PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : openvpn - ping geht nur in eine Richtung



real-challo
11.02.11, 14:26
Hallo !

Habe Probleme mit OpenVPN.

Client verbindet sich erfolgreich. Client kann Server (und andere Server im Server-Netz) anpingen und auch Dienste erreichen. Also aus Client-Sicht alles O.K.

Aber der Server kann den Client nicht anpingen.

Warum ?

derRichard
11.02.11, 14:33
was heisst "geht nicht"?
wo genau geht das paket verloren.

pingst du mit der richtigen absender-adresse?

//richard

muell200
11.02.11, 14:33
Hallo !

Warum ?

ist der client eingeschaltet...? :)

sollen wir raten oder warum gibt du so wenige infos?

firewall ist aus - oder ?

real-challo
11.02.11, 14:45
ich weiss eben nicht was mit dem ping passiert - auf jedenfall gibt es keine Antwort vom Client.

Firewall etc. sind aus.

@derRichard : Was meinst Du mit "Absenderadresse" ? Ich pinge vom vpn-Server - der hat nur eine IP.

Ja, Client ist eingeschaltet - ich kann ja am Client alles machen. Ich kann ja auf alles im Servernetz zugreifen - auch ping geht.
Nur umgekehrt - vom Server(netz) zum Client geht nicht.

Ich habe schon mal ein openvpn mit debian erstellt - funktioniert alles. Nun wollte ich ein anderes (im Prinzip gleiche Einstellungen nur anderes Netz) mit OpenSuSE 11.3 versuchen - und hier geht das nicht.

derRichard
11.02.11, 14:50
hi!

schau halt mal mit "tcpdump -n -i any icmp" genau nach was passiert.
der server hat schon mehrere ips. openvpn vergibt ja intern neue...
wobei es immer auf das setup ankommt...

hth,
//richard

real-challo
11.02.11, 14:57
VPN läuft mit Bridge.

tcpdump zeigt "echo requests" an - aber keine reply's.

Das ist ja was ich nicht verstehe - wieso antwortet der Client nicht ?

Mit dem selben Client in das andere Netz (mit Debian-VPN) funktioniert alles,

ip_forward ist eingeschaltet - muss ich sonst noch etwas aktivieren ?

derRichard
11.02.11, 15:13
hi!

ip_forward hat im bridge-modus nichts zu sagen.
das ist ein ganz anderer layer.

schau jetzt am client nach was dort ankommt.

//richard

craano
11.02.11, 15:13
VPN läuft mit Bridge.

tcpdump zeigt "echo requests" an - aber keine reply's.

Das ist ja was ich nicht verstehe - wieso antwortet der Client nicht ?

Mit dem selben Client in das andere Netz (mit Debian-VPN) funktioniert alles,

ip_forward ist eingeschaltet - muss ich sonst noch etwas aktivieren ?

Pingst Du denn auch auf die richtige Addresse, die dem tap/tun Device zugeordnet wurde, am Client?

real-challo
11.02.11, 15:36
So, habe auf dem Client (Windows XP) wireshark installiert.

Die requests kommen anscheinend an (IP des Servers -> IP des Clients werden angezeigt)

Aber der Client schickt kein reply zurück ???

Wenn ich vom Client aus ein ping mache, dann sehe ich die requests UND die replys.

derRichard
11.02.11, 15:44
ich tippe auf firewall.
kannst du vom server aus tcp-verbindungen aufmachen?

//richard

real-challo
11.02.11, 15:57
Also : Die Windows-Firewall war nicht aktiv, da Kaspersky Internet-Security installiert war.

Da die Testzeit von kaspersky abgelaufen war, war sie nicht aktiv (in den Diensten nicht gestartet) - lief auch nicht.

Habe Kaspersky nun trotzdem mal deinstalliert - rebootet - die Windows eigene Firewall wurde wieder aktiviert.

Also habe ich die Windows Firewall auch ausgeschaltet - jetzt geht der Ping.

Fragt sich nur : Warum hat Kaspersky (der ja eigentlich nicht lief !) das eine Netz (VPN mit Debian) "akzeptiert" und das andere (VPN mit SuSE) nicht. Der Unterschied war nur, BEVOR ich Kaspersky installiert hatte, hatte ich schon (irgendwann früher) eine VPN-Verbindung zum 1. Netz (VPN mit Debian) hergestellt hatte. Das muss er sich gemerkt haben - erklärt aber immer noch nicht, warum Kaspersky etwas tut, obwohl er nicht gestartet ist ???

Danke für eure Hilfe.