openvpn: clients können nicht zugriefen

[theomega]

Hallo Leute,
folgende Situation:
openvpn server auf einem rootserver
client1 auf einem zweiten rootserver
client2 auf meinem Windows-Rechner
das vpn wird problemlos aufgebaut und folgende pings sind möglich:

client1 an server
client2 an server
server an client1
server an client2

was jedoch nicht geht sind jegliche pings zwischen den beiden clients. Die IP's die ich verwende sind sicher richtig, jedoch schlägt jeder ping zwischen den beiden fehl. Ist das normal so? Oder ist das ein Konfigruation fehler? Auf jeden fall will ich das nicht, wie bekomm ich das weg?

Danke
TO

[toberkel]

naja, bei openvpn ist es so, das der server dann routen können muss. du musst dem openvpn server dann sagen das er in dem openvpn netz routen soll. ich weiss aber nicht inwieweit es da probleme geben kann!

also lieber vorher checken...

toberkel

[theomega]

oki, danke für den Hinweis, aber wie muß ich richtig routen? Wenn ich das richtig sehe muß das ja auf den clients und nicht auf dem server passieren. Auf den clientes sagt "route" folgendes:

Code: Select all

[serverip]       [clientip]       255.255.255.255 UGH   0      0        0 tun0
[clientip]       *               255.255.255.255 UH    0      0        0 tun0

Was muß ich als route hinzufügen?

Danke
TO

[captaincrunch]

Um einmal mehr meinen Boss zu zitieren:

"Malen Sie mir doch bitte mal ein Bild, das ist mir zu hoch"... ;)

Mal ernsthaft. woher sollen wir deine Struktur kennen?!?

[theomega]

Oki, dann ausfürhlicher, ich dachte das sei ein allgemeines Problem:

1. Rootserver
- OpenVPN-Server
- Einstellung für Clientips: "server 10.1.20.0 255.255.255.0"
- Erhält automatisch die VPN-IP 10.1.20.1
- im tun-mode (KEIN bridgin)
- Real-IP: 213.239.217.207
- "route":

Code: Select all

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.1.20.2       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
213.239.217.192 0.0.0.0         255.255.255.224 U     0      0        0 eth0
10.1.20.0       10.1.20.2       255.255.255.0   UG    0      0        0 tun0
0.0.0.0         213.239.217.193 0.0.0.0         UG    0      0        0 eth0

2. Rootserver
- OpenVPN-Client
- Erhält IP aus dem VPN-IP-Raum, als Beispiel hier 10.1.20.10
- Real-IP: 85.10.192.207
- "route":

Code: Select all

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
10.1.20.1       10.1.20.9       255.255.255.255 UGH   0      0        0 tun0
10.1.20.9       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
85.10.192.192   0.0.0.0         255.255.255.224 U     0      0        0 eth0
0.0.0.0         85.10.192.193   0.0.0.0         UG    0      0        0 eth0

Windows-Client:
- OpenVPN-Client
- Erhält IP aus dem VPN-IP-Raum, als Beispiel hier 10.1.20.6
- Real-IP: 84.57.131.119

Was geht:
- Ping vom VPN-Server an die beiden VPN-Clients über deren VPN-IP's
- Ping von den VPN-Clients an den VPN-Server über dessen VPN-IP (10.1.20.1)

Was nicht geht:
- Ping von den VPN-Clients an den anderen Client über dessen VPN-IP

Waren das jetzt genug infos oder fehlt noch etwas?

Danke auf jeden fall
TO

[captaincrunch]

IP-Forwarding aktiviert?

[theomega]

hm, gute frage, wie stell ich das fest?
auf allen Clients und auf dem Server ist das FORWARD-Chain von iptables leer, falls das darüber auskunft gibt.

[captaincrunch]

Code: Select all

cat /proc/sys/net/ipv4/ip_forward

Sollte der Wert "0" dabei rumkommen, ist IP-Forwadring zwischen den NICs deaktiviert, d.h., du musst das zunächst erlauben.

[theomega]

hm, danke für den tipp, also auf dem server kommt 0 raus und auf dem linux-client auch. Auf dem Windows-Client kann ich das natürlich nicht so einfach feststellen. Wo aktivier ich das jetzt, auf server oder auf den clients? Und wie? einfach mit einem "echo 1 > /proc/sys/net/ipv4/ip_forward" ?
Gruß und Danke
TO

[captaincrunch]

Ja, aber letztendlich brauchst du diese Einstellung (normalerweise) nur auf dem Server.

[theomega]

Danke für den Tip, hat nur leider nichts gebracht. Ich habe erst ein
"echo 1 > /proc/sys/net/ipv4/ip_forward" gemacht und dann den VPN-Server und alle VPN-Clients neugestartet (natürlich nur die Software). Ã?ndert an der Situation leider garnichts. Könnte es nicht sein das die routes nicht passen, die kommen mir irgendwie komisch vor, leider muß ich zugeben das ich mich mit der routingfunktion nicht sonderlich gut auskenne.

Danke
TO

[captaincrunch]

Laufen die tun-NICs im point-to-point-mode?

[theomega]

hm, keine Ahnung, wie stell ich das fest? Ist das den wirklich ein NIC-Problem? Weil eigentlich weiß die NIC ja garnichts von der VPN-Sache, die wird ja durch einen Port getunnelt oder seh ich das falsch?!?!

Danke
TO

[captaincrunch]

So weit ich das sehe, hängt das Problem aktuell noch zum größten Teil am ganz komischen Routing zwischen den einzelnen Kisten. Daher auch die Frage nach dem point-to-point.

Wo kommt denn z.B. folgende Route (bzw. das hervorgehobene Gateway) her:

10.1.20.0 10.1.20.2 255.255.255.0 UG 0 0 0 tun0

Anscheinend kommen wir nicht umhin, uns mal die "up"-Scripte, in denen das Routing festgelegt sind mal zu überfliegen...

[theomega]

hm,sorry, ich habe mal wieder den üblichen fehler begannen und die config-datei nicht bis zum ende gelsen. Unterhalb der tausend auskommentierten Beispiele waren noch ein Paar wichtige Optionen unter anderem "client-to-client" was man einfach einkommentieren mußte und dann funzt es problemlos. Danke für deine Hilfe

Gruß
TO