn das der Client ist...
Ansonsten: traceroute hilft dir weiter! [gekürzte Ausgabe von --help ]
Code:
 traceroute [ -46dFITnreAUDV ]  [ -i device ]  [ -s src_addr ]  host


..und ein "böser Nachsatz" von mir: Wer so vermessen ist und auf TCP-Pakete sogar noch eine Antwort will (!), sollte evtl. an der Rückweg der Pakte denken.

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: das leidige routing problem
PostPosted: 06.01.2017 06:36 
DES
DES

Joined: 01.01.2017 11:19
Posts: 2
Moin Moin ging etwas länger Pi hat sich gestern aufgehängt.. musste alles neu Prog
Also nochmals einfacher erklährt:
Ich habe 3 VPN Clients:
Laptop;Handy;Fewo (das ist der Raspiclient hintereinem GSM Router im 10 er Netz)
Wenn ich mich mit dem OPENVPN Client auf dem Laptop oder auf dem Handy verbinde
dann habe ich vollen Zugriff auf mein Heimnetzwerk

Beim FEWO Client kann ich nur vom Raspi Client via putty ssh alles im Homenetz anpingen nicht aber von einem PC der im 10 Netz ist....
Woher soll der es denn auch wissen dass der Gateway nun nicht der Router sondern der Raspi ist?
Umgekehrt kann ich auch nicht vom Heimnetz (192.168.9.0/24)ins Client Netz pingen
Ich hoffe es ist verständlich


Hier die Client conf:
client
dev tun
proto udp
remote meinedyndnsadresse.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun
key-direction 1
remote-cert-tls server
tls-version-min 1.2
verify-x509-name server name
cipher AES-256-CBC
auth SHA256
comp-lzo
verb 1
<ca>

Hier die CCD Datei:
Der User ist Fewo
iroute 192.168.10.0 255.255.255.0

Hier die server.conf

dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
# server and remote endpoints
ifconfig 10.8.0.1 10.8.0.2
# Add route to Client routing table for the OpenVPN Server
route 192.168.10.0 255.255.255.0
push "route 192.168.10.0 255.255.255.255"
push "route 10.8.0.1 255.255.255.255"
# Add route to Client routing table for the OPenVPN Subnet
push "route 10.8.0.0 255.255.255.0"
# your local subnet
push "route 192.168.9.0 255.255.255.0"
# Set your primary domain name server address for clients
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
client-config-dir /etc/openvpn/ccd
duplicate-cn
keepalive 10 120
tls-version-min 1.2
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
cipher AES-256-CBC
auth SHA256
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
#crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
log /var/log/openvpn.log
verb 1
management localhost 7505


Top
Offline Profile  
Reply with quote  
 Post subject: Re: das leidige routing problem
PostPosted: 06.01.2017 08:33 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
regalboot wrote:
Moin Moin ging etwas länger Pi hat sich gestern aufgehängt.. musste alles neu Prog

backup ? ... /etc/openvpn + keys + ggfs. fw-rules mitttels tar sichern ?
Bei Bedarf weider einspielen ..geht
Quote:
Also nochmals einfacher erklährt:
Ich habe 3 VPN Clients:
Laptop;Handy;Fewo (das ist der Raspiclient hintereinem GSM Router im 10 er Netz)
Wenn ich mich mit dem OPENVPN Client auf dem Laptop oder auf dem Handy verbinde
dann habe ich vollen Zugriff auf mein Heimnetzwerk

Beim FEWO Client kann ich nur vom Raspi Client via putty ssh alles im Homenetz anpingen nicht aber von einem PC der im 10 Netz ist....
Woher soll der es denn auch wissen dass der Gateway nun nicht der Router sondern der Raspi ist?
Umgekehrt kann ich auch nicht vom Heimnetz (192.168.9.0/24)ins Client Netz pingen
Ich hoffe es ist verständlich

Nochmal... NIX ping! tracroute verwenden und dann siehst du auch, ob die Pakete zur "richtigen Kiste" gehen, wenn nicht -> sag ihm wohin (Route setzen)
ggfs. ist es auch interessant, AUS welchem Interface die Pakete kommen (eth oder tun)
Zumal du bei traceroute auch andere Quell-IPs angeben kannst (Camera?) und vor allem, du siehst, ab wo es nicht weitergeht!
Ach so... Standardgate muss natürlich nicht zwingend die Plastikkiste sein...du kannst auch woanders hin sammeln und dann weiterleiten (Proxy-Gedanke)

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: das leidige routing problem
PostPosted: 06.01.2017 14:29 
AES 256 bit
AES 256 bit

Joined: 27.11.2012 18:37
Posts: 272
Hi,
hast Du mehrere OpenVPN-Clients am Tunnel? Wenn der Raspi der einzige Client ist, solltest Du...
Code:
client-to-client

...in der Server.conf zumindest auskommentieren, denn das könnte Probleme machen.
Routingprotokoll Server und Client wären dann interessant. :wink:
Gruß orcape


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 6 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot] and 11 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net