Hallo Jungs und Mädels.

Ich habe mal wieder ein VPN-Routing Problem. Ich habe einen Root-Server und mehrere Web-Designer-Kollegen. Nun möchte ich ein Samba-Netz einrichten und nur via VPN mit dem Server connecten.

Hier mal die IP-Netze:

Mein privates Netz: 192.168.2.0 255.255.255.0
Webserver: 87.xxx.xxx.xxx 255.255.255.255
IP im VPN-Netz: 10.8.0.0

Der VPN-Tunnel steht. Der Server hat 10.8.0.1 und ich bekomme 10.8.0.102. Jedes Gerät kann SICH SELBST über diese IP pingen. Gegenseitig nicht.

Wie muss ich das Routing aufbauen. Ich verstehe es nicht. Achso: ich benutze das tun-Device.

Hier mal Routing-Tabelle vom Server



Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.255.255.1 * 255.255.255.255 UH 0 0 0 eth0
10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0
loopback * 255.0.0.0 U 0 0 0 lo
default 10.255.255.1 0.0.0.0 UG 0 0 0 eth0


Und hier die Routing-Tabelle vom Client



IPv4-Routentabelle
================================================== =========================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.177 40
10.8.0.100 255.255.255.252 Auf Verbindung 10.8.0.102 286
10.8.0.102 255.255.255.255 Auf Verbindung 10.8.0.102 286
10.8.0.103 255.255.255.255 Auf Verbindung 10.8.0.102 286
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.2.0 255.255.255.0 Auf Verbindung 192.168.2.177 296
192.168.2.177 255.255.255.255 Auf Verbindung 192.168.2.177 296
192.168.2.255 255.255.255.255 Auf Verbindung 192.168.2.177 296
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.2.177 296
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.102 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.2.177 296
255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.102 286
================================================== =========================
Ständige Routen:
Keine


Ich bitte um Hilfe. Danke im Voraus!

Grüße

Hi,

mir ist nicht ganz klar von wo nach wo die Route gehen soll, aber Routen erstellst Du folgendermaßen:


(up /sbin/) route add -net <ip> netmask <subnetzmaske> gw <gateway des netzes wo do hin willst>


regards

Hallo,

danke für die Antwort.

Mein Ziel ist es, dass ich von Lokal (192.168.2.174) auf remote (87.xxx.xxx.xxx) (webserver) via VPN zugreifen kann. Also auf den Samba-Dienst.

VPN-Adressen sind folgende:

Lokal 192.168.2.174 bekommt von VPN 10.8.0.102
Remote 87.xxx.xxx.xxx bekommt von VPN 10.8.0.1

Nun möchte ich gerne von lokal einen ping 10.8.0.1 und
von remote einen ping 10.8.0.102 machen können. Beides funktioniert nicht.

Der VPN-Tunnel steht zwar, aber die beiden PCs (Server und Client) können nicht gescheit kommunizieren...

Hi,

also um von Netz 10.8.0 zu Netz 10.8.0 zu kommen (braucht man keine) hast Du die entspr. Route.


10.8.0.2 * 255.255.255.255 UH 0 0 0 tun0
10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0


Warum genau machst Du Dir eigentlich die Arbeit mit einem VPN um von Windows auf eine SAmba-Freigabe zugreifen zu koennen.

Dienste wie SFTP o.ä. halte ich hier eher fuer angebracht.

ich mag ja nicht von 10.8.0.0 in 10.8.0.0 rein.

Es geht darum, dass der Windows-Client 192.168.2.174 zwar den 10.8.0.102 (sich selbst als VPN) kennt, aber nicht den 10.8.0.1 (VPN-Server)

Warum ich VPN und nicht SFTP nutze hat noch andere Gründe. Es geht hierbei nicht nur um Datentransfer, sondern auch die sichere Administration des Servers. zB WEbmin und Plesk kann ich dann sagen, dass er nur die IP 10.8.0.102 zulassen und alle anderen aussperren soll.

Und es gibt noch weitere Gründe

Also hast Du die Source Windows-Client (192.168.2.174) und Destination VPN-Server(10.8.0.1)?


btw:

Warum ich VPN und nicht SFTP nutze hat noch andere Gründe. Es geht hierbei nicht nur um Datentransfer, sondern auch die sichere Administration des Servers. zB WEbmin und Plesk kann ich dann sagen, dass er nur die IP 10.8.0.102 zulassen und alle anderen aussperren soll.

Webmin und Plesk sind die groessten Sicherheitsluecken... Das ist schon nen, wahrscheinlich unfreiwilliger, Witz.


regards

Genau.

Von Client aus gesehen

ist der Client-PC 192.168.2.174. Nach dem VPN verbinden bekommt der TUN-Adapter 10.8.0.102

die Destination ist von der Client-Seite aus gesehen: 10.8.0.1 (87.xxx.xxx.xxx)

Also Source-Destination = 192.168.2.174 - 87.xxx.xxx.xxx = 10.8.0.102 - 10.8.0.1

Was Webmin und Plesk angeht: Das weis ich, deswegen will ich die nur noch per VPN bedienen und so einstellen, dass sie nur noch den Client (10.8.0.102) reinlassen

hi,

wie sieht denn die server.conf aus (vpn)?



Also Source-Destination = 192.168.2.174 - 87.xxx.xxx.xxx = 10.8.0.102 - 10.8.0.1
-heisst das der Server hat die IP 192.168.2.174 ?

Ein ifconfig Auszug vom Server wäre auch nicht schlecht .

Hi,

also hier am besten nochmal in einer kleinern Tabelle



Rechner IP VPN-Adresse

Server 87.xxx.xxx.xxx 10.8.0.1
Client 192.168.2.174 10.8.0.102


Der Client soll sich mit dem Server verbinden.

Hier die aktuelle server.conf



port 1194
proto udp
mode server

ifconfig 10.8.0.1 10.8.0.2
ifconfig-pool 10.8.0.100 10.8.0.110

push "route 87.xxx.xxx.0 255.255.255.255 [87.xxx.xxx.xxx]"
push "route 10.8.0.0 255.255.255.0 [87.xxx.xxx.xxx]"

dev tun
#client-to-client
tls-server

ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
keepalive 10 60
comp-lzo


und hier die client.conf



port 1194
proto udp
remote xxxxx.org
dev tun
tls-client

comp-lzo
pull
route 10.8.0.0 255.255.255.0 10.8.0.1

ca "C:\\Program Files\\OpenVPN\\config\\xxx\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\xxx\\sascha.crt"
key "C:\\Program Files\\OpenVPN\\config\\xxx\\sascha.key"


Danke

hi,

ein echo 1 > /proc/sys/net/ipv4/ip_forward haste schon durchgeführt? , falls nicht . Ausführen und pingtest nochmal .

Das habe ich schon gemacht. Ist auch aktiviert

hi,

diese Zeilen könnten weg ;


push "route 87.xxx.xxx.0 255.255.255.255 [87.xxx.xxx.xxx]"
push "route 10.8.0.0 255.255.255.0 [87.xxx.xxx.xxx]"


wenn nur ;
push "route 10.8.0.0 255.255.255.0"

evtl. noch ein Eintrag mit rein ;

route 192.168.2.0 255.255.255.0

Edit : Ach ja irgendwelche iptables Regeln vorhanden ?

Edit2 : beim clienten übersehen ;

route 10.8.0.0 255.255.255.0 10.8.0.1
die auch weglassen ... in der server.conf push der schon die route für den clienten ...

IP-Tables und Firewalls sind alle aus.

Hier meine aktuellen Confs und die Connection-Log mit einem Fehler

server.conf



dev tun
proto udp
port 1194
ifconfig 10.8.0.1 10.8.0.2
mode server
tls-server
dh dh1024.pem
ca ca.crt
cert server.crt
key server.key

ifconfig-pool-persist ipp.txt
ifconfig-pool 10.8.0.100 10.8.0.110
route 10.8.0.0 255.255.255.0

push "route 10.8.0.0 255.255.255.0"
comp-lzo
keepalive 10 60


die Client.conf



port 1194
proto udp
dev tun
remote xxx.org

pull

tls-client
comp-lzo

ca "C:\\Program Files\\OpenVPN\\config\\xxx\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\xxx\\sascha.crt"
key "C:\\Program Files\\OpenVPN\\config\\xxx\\sascha.key"



Habe ich die 2 "fetten" Zeilen in den Confs drin, erscheint folgende Fehlermeldung beim Connecten auf der ClientSeite - die Verbindung steht trotzdem. Monitore (openVPN GUI) sind gelb



Mon Dec 08 17:10:31 2008 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Mon Dec 08 17:10:31 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Dec 08 17:10:33 2008 LZO compression initialized
Mon Dec 08 17:10:34 2008 UDPv4 link local (bound): [undef]:1194
Mon Dec 08 17:10:34 2008 UDPv4 link remote: 87.xxx.xxx.xxx:1194
Mon Dec 08 17:10:35 2008 [2LoadServer] Peer Connection Initiated with 87.xxx.xxx.xxx:1194
Mon Dec 08 17:10:36 2008 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{8B4AC7D7-6DBF-4707-93E4-55127D56CE3B}.tap
Mon Dec 08 17:10:36 2008 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.102/255.255.255.252 on interface {8B4AC7D7-6DBF-4707-93E4-55127D56CE3B} [DHCP-serv: 10.8.0.101, lease-time: 31536000]
Mon Dec 08 17:10:36 2008 Successful ARP Flush on interface [17] {8B4AC7D7-6DBF-4707-93E4-55127D56CE3B}
Mon Dec 08 17:10:36 2008 ROUTE: route addition failed using CreateIpForwardEntry: Ein oder mehrere Argumente sind ungültig. [if_index=17]
Mon Dec 08 17:10:36 2008 Initialization Sequence Completed
Mon Dec 08 17:12:16 2008 [Server] Inactivity timeout (--ping-restart), restarting
Mon Dec 08 17:12:16 2008 SIGUSR1[soft,ping-restart] received, process restarting
Mon Dec 08 17:12:18 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Dec 08 17:12:18 2008 LZO compression initialized
Mon Dec 08 17:12:18 2008 UDPv4 link local (bound): [undef]:1194
Mon Dec 08 17:12:18 2008 UDPv4 link remote: 87.xxx.xxx.xxx:1194
Mon Dec 08 17:13:18 2008 [UNDEF] Inactivity timeout (--ping-restart), restarting
Mon Dec 08 17:13:18 2008 SIGUSR1[soft,ping-restart] received, process restarting
Mon Dec 08 17:13:20 2008 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Dec 08 17:13:20 2008 LZO compression initialized
Mon Dec 08 17:13:20 2008 UDPv4 link local (bound): [undef]:1194
Mon Dec 08 17:13:20 2008 UDPv4 link remote: 87.xxx.xxx.xxx:1194

hi,

ist der client evtl. mit Vista als OS?

Ja, Windows Vista. OpenVPN-Gui wurde als Admin gestartet und die UAC-Meldungen erfolgreich akzeptiert.

hi,

laut google sollte wohl das Abhilfe schaffen in der client.conf;

route-method exe
route-delay 2

Hallo,

das hat funktioniert. Der Fehler ist nun weg. Aber trotzdem bin ich im Endeffekt nicht weiter. Verbindung ja, aber kein Ping / Netzwerk etc.

Halt,

eine gute Nachricht. Ich kann jetzt von Client zu Server pingen. Aber nicht von Server zu Client! Wir kommen dem Ziel näher... Dafür erstmal danke!

hi,

firewall vista evtl. ...

Die habe ich ausgeschaltet. Sogar AntiVir. Bin so offen...

ok ,

und wie ist der client ans Netz angebunden evtl. Router?

Ja. Router-IP 192.168.2.1

hi,

wenn du magst ersetze mal die Zeile in der server.conf :


ifconfig 10.8.0.1 10.8.0.2

mit
server 10.8.0.0 255.255.255.0

(zum austesten ...)

ok, das werde ich machen. Allerdings erst morgen.

Danke für die Hilfe und gute Nacht!