Bei bestehender VPN-Verbindung kein LAN Zugriff mehr!?

[Logic1993]

Hallo,
ich versuche bisher leider vergeblich eine Verbindung im Heimnetz zwischen meiner Dreambox und meinem NAS herzustellen. Solange die Dreambox nicht über OpenVPN verbunden ist, funktioniert dies auch einwandfrei. Ist auf der Dreambox allerdings eine OpenVPN Client Verbindung aktiv, ist der NAS (im Subnetz) für die Dreambox nicht mehr zu erreichen (getestet mit ping).
Meine Netzwerkkonfiguration ist wie folgt:

192.168.178.35 <--> 192.168.178.1(FritzBox) <--> 192.168.178.2/192.168.1.1(TP-link) <--> 192.168.1.126 (NAS)

Die beiden Router sind mittels statischer Routen miteinander verbunden:
Eintrag Fritzbox:

Netzwerk:192.168.1.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.2

Eintrag TP-link:

Netzwerk: 192.168.178.0
Subnetzmaske: 255.255.255.0
Gateway: 192.168.178.1

Weiter habe ich festgestellt, dass bei bestehender VPN-Verbindung nur noch Hosts im Netz: 192.168.178.xxx erreicht werden können. Zu sämtlichen Hosts im Subnetz 192.168.1.xxx besteht nur Verbindung wenn keine VPN-Verbindung besteht.
Ich vermute, dass die IP-Pakte mit Zieladresse 192.168.1.xxx von der Dreambox während bestehender Verbindung durch den VPN getunnelt werden und dort dann ins leere laufen, satt diese wie die IP-Pakete mit Zieladresse 192.168.178.xxx lokal an die FritzBox zu senden.
Gibt es da eine mögliche Lösung, oder ist es schlichtweg nicht möglich bei bestehender VPN-Verbindung ein lokales Subnetz zu erreichen?

Die Netzkonfiguration der Dreambox lautet:

eth0
IP-Adresse: 192.168.178.35
Netzmaske: 255.255.255.0
Gateway: 192.168.178.1
Primärer DNS: 192.168.178.1

tun0
IP-Adresse: 10.21.0.79
Netzmaske: 255.255.255.0
Gateway: 10.21.0.1
Primärer DNS: 192.168.178.1

 

[chrigu]

gibt es im vpn-client einen eintrag "alle daten über vpn leiten"? wenn ja, ändern.

stimmt dein eintrag bei fritzbox gateway? .2?

 

[Logic1993]

gibt es im vpn-client einen eintrag "alle daten über vpn leiten"? wenn ja, ändern.

In meiner OpenVPN config habe ich den entsprechenden eintrag (redirect-gateway) schon auskommentiert, allerdings ohne Erfolg.
Meine OpenVPN config:

Spoiler

client
dev tun
proto udp
remote "VPN-IP" 80 udp
nobind
persist-key
persist-tun
persist-remote-ip
mute-replay-warnings
remote-cert-tls server
cipher AES-256-CBC
comp-lzo no
verb 3
keepalive 20 200
resolv-retry infinite
float
reneg-sec 43200
tran-window 43200


auth SHA512
explicit-exit-notify 3
inactive 604800
key-direction 1


#redirect-gateway def1
tun-mtu 1500
fragment 1300
mssfix 1300

auth-user-pass /etc/openvpn/login.conf
log /etc/openvpn/LOG.txt

stimmt dein eintrag bei fritzbox gateway? .2?

Ja, der eintrag stimmt soweit. Ist die IP-Adresse des TP-link aus "sicht" der FritzBox.

 

[Raijin]

Was genau bezweckst du mit der Route im TP-Link? Eine Route ins eigene Subnetz - der TP-Link IST ja in 192.168.178.0/24 - ist nicht notwendig bzw. wird automatisch generiert (gateway = interface).

Eine IP-Verbindung geht in einem geswitchten Netzwerk direkt von der Quelle zum Ziel. Auch wenn die physikalische Verbindung über den integrierten Switch in der Fritzbox geht, würde sie selbst nichts davon mitbekommen, wenn der TP-Link mit dem NAS redet, weil die Pakete direkt von einem Switchport auf den anderen "geswitcht" werden. Ein Gateway braucht der TP-Link in diesem Falle also nicht. Nur dann, wenn ein Gerät nicht selbst im Ziel-Subnetz ist, braucht es den (nächsten) Übergangspunkt in Richtung Ziel-Subnetz.


Da du den TP-Link (Angabe des Modells immer hilfreich) vermutlich per WAN-Port an das Fritz-LAN gehängt hast, tritt auch die Firewall in Kraft, die normalerweise das www vom privaten LAN trennt. In deinem Fall trennt sie das Fritz-LAN vom TP-Link-LAN. Von innen (TP-Link) nach außen (Fritz) geht's, wie beim Internetrouter. Von außen (Fritz) nach innen (TP-Link) geht es nur mit Portweiterleitung.

Ohne Kenntnis des Modells muss man davon ausgehen, dass der TP-Link in dieser Konfiguration für deine Zwecke ungeeignet ist. Mit Original-Firmware ist selten etwas anzufangen, wenn man den Router gewissermaßen zweckentfremdet (es ist ein Internetrouter, kein LAN-Router). Entweder du spielst OpenWRT oder eine andere alternative Firmware auf oder du besorgst dir einen richtigen Router.

Was genau soll die VPN-Verbindung eigentlich bringen? Was ist das Ziel? Wohin geht die Verbindung?

 

[Stock86]

Mit Open VPN kenne ich mich nicht wirklich aus. Aber das ganze klingt so, als wenn bei aktivierter VPN Verbindung alles durch den Tunnel geleitet wird. Hier müsstest du gucken, dass nur Anfragen an das entfernte Zielnetz durch den VPN Tunnel geroutet werden. Und Anfragen ans eigene LAN eben im eigenen LAN bleiben.

Wenn es nur um deinen PC geht, könntest du in der Eingabeaufforderung manuell eine Route zum Netz hinterlegen.

route ADD xxx.xxx.xxx.xxx MASK xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

route ADD "Netzwerk" MASK "Subnetzmaske" "Gateway IP"

 

[Raijin]

Man kann die Route auch direkt in die client.conf einbauen.

#route subnet mask gateway
route 192.168.178.0 255.255.255.0 192.168.1.1

Damit fügt OpenVPN explizit eine Route hinzu. Ohne redirect-gateway eigentlich nicht notwendig, weil dann das Standard-Gateway auf dem TP-Link stehen bleiben sollte, aber wenn redirect-gateway verwendet wird, wird eben das Standard-Gateway verändert und man braucht eine explizite, wenn man weiterhin LAN-intern routen möchte.

Trotzdem wären die Beweggründe für das VPN und wer denn nun tatsächlich wohin VPN't und warum, hilfreich. Der TP-Link mittendrin erfüllt nämlich augenscheinlich keinen Zweck, wenn die Dreambox dahinter selbst die VPN-Verbindung herstellt....

 

[Logic1993]

Vielen Dank für die zahlreichen Antworten leider habe ich es bisher aber trotzdem noch nicht zu laufen gebracht.
Zum TP-link muss ich sagen, dass dort bereits OpenWrt drauf läuft.
Mit dem Ganzen möchte ich bezwecken, dass der gesamte Internet Traffic der Dreambox über den VPN läuft. Zudem möchte ich, während die Dreambox über den VPN Verbunden mit dem Internet verbunden ist, lokal Zugriff auf meinem NAS haben um bspw. Filme von diesem zu schauen.
Da das ganze auch problemlos funktioniert solange ich nicht mit dem VPN Verbunden bin, denke ich dass es sich eher um ein Konfigurationsproblem des VPNs handelt als um ein internes routing Problem.

Zur Übersicht habe ich mal einen Netzwerkplan erstellt:

 

[chrigu]

was ist das überhaupt für ein vpn-dienst?

 

[Raijin]

Aber wozu dann der TP-Link? Der sieht für mich immer noch überflüssig aus, abgesehen von einer zusätzlichen Routing-Ebene bzw. im worst case eben auch NAT. Warum genau isolierst du das NAS hinter dem TP-Link? Ein Switch würde nach aktuellen Informationen vollkommen ausreichen.


Anhand deines Netzwerkplans, kann ich nun sehen, dass ich es etwas anders verstanden habe.


client.conf @ dreambox

#blabla
#mehrbla

route 192.168.1.0 255.255.255.0 192.168.178.2

#nochmehrbla

Damit sagst du OpenVPN, dass es diese Route explizit eintragen soll, ungeachtet etwaiger Änderung des Gateways.. Nun sollte die Dreambox auch wieder Verbindung zum NAS haben - wenn es denn vorher über den (sinnfreien?) TP-Link geklappt hat.

 

[Logic1993]

Damit sagst du OpenVPN, dass es diese Route explizit eintragen soll, ungeachtet etwaiger Änderung des Gateways.. Nun sollte die Dreambox auch wieder Verbindung zum NAS haben - wenn es denn vorher über den (sinnfreien?) TP-Link geklappt hat.

Super! Vielen Dank, so hat es jetzt funktioniert.
Bezüglich des TP-Link's hast du natürlich recht und ein Switch würde es auch tun. Allerdings stammt dieser noch aus einer alten Netzwerkkonstellation bei welcher ein einfacher Switch nicht ohne weiteres ausgereicht hätte.