It is currently 19.08.2017 00:00


All times are UTC




Post new topic Reply to topic  [ 8 posts ] 
Author Message
 Post subject: Client verbindet, kein Zugriff auf das LAN dahinter
PostPosted: 04.04.2017 03:03 
Tripple-DES
Tripple-DES

Joined: 30.12.2014 06:26
Posts: 10
Hallo!

Ich verwende seit Jahren OpenVPN im Bridged-Modus. Bisher machte das keinerlei Probleme. Nun müssen aber Geräte ans Netz, die nichts mit TAP anzufangen wissen, Daher sollen diese sich über einen TUN-Device verbinden.

Ich habe eine zweite Konfiguration erstellt, so dass der OpenVPN-Server sowohl einen Ethernet- als auch einen IP-Tunnel aufbauen kann. Aber der Reihe nach – erst die Umgebung:

Windows 10
192.168.70.205/24
IP-Forwarding aktiviert

Router UTM-Firewall von Securepoint (Standardgateway)
192.168.70.254
UDP 1194 (für den Ethernet-Tunnel) auf 192.168.70.205 weitergeleitet.
UDP 1195 (für den IP-Tunnel) ebenfalls auf 192.168.70.205 weitergeleitet.

Der Ethernet-Tunnel macht weiterhin keine Probleme, so dass ich nur die Konfiguration für den IP-Tunnel beschreibe.

Für jede Konfiguration wird ein Extra-Device verwendet:

Image

Server:
Code:
# OpenVPN soll in den Kofigurationsordner wechseln.
cd "C:/Program Files/OpenVPN/config/"

# Verwendetes Device für den Tunnel.
dev tun
dev-node OpenVPN-TUN1

# Port und Protokoll
port 1195
proto udp

# Paketgrößen
tun-mtu 1500
fragment 1300
mssfix

#Server
mode server
server 10.0.0.0 255.255.255.0

# Client neue Route zuweisen.
push "route 192.168.70.0"

# Für später vielleicht.
# Wenn aktiv, dann können die Clients problemlos miteinander.
# client-to-client

keepalive 10 60

# Zum merken der IP-Nummern
ifconfig-pool-persist ipp-ip.txt

# Nur unter Windows
push "dhcp-option DOMAIN isential.local"
push "dhcp-option DNS 192.168.70.203"
push "dhcp-option WINS 192.168.70.203"

# Aut.-Server
tls-server
# Später
# crl-verify crls/crl.pem
auth SHA1

# Diffie-Hellman-Parameter
dh dh2048.pem

# Verschlüsselungsmethode
cipher AES-256-CBC

#Zertifikate
ca certs/ca.crt
cert certs/openvpn.isential.local.crt
key private/openvpn.isential.local.key

# Kompression einschalten.
comp-lzo yes

# Debug-Level
verb 3


Client:
Code:
# OpenVPN soll in das Kofigurationsverzeichnis wechseln.
cd "C:/Program Files/OpenVPN/config/"

# IP des Gateways (OpenVPN-Server)
remote meineip.tld

# Device für IP-Tunnel
dev tun

# Port und Protokoll
# Remote-Port 1195, da 1194 bereits vom Ehernet-Tunnel verwendet wird.
rport 1195
lport 1194
proto udp

# Paketgrößen
tun-mtu 1500
fragment 1300
mssfix

# Client
pull

# Auth.-Client
tls-client
auth SHA1

# Verschlüsselungsmethode
cipher AES-256-CBC

#Zertifikat
pkcs12 certs/RKK-Nitro.isential.local.p12

# Kompression einschalten.
comp-lzo yes

# Debug-Level
verb 3

Router (UTM Firewall): Die dieser im Netz als Standardgateway angegeben ist, habe ich eine statische Route erstellt, die den gesamten Datenverkehr Richtung Transfernetzwerk 10.0.0.0/24 an den OpenVPN-Server (192.168.70.205) weiterleitet:

Image

Alle Firewalls sind abgeschaltet.

Nun kann ich vom Client aus eine Verbindung zu OpenVPN-Server herstellen, erreiche ich aber auf IP-Ebene weder das hinter dem Server liegende LAN, noch den VPN-Server selbst (kein Ping).

Hier die Routingtabellen:

Server:
Code:
C:\Users\Administrator>netstat -rn
===========================================================================
Schnittstellenliste
  4...00 ff ff f0 ee 82 ......Microsoft Network Adapter Multiplexor Driver
 15...00 ff bd e4 bc b7 ......TAP-Windows Adapter V9 #3
  1...........................Software Loopback Interface 1
 10...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0   192.168.70.254   192.168.70.205    261
         10.0.0.0    255.255.255.0         10.0.0.2   192.168.70.205      6
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
     192.168.70.0    255.255.255.0   Auf Verbindung    192.168.70.205    261
   192.168.70.205  255.255.255.255   Auf Verbindung    192.168.70.205    261
   192.168.70.255  255.255.255.255   Auf Verbindung    192.168.70.205    261
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.70.205    261
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.70.205    261
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0   192.168.70.254  Standard
          0.0.0.0          0.0.0.0   192.168.70.254  Standard
===========================================================================

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    306 ::1/128                  Auf Verbindung
  4    261 fe80::/64                Auf Verbindung
  4    261 fe80::cc70:107:1447:a7a7/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
  4    261 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine


Client:
Code:
C:\WINDOWS\system32>netstat -rn
===========================================================================
Schnittstellenliste
  3...20 6a 8a de 73 56 ......Realtek PCIe GBE Family Controller #2
 31...20 6a 8a de 73 56 ......Hyper-V Virtual Ethernet Adapter
  7...00 ff a7 e0 a8 84 ......Hyper-V Virtual Ethernet Adapter #2
 29...00 ff 2a f9 bf 25 ......Hyper-V Virtual Ethernet Adapter #3
 45...00 ff 3c 8a f4 a5 ......Hyper-V Virtual Ethernet Adapter #4
 42...00 ff 40 02 72 78 ......Hyper-V Virtual Ethernet Adapter #5
 30...00 ff 57 d6 e9 24 ......Hyper-V Virtual Ethernet Adapter #6
 47...00 15 5d 46 01 00 ......Hyper-V Virtual Ethernet Adapter #8
 20...5e 93 a2 f2 f3 5b ......Von Microsoft gehosteter, virtueller Netzwerkadapter
 18...1e 93 a2 f2 f3 5b ......Virtueller Microsoft-Adapter für direktes WiFi
 16...00 ff 3c 1e c3 8b ......TAP-Windows Adapter V9
 14...5c 93 a2 f2 f3 5b ......Hyper-V Virtual Ethernet Adapter #7
 40...00 ff d3 0c d9 03 ......TAP-Windows Adapter V9 #2
 41...00 ff d8 c0 37 8b ......TAP-Windows Adapter V9 #3
 35...00 ff be 3d 01 12 ......TAP-Windows Adapter V9 #4
 25...00 ff 7c 8e aa 8d ......TAP-Windows Adapter V9 #5
 19...00 ff 59 c6 fb 8e ......TAP-Windows Adapter V9 #6
 13...5c 93 a2 f3 13 63 ......Bluetooth PAN HelpText
  1...........................Software Loopback Interface 1
 44...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 34...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #8
 43...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #9
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0   192.168.72.254    192.168.72.32     35
         10.0.0.1  255.255.255.255         10.0.0.5         10.0.0.6     35
         10.0.0.4  255.255.255.252   Auf Verbindung          10.0.0.6    291
         10.0.0.6  255.255.255.255   Auf Verbindung          10.0.0.6    291
         10.0.0.7  255.255.255.255   Auf Verbindung          10.0.0.6    291
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      169.254.0.0      255.255.0.0   Auf Verbindung   169.254.242.162    271
  169.254.242.162  255.255.255.255   Auf Verbindung   169.254.242.162    271
  169.254.255.255  255.255.255.255   Auf Verbindung   169.254.242.162    271
     192.168.70.0  255.255.255.255         10.0.0.5         10.0.0.6     35
     192.168.72.0    255.255.255.0   Auf Verbindung     192.168.72.32    291
    192.168.72.32  255.255.255.255   Auf Verbindung     192.168.72.32    291
   192.168.72.255  255.255.255.255   Auf Verbindung     192.168.72.32    291
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung          10.0.0.6    291
        224.0.0.0        240.0.0.0   Auf Verbindung   169.254.242.162    271
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.72.32    291
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung          10.0.0.6    291
  255.255.255.255  255.255.255.255   Auf Verbindung   169.254.242.162    271
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.72.32    291
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    331 ::1/128                  Auf Verbindung
 16    291 fe80::/64                Auf Verbindung
 47    271 fe80::/64                Auf Verbindung
 14    291 fe80::/64                Auf Verbindung
 16    291 fe80::567:eb56:43ba:fb0a/128
                                    Auf Verbindung
 14    291 fe80::644f:6c1e:4790:b574/128
                                    Auf Verbindung
 47    271 fe80::c536:3db0:ccd3:f2a2/128
                                    Auf Verbindung
  1    331 ff00::/8                 Auf Verbindung
 16    291 ff00::/8                 Auf Verbindung
 47    271 ff00::/8                 Auf Verbindung
 14    291 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine


Was vergesse bzw. übersehe ich, dass der Client das hinter dem OpenVPN-Server stehende LAN nicht erreicht?

Im voraus schönen Dank!

René


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Client verbindet, kein Zugriff auf das LAN dahinter
PostPosted: 04.04.2017 06:36 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2185
Hallo,
du hast von bridged auf routed umgestellt.
Übersehen ? - prüfe einfach alle Routen von und zu den Endgeräten.

Wird schon eines der "üblichen" Routingprobleme sein.
Du musst schon gucken, welches Interface die Päckles sendet :)


F.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Client verbindet, kein Zugriff auf das LAN dahinter
PostPosted: 04.04.2017 09:27 
Tripple-DES
Tripple-DES

Joined: 30.12.2014 06:26
Posts: 10
Moin!

Erst vielen Dank! Übersehen habe ich das nicht: Es laufen zwei OpenVPN-Instanzen: Eine, die weiterhin bridged und eine zweite, die routed macht. Insofern ist das keine Umstellung, sondern eine Erweiterung.

Ein Client nutzt nur eines der beiden Verfahren, jedoch nie beide gleichzeitig. Die Clients bekommen alle Infos vom Server gepushed, so dass sie nicht irgendwie Überreste einer früheren Einwahl haben.

Allerdings bin ich mir relativ sicher, dass der Fehler serververseitig vorliegt. Hier die Routen auf dem Server vor und nach dem Start der OpenVPN-Routed-Instanz. Man sieht, dass die Route auf das Netz "10.0.0.0" hinzukommt. Dabei zu beachten:

192.168.70.205 ist die Brücke des OpenVPN-Servers (Ethernet 2), die aus der Netzwerkkarte und den zwei Devices "OpenVPN" (TAP-Windows Adapter V9) und "OpenVPN-TUN1" (TAP-Windows Adapter V9 #2) – sieht man auch in meiner Abbildung im Eingangsposting.

Vor dem Start der OpenVPN-Routed-Instanz.:
Code:
C:\Users\Administrator>netstat -rn
===========================================================================
Schnittstellenliste
  4...00 ff ff f0 ee 82 ......Microsoft Network Adapter Multiplexor Driver
 15...00 ff bd e4 bc b7 ......TAP-Windows Adapter V9 #3
  1...........................Software Loopback Interface 1
 10...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0   192.168.70.254   192.168.70.205    261
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
     192.168.70.0    255.255.255.0   Auf Verbindung    192.168.70.205    261
   192.168.70.205  255.255.255.255   Auf Verbindung    192.168.70.205    261
   192.168.70.255  255.255.255.255   Auf Verbindung    192.168.70.205    261
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.70.205    261
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.70.205    261
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0   192.168.70.254  Standard
          0.0.0.0          0.0.0.0   192.168.70.254  Standard
===========================================================================

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    306 ::1/128                  Auf Verbindung
  4    261 fe80::/64                Auf Verbindung
  4    261 fe80::cc70:107:1447:a7a7/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
  4    261 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

nach dem Start der OpenVPN-Routed-Instanz.:
Code:
C:\Users\Administrator>netstat -rn
===========================================================================
Schnittstellenliste
  4...00 ff ff f0 ee 82 ......Microsoft Network Adapter Multiplexor Driver
 15...00 ff bd e4 bc b7 ......TAP-Windows Adapter V9 #3
  1...........................Software Loopback Interface 1
 10...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0   192.168.70.254   192.168.70.205    261
         10.0.0.0    255.255.255.0         10.0.0.2   192.168.70.205      6
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
     192.168.70.0    255.255.255.0   Auf Verbindung    192.168.70.205    261
   192.168.70.205  255.255.255.255   Auf Verbindung    192.168.70.205    261
   192.168.70.255  255.255.255.255   Auf Verbindung    192.168.70.205    261
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.70.205    261
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.70.205    261
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0   192.168.70.254  Standard
          0.0.0.0          0.0.0.0   192.168.70.254  Standard
===========================================================================

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    306 ::1/128                  Auf Verbindung
  4    261 fe80::/64                Auf Verbindung
  4    261 fe80::cc70:107:1447:a7a7/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
  4    261 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

Nun sollte z. B. ein tracert auf das 10ner-Netzwerk zunächst via Default-Gateway zum Router gehen (192.168.70.254) und per statisch Route auf diesem zum OpenVPN-Server (92.168.70.205). So sieht es aus:
Code:
C:\Users\rkk>tracert 10.0.0.2

Routenverfolgung zu 10.0.0.2 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  192.168.70.254
  2     1 ms    <1 ms    <1 ms  OPENVPN [192.168.70.205]
  3     *        1 ms    <1 ms  192.168.70.254
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     2 ms     *        *     192.168.70.254
  6     *        *        *     Zeitüberschreitung der Anforderung.
  7     *        *        *     Zeitüberschreitung der Anforderung.

Also die ersten zwei wie erwartet, aber dann prallt das ganze zum Router (Standargatway) wieder zurück, als ob das 10ner-Netz nicht existieren würde.
Code:
C:\Users\Administrator>ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : OpenVPN
   Primäres DNS-Suffix . . . . . . . : isential.local
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Ja
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : isential.local

Ethernet-Adapter Ethernet 2:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft Network Adapter Multiplexor Driver
   Physische Adresse . . . . . . . . : 00-FF-FF-F0-EE-82
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::cc70:107:1447:a7a7%4(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.70.205(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.70.254
   DHCPv6-IAID . . . . . . . . . . . : 218169343
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-6F-B2-70-00-FF-FF-F0-EE-82
   DNS-Server  . . . . . . . . . . . : 192.168.70.203
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter Ethernet 3:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9 #3
   Physische Adresse . . . . . . . . : 00-FF-BD-E4-BC-B7
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{1F7D2A87-F489-43FF-BC7D-B15C821E2B44}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft ISATAP Adapter
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Nun hätte ich erwartet, irgendwas vom 10ner-Netz zu sehen, bis auf die Route bleibt es aber verborgen.

Nun drehe ich mich im Kreis und brauche fremde Hilfe.

Nochmals vielen Dank!

René


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Client verbindet, kein Zugriff auf das LAN dahinter
PostPosted: 04.04.2017 09:46 
Tripple-DES
Tripple-DES

Joined: 30.12.2014 06:26
Posts: 10
Kurz noch die Ausgabe von OpenVPN nach dem Start der "Routed-Instanz":
Code:
Microsoft Windows [Version 10.0.10586]
(c) 2015 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Program Files\OpenVPN\bin>openvpn.exe --config "c:\Program Files\OpenVPN\config\temp\ip.ovpn"
Tue Apr 04 10:33:35 2017 OpenVPN 2.3.12 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 23 2016
Tue Apr 04 10:33:35 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Tue Apr 04 10:33:35 2017 library versions: OpenSSL 1.0.1t  3 May 2016, LZO 2.09
Tue Apr 04 10:33:35 2017 Diffie-Hellman initialized with 2048 bit key
Tue Apr 04 10:33:36 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Apr 04 10:33:36 2017 ROUTE_GATEWAY 192.168.70.254/255.255.255.0 I=4 HWADDR=00:ff:ff:f0:ee:82
Tue Apr 04 10:33:36 2017 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Apr 04 10:33:36 2017 open_tun, tt->ipv6=0
Tue Apr 04 10:33:36 2017 TAP-WIN32 device [OpenVPN-TUN1] opened: \\.\Global\{D70E65C8-5789-4987-A994-8DB92FA41850}.tap
Tue Apr 04 10:33:36 2017 TAP-Windows Driver Version 9.21
Tue Apr 04 10:33:36 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.0.0.1/255.255.255.252 on interface {D70E65C8-5789-4987-A994-8DB92FA41850} [DHCP-serv: 10.0.0.2, lease-time: 31536000]
Tue Apr 04 10:33:36 2017 Sleeping for 10 seconds...
Tue Apr 04 10:33:46 2017 NOTE: FlushIpNetTable failed on interface [18] {D70E65C8-5789-4987-A994-8DB92FA41850} (status=1168) : Element nicht gefunden.
Tue Apr 04 10:33:46 2017 C:\WINDOWS\system32\route.exe ADD 10.0.0.0 MASK 255.255.255.0 10.0.0.2
Tue Apr 04 10:33:46 2017 Warning: route gateway is not reachable on any active network adapters: 10.0.0.2
Tue Apr 04 10:33:46 2017 Route addition via IPAPI failed [adaptive]
Tue Apr 04 10:33:46 2017 Route addition fallback to route.exe
Tue Apr 04 10:33:46 2017 env_block: add PATH=C:\WINDOWS\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Tue Apr 04 10:33:46 2017 UDPv4 link local (bound): [undef]
Tue Apr 04 10:33:46 2017 UDPv4 link remote: [undef]
Tue Apr 04 10:33:46 2017 MULTI: multi_init called, r=256 v=256
Tue Apr 04 10:33:46 2017 IFCONFIG POOL: base=10.0.0.4 size=62, ipv6=0
Tue Apr 04 10:33:46 2017 ifconfig_pool_read(), in='RKK-Nitro.isential.local,10.0.0.4', TODO: IPv6
Tue Apr 04 10:33:46 2017 succeeded -> ifconfig_pool_set()
Tue Apr 04 10:33:46 2017 ifconfig_pool_read(), in='rkk-android-lenovo-tab,10.0.0.8', TODO: IPv6
Tue Apr 04 10:33:46 2017 succeeded -> ifconfig_pool_set()
Tue Apr 04 10:33:46 2017 IFCONFIG POOL LIST
Tue Apr 04 10:33:46 2017 RKK-Nitro.isential.local,10.0.0.4
Tue Apr 04 10:33:46 2017 rkk-android-lenovo-tab,10.0.0.8
Tue Apr 04 10:33:46 2017 Initialization Sequence Completed

Edit

Sehe ich gerade folgende Zeile:

Warning: route gateway is not reachable on any active network adapters: 10.0.0.2


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Client verbindet, kein Zugriff auf das LAN dahinter
PostPosted: 04.04.2017 10:18 
Tripple-DES
Tripple-DES

Joined: 30.12.2014 06:26
Posts: 10
Auf die Gefahr hin, Selbstgespräche zu führen...

Ich glaube (hoffe ich) den ersten Fehler gefunden zu haben: Ich gehe davon aus, dass der Adapter "OpenVPN-TUN1" nicht überbrückt werden darf – schließlich routen wir in diesem Modus zwischen Netzen.

Nun sieht mein tracert besser aus (prallt nicht mehr ab):
Code:
tracert 10.0.0.2

Routenverfolgung zu 10.0.0.2 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  192.168.70.254
  2     1 ms    <1 ms     1 ms  OPENVPN [192.168.70.205]
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.
  5     *        *        *     Zeitüberschreitung der Anforderung.

Die Brücke habe ich aus reiner Gewohnheit und unüberlegt gemacht, da ich bisher nur den Bridged-Modus verwendet hatte. Ich teste mit den neuen Erkenntnissen weiter und berichte dann darüber.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Client verbindet, kein Zugriff auf das LAN dahinter
PostPosted: 04.04.2017 10:36 
Tripple-DES
Tripple-DES

Joined: 30.12.2014 06:26
Posts: 10
Führe mein Selbstgespräch fort.

Nun erreiche ich vom Client aus den OpenVPN-Server über das 10ner-Netz. Was ich aber nicht verstehe, ist die Tatsache, dass die Pakete an das hinter dem OpenVPN-Server stehende LAN trotz Route (siehe weiter unten: 192.168.70.0 255.255.255.255 10.0.0.5 10.0.0.6 35) über den Standardgateway des Client (Frittz!Box, 192.168.72.254) und dann raus ins Internet auf Nimmerwiedersehen gehen. Ich hätte erwartet, dass diese über den Gateway "10.0.0.5" rausgehen.

Code:
 35...00 ff be 3d 01 12 ......TAP-Windows Adapter V9 #4
 25...00 ff 7c 8e aa 8d ......TAP-Windows Adapter V9 #5
 19...00 ff 59 c6 fb 8e ......TAP-Windows Adapter V9 #6
 13...5c 93 a2 f3 13 63 ......Bluetooth PAN HelpText
  1...........................Software Loopback Interface 1
 44...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 34...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #8
 43...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #9
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0   192.168.72.254    192.168.72.32     35
         10.0.0.1  255.255.255.255         10.0.0.5         10.0.0.6     35
         10.0.0.4  255.255.255.252   Auf Verbindung          10.0.0.6    291
         10.0.0.6  255.255.255.255   Auf Verbindung          10.0.0.6    291
         10.0.0.7  255.255.255.255   Auf Verbindung          10.0.0.6    291
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      169.254.0.0      255.255.0.0   Auf Verbindung   169.254.242.162    271
  169.254.242.162  255.255.255.255   Auf Verbindung   169.254.242.162    271
  169.254.255.255  255.255.255.255   Auf Verbindung   169.254.242.162    271
     192.168.70.0  255.255.255.255         10.0.0.5         10.0.0.6     35
     192.168.72.0    255.255.255.0   Auf Verbindung     192.168.72.32    291
    192.168.72.32  255.255.255.255   Auf Verbindung     192.168.72.32    291
   192.168.72.255  255.255.255.255   Auf Verbindung     192.168.72.32    291
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung   169.254.242.162    271
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.72.32    291
        224.0.0.0        240.0.0.0   Auf Verbindung          10.0.0.6    291
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung   169.254.242.162    271
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.72.32    291
  255.255.255.255  255.255.255.255   Auf Verbindung          10.0.0.6    291
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
  1    331 ::1/128                  Auf Verbindung
 47    271 fe80::/64                Auf Verbindung
 14    291 fe80::/64                Auf Verbindung
 16    291 fe80::/64                Auf Verbindung
 16    291 fe80::567:eb56:43ba:fb0a/128
                                    Auf Verbindung
 14    291 fe80::644f:6c1e:4790:b574/128
                                    Auf Verbindung
 47    271 fe80::c536:3db0:ccd3:f2a2/128
                                    Auf Verbindung
  1    331 ff00::/8                 Auf Verbindung
 47    271 ff00::/8                 Auf Verbindung
 14    291 ff00::/8                 Auf Verbindung
 16    291 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

C:\Users\rkk>tracert 10.0.0.1

Routenverfolgung zu 10.0.0.1 über maximal 30 Hops

  1    56 ms    52 ms    52 ms  10.0.0.1

Ablaufverfolgung beendet.

C:\Users\rkk>tracert 192.168.70.205

Routenverfolgung zu 192.168.70.205 über maximal 30 Hops

  1     3 ms     2 ms     2 ms  fritz.box [192.168.72.254]
  2    11 ms    11 ms    10 ms  217.0.116.67
  3     *        *        *     Zeitüberschreitung der Anforderung.
  4     *        *        *     Zeitüberschreitung der Anforderung.


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Client verbindet, kein Zugriff auf das LAN dahinter
PostPosted: 04.04.2017 11:10 
Tripple-DES
Tripple-DES

Joined: 30.12.2014 06:26
Posts: 10
Und wieder ein Stückchen weiter: Ich hatte beim "pushen" die Maske vergessen und diese wurde deswegen auf 255.255.255.255 gesetzt – daher keine Zugriff auf den OpenVPN-Server über 192.168.70.205:

Falsch:
Code:
# Client neue Route zuweisen.
push "route 192.168.70.0"

Richtig:
Code:
# Client neue Route zuweisen.
push "route 192.168.70.0 255.255.255.0"

Jetzt kann ich mich endlich um den Zugriff auf das hinter dem OpenVPN-Server liegende Netz kümmern.

Ohmanomann!


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Client verbindet, kein Zugriff auf das LAN dahinter
PostPosted: 04.04.2017 11:35 
Tripple-DES
Tripple-DES

Joined: 30.12.2014 06:26
Posts: 10
OK, wie es aussieht, handelte es sich um diese zwei Fehler (falsche Brücke und fehlende Netzwerkmaske) – der Rest war OK.

Nun muss ich die lokalen Firewalls richtig einstellen und dann erreiche ich alles.

Danke und Grüße

René


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 8 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot], Yahoo [Bot] and 7 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net