It is currently 23.11.2017 02:04


All times are UTC




Post new topic Reply to topic  [ 11 posts ] 
Author Message
 Post subject: Serverbridge kein LAN Zugriff
PostPosted: 22.01.2017 11:29 
DES
DES

Joined: 21.01.2017 21:08
Posts: 6
Moin Moin,

habe im Forum schon gelesen, und auch viel im Web gesucht. Und überall stoße ich auf die selbe Konfig wie ich sie verwende. Leider funktioniert bei mir etwas nicht :(.

mein Ziel: Einen Server mit mehrere Clients per VPN verbinden. Jeder Client kann auf das LAN und WAN des Servers zugreifen. Das LAN des Servers kann auf das LAN des Clients zugreifen. Die Verbindung wird mit einem Router mit OpenWRT hergestellt.

Soweit so gut. Ich möchte erstmal einen Client testen mit demselben Adressbereich wie der Server. Ich habe für Server sowie Client Zertifikate erstellt und eine Verbindung wird aufgebaut. Jedoch kann der Client nicht auf das LAN des Servers zugreifen. Und das LAN des Servers sieht nicht das LAN des Clients.

Meine erste Konfig: Server Router mit fester IPv4 Adresse. Client auf Mac OS mit Tunnelblick, und auf Windows mit OpenVPN getestet. Auf beiden Betriebssystemen dasselbe Ergebnis. Denke mir, wenn ich von Windows aus keine richtige Verbindung hinbekomme wird es mit dem zweiten Router auch nicht klappen.

Hier mal meine VPN Config Server:
Code:
config openvpn vpnVerbindung
   option 'enabled' '1'
   option 'dev' 'tap'
   option 'proto' 'udp'
   option 'log' '/tmp/openvpn.log'
   option 'verb' '3'
   option 'ca' '/etc/openvpn/ca.crt'
   option 'cert' '/etc/openvpn/VPNHost.crt'
   option 'key' '/etc/openvpn/VPNHost.key'
   option 'dh' '/etc/openvpn/dh4096.pem'
   option 'tls_auth' '/etc/openvpn/tlsauth.key 0'
   option 'server_bridge' '192.168.2.1 255.255.255.0 192.168.2.210 192.168.2.220'
   option 'port' '1194'
   option 'keepalive' '10 120'
   option 'max_clients' '35'
   list push 'redirect-gateway def1'
   list push 'route 192.168.2.0 255.255.255.0'


und hier der Client:
Code:
client
dev tap
proto udp
remote 218.12.541.33 1194
resolv-retry infinite
mute-replay-warnings
comp-lzo
verb 3
ca ca.crt
cert Client1.crt
key Client1.key
tls-auth tlsauth.key 1
keepalive 10 120
persist-key
persist-tun
nobind


Nach 120 Sekunden wird die Verbindung neu aufgebaut.

Die OpenWRT Konfig könnte ich noch posten. Hatte zum Test mal die Firewall deaktiviert um evtl. sperren zu prüfen. Auch mit deaktivierter Firewall gehts nicht im LAN.

Als Anhang noch ein Screenshot, dass die Verbindung aufgebaut wird.
IP wird zugewiesen 192.168.2.210
Broadcast wird mit 192.68.2.255
Gateway ist 192.168.2.1

Ich habe auch mal mein Handy als Hotspot benutzt um mein internes Netzwerk als Fehler auszuschließen.
Bei allen das gleiche, die Verbindung wird aufgebaut, aber zwei IPs sind dann im Rechner. Mein Rechner LAN hat die 192.168.1.7, mit aktiver Verbindung habe ich einen Adapter eth0 (mac) oder Lan4 (win) mit 192.168.1.7, zusätlich habe ich einen tap0 Adapter mit 192.168.2.10.
Im Log von OpenVPN steht drin:
Code:
route.exe ADD 192.168.2.0 MASK 255.255.255.0 192.168.2.1


Habt ihr eine Idee ob es an den VPN Einstellungen liegen könnte? Evtl. habe ich das mit der Route falsch verstanden? Ich denke ich muss dem Client über die Servereinstellungen mitteilen welcher Adressebereich am Server-LAN vorliegt damit der Client den sehen kann?

Würde mich tierisch über einen Tip freuen :)

VG


Attachments:
verbunden.png
verbunden.png [ 4.29 KiB | Viewed 1041 times ]
Top
Offline Profile  
Reply with quote  
 Post subject: Re: Serverbridge kein LAN Zugriff
PostPosted: 22.01.2017 16:15 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
stephan82 wrote:
Habt ihr eine Idee ob es an den VPN Einstellungen liegen könnte? Evtl. habe ich das mit der Route falsch verstanden? Ich denke ich muss dem Client über die Servereinstellungen mitteilen welcher Adressebereich am Server-LAN vorliegt damit der Client den sehen kann?

Würde mich tierisch über einen Tip freuen :)

VG

Sicher hast du das mit dem Routing falsch verstanden ....
Genauso auch "bridged " und "routed" Networks.

Und hör auf mit dieser "Sehen" Diskussion.. da hat nix Augen zum Sehen - du musst dich schon um die IP-Päckchen im Detail kümmern, was da wie (womit) passieren soll.
Alternativ: Standardkonfiguration mit genau den dazugehörigen Aufgaben/Diensten.
Letztlich hast du mehrerere Netze, die du verbinden musst (was eigentlich wieder eine Standardaufgabe ist)

Und vergiss in deiner Konfiguration erst einmal alles was Routen/Routenänderungen "pusht" - oder du weisst gebau was du da tust!

Alles ist einzeln für sich richtig (ausser einer Zeile), aber wie immer: viele beliebige Einzelteile ergeben nicht unbedingt ein funktionierendes Ganzes.

F.
ps: zum wievielten Male hier im Forum? (Netzwerkplanung)


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Serverbridge kein LAN Zugriff
PostPosted: 22.01.2017 18:07 
DES
DES

Joined: 21.01.2017 21:08
Posts: 6
Hi,

mit Sehen meine ich, dass die Komponenten im Netzwerk untereinander erreichbar sind. Aber lass ich weg.

Welche eine Zeile ist denn falsch?

Da ich nicht genau weiß wo das Problem liegt kann ich nicht genau danach suchen. Ich habe viel gesucht und viel ausprobiert. Bei dieser Konfiguration wird die Verbindung aufgebaut, die richtige IP zugewiesen aber irgendwas stimmt ja nicht. Vielleicht liegt es noch an einer anderen Einstellungen und nicht bei der OpenVPN-Server oder -Client Konfiguration.

Ich habe auf der VPN-Serverseite zurzeit zwei IPs 192.168.2.1 (Router) und 192.168.2.100 (normaler Windows Server). Nun kommt nur ein entfernter Rechner dazu, der bekommt vom Router die 192.168.2.210 zugewiesen. So wie es sein soll. Beide Netzwerke sollen dauerhaft verbunden sein, und alle drei Geräte sollen untereinander kommunizieren. Egal ob nur ein Ping oder andere Pakete.
Der entfernte Rechner muss nunmal den Adressbereich kennen, so habe ich es in der Doku gelesen, mit Route habe ich dem den Adressbereich 192.168.2.0/24 bekannt gemacht.
Deswegen frage ich ja nach, falls ich das in der Doku falsch verstanden habe.

In der Firwall habe ich die Regel erstellt, VPN->WAN, VPN->LAN, LAN->VPN, so dass alle Richtungen genehmigt sind.

Andersrum gefragt. Ich habe zwar den Unterschied zwischen tun und tap in der openvpn wiki gelesen, und meine wenn die Netze dauerhaft untereiander verbunden sein sollen benötige ich tap mit server_bridge, lasse mich gerne des besseren belehren. Dachte dafür ist das Forum da.
Wichtig ist halt, das pro Client (insgesamt 35) jeweils ca. 120 IP Adressen benötigt werden, welche mit 192.168.2.0/24 nicht abzubilden sind. Geht das auch ohne server_bridge. Ist halt mein erstes VPN welches ich aufbauen möchte.

Ich hab ja nur gefragt, weil ich sicher sein will an welcher Ecke ich weitersuchen muss.

Ja, das Thema scheint oft vorzukommen. Hier im Forum habe ich einen Beitrag gelesen mit einem ähnlichen Problem: No route to host. Dort schreibt z. B. der Themenersteller, dass er eine Routing-Tabelle von seite X gefunden hat. Hier im Forum wird geantwortet: Es gibt bei solchen Problem ganz viele verschiedene individuelle Lösungen und man kann nicht Lösungen anderer für seine Probleme nehmen. Ich hab sehr viel ausprobiert und sehr viel getestet bevor ich gepostet habe. Ich habe nur geschrieben, weil ich einfach nicht mehr weiter weiß und die Doku mich nicht weiterbringt. Sorry.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Serverbridge kein LAN Zugriff
PostPosted: 23.01.2017 10:42 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
stephan82 wrote:
Hi,

mit Sehen meine ich, dass die Komponenten im Netzwerk untereinander erreichbar sind. Aber lass ich weg.

Welche eine Zeile ist denn falsch?
zum Thema Brigded/roted networks also nicht die Grundlagen gelesen... hmm
Quote:
Da ich nicht genau weiß wo das Problem liegt kann ich nicht genau danach suchen. Ich habe viel gesucht und viel ausprobiert. Bei dieser Konfiguration wird die Verbindung aufgebaut, die richtige IP zugewiesen aber irgendwas stimmt ja nicht. Vielleicht liegt es noch an einer anderen Einstellungen und nicht bei der OpenVPN-Server oder -Client Konfiguration.

Ich habe auf der VPN-Serverseite zurzeit zwei IPs 192.168.2.1 (Router) und 192.168.2.100 (normaler Windows Server). Nun kommt nur ein entfernter Rechner dazu, der bekommt vom Router die 192.168.2.210 zugewiesen. So wie es sein soll. Beide Netzwerke sollen dauerhaft verbunden sein, und alle drei Geräte sollen untereinander kommunizieren. Egal ob nur ein Ping oder andere Pakete.
Der entfernte Rechner muss nunmal den Adressbereich kennen, so habe ich es in der Doku gelesen, mit Route habe ich dem den Adressbereich 192.168.2.0/24 bekannt gemacht.
Deswegen frage ich ja nach, falls ich das in der Doku falsch verstanden habe.
wozu ? - wenn er die 192.168.2.210 zugewiesen bekommt!
Grundlagen - Netzwerkkommunikation (Layer2 + 3)
Quote:
In der Firwall habe ich die Regel erstellt, VPN->WAN, VPN->LAN, LAN->VPN, so dass alle Richtungen genehmigt sind.
wie jetzt LAN zum oWRT-Router brauchts einen Firewalleintrag ?
Quote:
Andersrum gefragt. Ich habe zwar den Unterschied zwischen tun und tap in der openvpn wiki gelesen, und meine wenn die Netze dauerhaft untereiander verbunden sein sollen benötige ich tap mit server_bridge, lasse mich gerne des besseren belehren.
..hmm für Bridges ist tap Voraussetzung, was ist Server-Bridge? (sicher nicht aus den Originalbeschreibungen)
Quote:
Dachte dafür ist das Forum da.
Wichtig ist halt, das pro Client (insgesamt 35) jeweils ca. 120 IP Adressen benötigt werden, welche mit 192.168.2.0/24 nicht abzubilden sind. Geht das auch ohne server_bridge. Ist halt mein erstes VPN welches ich aufbauen möchte.
wie jetzt ? Lesehinweis: CCIDR
Quote:
Ich hab ja nur gefragt, weil ich sicher sein will an welcher Ecke ich weitersuchen muss.

Ja, das Thema scheint oft vorzukommen. Hier im Forum habe ich einen Beitrag gelesen mit einem ähnlichen Problem: No route to host. Dort schreibt z. B. der Themenersteller, dass er eine Routing-Tabelle von seite X gefunden hat. Hier im Forum wird geantwortet: Es gibt bei solchen Problem ganz viele verschiedene individuelle Lösungen und man kann nicht Lösungen anderer für seine Probleme nehmen. Ich hab sehr viel ausprobiert und sehr viel getestet bevor ich gepostet habe. Ich habe nur geschrieben, weil ich einfach nicht mehr weiter weiß und die Doku mich nicht weiterbringt. Sorry.

Sagte ich doch schon vorher - Thema Planung, Netzwerke planen (Netzwerke, Tunnel usw.). Fragmente aus verschiedenen Quelle zusammenfügen kann (oft) zufällig passen - das hängt von "Standardzufällen" ab (sprich: oft werden Netze unbewusst sehr ähnlich gebaut).
Vielleicht bin ich durch etwas komplexere Strukturen "vorbelastet" und halte nix von MUP (Methode des unbekümmerten Probierens) so wie du(?).
Wobei: egal wie das Design ausfällt, du solltest dir über grundlegende Unterschiede und Probleme bei bridged und routed Networks im Klaren sein.

Manchmal beschleicht mich das Gefühl: wiki.openvpn.eu nicht gelesen, weil da keine fertige Lösung drinsteht ? -> aber: Gefühl, kann mich auch irren.
F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Serverbridge kein LAN Zugriff
PostPosted: 23.01.2017 17:26 
DES
DES

Joined: 21.01.2017 21:08
Posts: 6
Du wirst merken es ist meine erste OpenVPN Verbindung.

Begonnen habe ich mit einer Anleitung im OpenWRT Wiki, dort wurde tap genommen mit server_bridge. Das hat leider nicht funktioniert.
Dann habe ich angefangen zu lesen was tun und tap sein soll, da bei einer anderen Anleitung nur tun verwendet wurde.

Dann habe ich eine andere Anleitung gefunden bei der ich nur die FIrewall Einstellungen übernommen habe, also speziell OpenWRT. Da denke ich mir da brauch ich hier nicht zu fragen. Also Port 1194 akzeptieren, vpn traffic an lan akzeptieren usw.
An einigen Stellen bin ich auf diese push's gestoßen, mit traffic nur übers vpn schicken, route hinzufügen usw.
Ich habe hier
https://openvpn.net/index.php/open-sour ... howto.html
und hier
https://openvpn.net/index.php/open-sour ... dging.html
versucht durchzublicken. Die wiki Seite von openvpn.eu ist bei der ganzen Sucherei nie aufgetaucht. Ich habe die openvpn.eu nur gefunden weil ich nach nem Forum gesucht habe.
Im wiki steht ja was drin was ich mir helfen könnte. Das werde ich testen. ;)

Ich bin kein Fan von einfachen dummen probieren. Irgendwann wirds ärgerlich wenn das logisch erscheinende nicht funktioniert. Bevor ich halt weiter probier wollte ich wissen ob meine Konfig stimmen kann. Tut sie nicht, also weiß ich, dass ich genauer nachsehen muss. Ich möchte keine fertige Lösung haben. Ich möchte das was da passiert verstehen und nicht jedes mal nach Hilfe rufen müssen wenn was ist ;).

VG


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Serverbridge kein LAN Zugriff
PostPosted: 24.01.2017 06:12 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
Hallo Stephan,

Beispiel an der Stelle funktionieren fast immer nur, wenn du alles 100% übernimmst.

Ansonsten ... falsch tun/tap ... du fängst mit der Planung an:
bridged oder routed : Vor- und Nachteile auflisten!
Danach VPN planen (IF, Strecken, Certifikate, ggfs Routen/Paketwege usw.)
Damit dann die configs entwerfen - zuerst minimal mit möglichst vielen Standardannahmen.
"Spielen" ...hm optimieren, verschlimmbessern oder wie auch immer.... kommt später!

Also fang mit nem Plan an... vieles ergibt sich dann
Und denke dran : VPN solltest du nur als Ersatz für ein langes Patchkabel betrachten! Nicht die netten Hilfsfunktionen zu Hauptfunktionen hochstilisieren.

F.

ps: midestens 2 Anleitungen für openWRT haben bei mir nicht funktioniert !
Besonders Firewalleinstellungen - kann man dann ja mitloggen und sieht man. Konkret kann ich aber dazu nix sagen... die Kiste ist weg und steht jetzt woanders.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Serverbridge kein LAN Zugriff
PostPosted: 26.01.2017 19:31 
DES
DES

Joined: 21.01.2017 21:08
Posts: 6
Nabend,

konnte leider heute erst wieder an den Router werkeln.
Habs auch nun hinbekommen. Es fehlte das Verständnis zwischen tun und tap. Für mich ist tun die bessere Wahl und dann auch einfacher.

Was geroutet werden soll war mir vorher klar, das habe ich auch geplant. Beide Netzwerk sollen untereinander vollständig verbunden sein. Als würde ein Switch dazwischen hängen. Klar, wenn ich das so beschreibe komme ich zurück zu tap. Es müssen halt alle Pakete durch den Tunnel, ohne Einschränkung. In beide Richtungen.

Im Moment ist es so, dass der VPNClient die Route vom VPNServer bekommt und andersrum. Bisher können sich nur die Router erreichen, d.h. wenn eine Workstation im Client-LAN das Servernetz erreichen möchte funktioniert es noch nicht. Das sollte aber nicht an der OpenVPN Konfiguration liegen. Ich denke mal auch hier gibt es für tun0 und eth0 keine allgemeine Einstellung ;).

Viele OpenWRT Anleitungen sind murks, das durfte ich auch feststellen. Die OpenVPN Einstellungen lassen sich gut übertragen.

Gruß


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Serverbridge kein LAN Zugriff
PostPosted: 27.01.2017 08:21 
DES
DES

Joined: 21.01.2017 21:08
Posts: 6
Sorry, ich glaub ich brauch nochmal Hilfe :(

Momentan bekomme keine Verbindung zwischen den Router.
Beide haben in der Routingtabelle die Bereiche drin.
Im OpenVPN Log sehe ich folgendes:
Code:
Learn: 192.168.2.62 -> Client/81.45.23.201:1194


Die Zeile steht im Log egal was ich anpinge. Ping auf die 50 und es kommt ...2.50 -> Cl...
Ist das ein gutes oder schlechtes Zeichen?


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Serverbridge kein LAN Zugriff
PostPosted: 27.01.2017 17:44 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
Hallo,
das Paket läuft aber den geplanten Weg ?

F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Serverbridge kein LAN Zugriff
PostPosted: 28.01.2017 09:04 
DES
DES

Joined: 21.01.2017 21:08
Posts: 6
Moin,

ja, das Paket läuft den geplant weg.
Mit tcpdump konnte ich sehen, dass die richtige Route gewählt wird, aber es kam immer unreachable zurück.
Meine Firewall rules waren auch soweit richtig. Nur das device war nicht richtig. Es ist nicht immer eth0 auch wenn es vorhanden ist :lol: .
Jetzt funktioniert die Verbindung beider LANs untereinander. Mal sehen ob es montag noch funktioniert, davon gehe ich aber aus.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Serverbridge kein LAN Zugriff
PostPosted: 28.01.2017 15:54 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2189
Hallo,
dafür gibts eigentlich traceroute. Da kann man normalerweise auch sehen, ab wo es "klemmt". tcpdump wäre mir da zu mühsam zumal die eth-Devices auch umschalten musst ( promiscuous mode). Wäre mit an der Stelle zu mühsam...
F.


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 11 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot] and 18 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net