openvpn: clients können nicht zugriefen

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
theomega
Userprojekt
Userprojekt
Posts: 704
Joined: 2003-01-27 14:36

openvpn: clients können nicht zugriefen

Post by theomega » 2005-05-29 23:21

Hallo Leute,
folgende Situation:
openvpn server auf einem rootserver
client1 auf einem zweiten rootserver
client2 auf meinem Windows-Rechner
das vpn wird problemlos aufgebaut und folgende pings sind möglich:

client1 an server
client2 an server
server an client1
server an client2

was jedoch nicht geht sind jegliche pings zwischen den beiden clients. Die IP's die ich verwende sind sicher richtig, jedoch schlägt jeder ping zwischen den beiden fehl. Ist das normal so? Oder ist das ein Konfigruation fehler? Auf jeden fall will ich das nicht, wie bekomm ich das weg?

Danke
TO

toberkel
Posts: 86
Joined: 2004-07-16 17:22
Location: Hamburg

Re: openvpn: clients können nicht zugriefen

Post by toberkel » 2005-05-30 08:21

naja, bei openvpn ist es so, das der server dann routen können muss. du musst dem openvpn server dann sagen das er in dem openvpn netz routen soll. ich weiss aber nicht inwieweit es da probleme geben kann!

also lieber vorher checken...

toberkel

theomega
Userprojekt
Userprojekt
Posts: 704
Joined: 2003-01-27 14:36

Re: openvpn: clients können nicht zugriefen

Post by theomega » 2005-05-30 11:57

oki, danke für den Hinweis, aber wie muß ich richtig routen? Wenn ich das richtig sehe muß das ja auf den clients und nicht auf dem server passieren. Auf den clientes sagt "route" folgendes:

Code: Select all

[serverip]       [clientip]       255.255.255.255 UGH   0      0        0 tun0
[clientip]       *               255.255.255.255 UH    0      0        0 tun0
Was muß ich als route hinzufügen?

Danke
TO

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: openvpn: clients können nicht zugriefen

Post by captaincrunch » 2005-05-30 12:10

Um einmal mehr meinen Boss zu zitieren:

"Malen Sie mir doch bitte mal ein Bild, das ist mir zu hoch"... ;)

Mal ernsthaft. woher sollen wir deine Struktur kennen?!?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

theomega
Userprojekt
Userprojekt
Posts: 704
Joined: 2003-01-27 14:36

Re: openvpn: clients können nicht zugriefen

Post by theomega » 2005-05-30 12:20

Oki, dann ausfürhlicher, ich dachte das sei ein allgemeines Problem:

1. Rootserver
- OpenVPN-Server
- Einstellung für Clientips: "server 10.1.20.0 255.255.255.0"
- Erhält automatisch die VPN-IP 10.1.20.1
- im tun-mode (KEIN bridgin)
- Real-IP: 213.239.217.207
- "route":

Code: Select all

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.20.2       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
213.239.217.192 0.0.0.0         255.255.255.224 U     0      0        0 eth0
10.1.20.0       10.1.20.2       255.255.255.0   UG    0      0        0 tun0
0.0.0.0         213.239.217.193 0.0.0.0         UG    0      0        0 eth0
2. Rootserver
- OpenVPN-Client
- Erhält IP aus dem VPN-IP-Raum, als Beispiel hier 10.1.20.10
- Real-IP: 85.10.192.207
- "route":

Code: Select all

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
10.1.20.1       10.1.20.9       255.255.255.255 UGH   0      0        0 tun0
10.1.20.9       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
85.10.192.192   0.0.0.0         255.255.255.224 U     0      0        0 eth0
0.0.0.0         85.10.192.193   0.0.0.0         UG    0      0        0 eth0
Windows-Client:
- OpenVPN-Client
- Erhält IP aus dem VPN-IP-Raum, als Beispiel hier 10.1.20.6
- Real-IP: 84.57.131.119

Was geht:
- Ping vom VPN-Server an die beiden VPN-Clients über deren VPN-IP's
- Ping von den VPN-Clients an den VPN-Server über dessen VPN-IP (10.1.20.1)

Was nicht geht:
- Ping von den VPN-Clients an den anderen Client über dessen VPN-IP

Waren das jetzt genug infos oder fehlt noch etwas?

Danke auf jeden fall
TO

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: openvpn: clients können nicht zugriefen

Post by captaincrunch » 2005-05-30 12:52

IP-Forwarding aktiviert?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

theomega
Userprojekt
Userprojekt
Posts: 704
Joined: 2003-01-27 14:36

Re: openvpn: clients können nicht zugriefen

Post by theomega » 2005-05-30 12:53

hm, gute frage, wie stell ich das fest?
auf allen Clients und auf dem Server ist das FORWARD-Chain von iptables leer, falls das darüber auskunft gibt.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: openvpn: clients können nicht zugriefen

Post by captaincrunch » 2005-05-30 12:58

Code: Select all

cat /proc/sys/net/ipv4/ip_forward
Sollte der Wert "0" dabei rumkommen, ist IP-Forwadring zwischen den NICs deaktiviert, d.h., du musst das zunächst erlauben.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

theomega
Userprojekt
Userprojekt
Posts: 704
Joined: 2003-01-27 14:36

Re: openvpn: clients können nicht zugriefen

Post by theomega » 2005-05-30 13:02

hm, danke für den tipp, also auf dem server kommt 0 raus und auf dem linux-client auch. Auf dem Windows-Client kann ich das natürlich nicht so einfach feststellen. Wo aktivier ich das jetzt, auf server oder auf den clients? Und wie? einfach mit einem "echo 1 > /proc/sys/net/ipv4/ip_forward" ?
Gruß und Danke
TO

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: openvpn: clients können nicht zugriefen

Post by captaincrunch » 2005-05-30 13:06

Ja, aber letztendlich brauchst du diese Einstellung (normalerweise) nur auf dem Server.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

theomega
Userprojekt
Userprojekt
Posts: 704
Joined: 2003-01-27 14:36

Re: openvpn: clients können nicht zugriefen

Post by theomega » 2005-05-30 13:14

Danke für den Tip, hat nur leider nichts gebracht. Ich habe erst ein
"echo 1 > /proc/sys/net/ipv4/ip_forward" gemacht und dann den VPN-Server und alle VPN-Clients neugestartet (natürlich nur die Software). Ã?ndert an der Situation leider garnichts. Könnte es nicht sein das die routes nicht passen, die kommen mir irgendwie komisch vor, leider muß ich zugeben das ich mich mit der routingfunktion nicht sonderlich gut auskenne.

Danke
TO

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: openvpn: clients können nicht zugriefen

Post by captaincrunch » 2005-05-30 13:25

Laufen die tun-NICs im point-to-point-mode?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

theomega
Userprojekt
Userprojekt
Posts: 704
Joined: 2003-01-27 14:36

Re: openvpn: clients können nicht zugriefen

Post by theomega » 2005-05-30 13:55

hm, keine Ahnung, wie stell ich das fest? Ist das den wirklich ein NIC-Problem? Weil eigentlich weiß die NIC ja garnichts von der VPN-Sache, die wird ja durch einen Port getunnelt oder seh ich das falsch?!?!

Danke
TO

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: openvpn: clients können nicht zugriefen

Post by captaincrunch » 2005-05-30 14:04

So weit ich das sehe, hängt das Problem aktuell noch zum größten Teil am ganz komischen Routing zwischen den einzelnen Kisten. Daher auch die Frage nach dem point-to-point.

Wo kommt denn z.B. folgende Route (bzw. das hervorgehobene Gateway) her:
10.1.20.0 10.1.20.2 255.255.255.0 UG 0 0 0 tun0
Anscheinend kommen wir nicht umhin, uns mal die "up"-Scripte, in denen das Routing festgelegt sind mal zu überfliegen...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

theomega
Userprojekt
Userprojekt
Posts: 704
Joined: 2003-01-27 14:36

Re: openvpn: clients können nicht zugriefen

Post by theomega » 2005-05-30 14:20

hm,sorry, ich habe mal wieder den üblichen fehler begannen und die config-datei nicht bis zum ende gelsen. Unterhalb der tausend auskommentierten Beispiele waren noch ein Paar wichtige Optionen unter anderem "client-to-client" was man einfach einkommentieren mußte und dann funzt es problemlos. Danke für deine Hilfe

Gruß
TO