cdn
Anmeldungsdatum: 10. Dezember 2013
Beiträge: Zähle...
|
Hallo zusammen, ich sitze hier an einem Problem und komme einfach nicht weiter. Setup: Hauptstandort (172.10.10.0) besitzt einen OpenVPN Router der für den IP Adressbereich 10.5.0.0 als Gateway definiert ist. Nebenstandorte(172.10.XX.0) sind via VPN (Cisco RV320) mit dem Router verbunden. OpenVPNServer<–>VPNClientGateway<–>RouterHauptstandort<–>RouterNebenstandort Nun komme ich von den Nebenstandorten nicht bis zum OpenVPNServer. Okay, Routen gecheckt, alle in Ordnung. Firewalls deaktivert, daran liegt es auch nicht. Wenn ich nun aber Masquerading auf dem VPNClientGateway aktivere klappt alles. So dies ist aber keine Lösung da ich auf dem OpenVPNServer definitiv die IPs der Clients benötige. Wenn ich Masquerading von Intern zu OpenVPNServer aktivere, klappt die Verbidnung vom OpenVPNServer zum Client am Nebenstandort und visa versa. Hat hier jemand einen Tipp? Bin mit meinem Latein schon ziemlich am Ende....
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
cdn schrieb: Nun komme ich von den Nebenstandorten nicht bis zum OpenVPNServer. Okay, Routen gecheckt, alle in Ordnung. Firewalls deaktivert, daran liegt es auch nicht. Wenn ich nun aber Masquerading auf dem VPNClientGateway aktivere klappt alles. So dies ist aber keine Lösung da ich auf dem OpenVPNServer definitiv die IPs der Clients benötige.
Dein Problem ist also, dass die Rückroute nicht passt, wenn du die Adressen nicht maskierst. Problemlösung: Setze auf dem OpenVPN-Server eine passende Rückroute. Am besten bootfest 😉
|
cdn
(Themenstarter)
Anmeldungsdatum: 10. Dezember 2013
Beiträge: 21
|
Hmm also auf dem OpenVPN Server ist eine Rückrute eingetragen. Also route 172.10.XX.0 255.255.255.0 sowohl in der server.conf als auch als iroute in der ccd Datei.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
cdn schrieb: Hmm also auf dem OpenVPN Server ist eine Rückrute eingetragen. Also route 172.10.XX.0 255.255.255.0 sowohl in der server.conf als auch als iroute in der ccd Datei.
Und ist die Route aktiv? Zeig mal
ip r s
Mir würde jetzt kein anderes Problem einfallen, welches man mit MASQUERADE erschlagen kann. Ansonsten musst du mal mit traceroute bzw. tcpdump gucken, wo welche Pakete entlang gehen.
|
cdn
(Themenstarter)
Anmeldungsdatum: 10. Dezember 2013
Beiträge: 21
|
Jep ist drin: 172.10.176.0/24 via 10.5.0.2 dev tun0 als Beispiel. Traceroute wurde auch beides schon gemacht. Hängt dann immer am VPNClientGateway.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Gibt es denn dort eine valide Rückroute?
|
cdn
(Themenstarter)
Anmeldungsdatum: 10. Dezember 2013
Beiträge: 21
|
ICh weiß jetzt gerade noch so genau was du meinst? Auf dem OpenVPNServer oder wo? Die Rückroute müsste doch wenn auf den VPNGatewayClient gesetzt werden oder?
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Du brauchst auf allen beteiligten Geräten eine entsprechende Route, es sei denn die Default-Route führt zum Ziel.
|
cdn
(Themenstarter)
Anmeldungsdatum: 10. Dezember 2013
Beiträge: 21
|
Die Routen sind definitv auf allen Geräten vorhanden. Ich bin noch einmal beide Wege abgegangen. Hin als auch Rückroute.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
cdn schrieb: Die Routen sind definitv auf allen Geräten vorhanden. Ich bin noch einmal beide Wege abgegangen. Hin als auch Rückroute.
Du hast geschrieben, dass es immer am VPNClientGateway. Das muss ja einen Grund haben. Guck an der Stelle einfach mal mit tcpdump, wohin welche Pakete gehen. Ist dort eventuell noch eine Firewall-Regel aktiv, die den Traffic unterbindet?
|
cdn
(Themenstarter)
Anmeldungsdatum: 10. Dezember 2013
Beiträge: 21
|
Hmm ja da bekomme ich auf jeden Fall, dass die Pakete reinkommen: 09:58:20.397928 IP 10.5.0.1 > 172.10.176.254: ICMP echo request, id 12254, seq 155, length 64
|
cdn
(Themenstarter)
Anmeldungsdatum: 10. Dezember 2013
Beiträge: 21
|
OK. Es scheint irgendwo an den Cisco Routern zu haken...hmm: IP 172.10.166.254 > 10.5.0.1: ICMP host 172.10.176.100 unreachable, length 92
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
cdn schrieb: IP 172.10.166.254 > 10.5.0.1: ICMP host 172.10.176.100 unreachable, length 92
unreachable deutet auf eine fehlende Route im Router hin. Nutzen die Cisco-Router den Hauptstandort als Default-Gateway? Oder sind die nochmal separat mit dem Internet verbunden?
|
cdn
(Themenstarter)
Anmeldungsdatum: 10. Dezember 2013
Beiträge: 21
|
Sind nochmal separat mit dem Internet verbunden. Also es ist keine default route. Wenn ich aber von einem Client im Hauptnetz einen am Nebenstandort anpinge klappt dies. Auch wenn ich dies direkt vom VPNGateway aus mache...
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
cdn schrieb: Sind nochmal separat mit dem Internet verbunden. Also es ist keine default route.
Ok.
Wenn ich aber von einem Client im Hauptnetz einen am Nebenstandort anpinge klappt dies.
Und umgekehrt? Ich könnte mir vorstellen, dass die Cisco-Router zwar wissen, dass das Netz 172.10.10.0/24 durchs VPN zum Hauptstandort geroutet werden muss, aber keine Route für 10.5.0.0/24 haben. Die Default-Route funktioniert nicht, da diese ja ins Internet geht und private Adressen im Internet nicht geroutet werden können. Daher müsstest du dieses Netz noch mit ins VPN packen. Auf dem Hauptstandort-Router sollte ja schon eine Route für 10.5.0.0/24 eingetragen sein.
|