OpenVPN Frage

[Skywalker27]

Hi Leute,

Mein erstes mal mit OpenVPN :-)
Habe Synology OpenVPN erfolgreich eingerichtet.
Ich kann mich von extern via OpvenVPN erfolgreich einwählen. Jetzt geht jedoch meine Verwirrung los...

Unbekannter Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : fe80::445:dfd6:20bf:2fba%30
IPv4-Adresse . . . . . . . . . . : 10.8.0.6
Subnetzmaske . . . . . . . . . . : 255.255.255.252
Standardgateway . . . . . . . . . :

Der PC hat kein Standardgateway. Deshalb sollte doch eigentlich überhaupt kein Internetzugriff möglich sein? Jedoch habe ich unveränderten Zugriff auf das Internet und KEINEN zugriff auf Ressourcen im Ziel-Netztwerk.

 

[El_Bartscho]

Da stimmt vermutlich was im config-File noch nicht?

Keinen Internetzugriff hättest du auch nur, wenn in der config die redirect-gateway Option aktiviert ist, sonst läuft sämtlicher normaler Traffic noch über die Standard Netzwerkverbindung (die vermutlich auch noch ein Gateway hat). Hier sieht man ja nur den Tunneladapter.

 

[Skywalker27]

meine Config sieht aus wie dein Screenshot.
Was ist dann falsch?

 

[Raijin]

Das Standardgateway muss auch nicht zwingend auf dem VPN-Adapter konfiguriert sein. Das Gateway am physischen Adapter, sei es LAN oder WLAN - bleibt ja bestehen.

Beim Verbindungsaufbau richtet OpenVPN zunächst eine explizite Route zum VPN-Server über das tatsächlich genutzte lokale Internetgateway, also den lokalen Router (ob Hotel-, Flughafen- oder Hotspot-Router, egal). Ist darüber hinaus noch die Option "redirect gateway def1" aktiv, kommen zwei weitere Routen hinzu, die das Standardgateway für alle anderen Verbindungen umgeht.



Wenn du unter Windows "route print" eingibst, wird dir die Routingtabelle angezeigt, die definiert welche Ziele über welche Verbindung bzw. welches Gateway erreicht werden. Eine Route für das Standardgateway sieht in etwa so aus:

Subnetz 0.0.0.0 Maske 0.0.0.0 Gateway 192.168.1.1 Schnittstelle 192.168.1.23

Eine def1 Route von OpenVPN sähe so aus:

0.0.0.0 128.0.0.0 10.8.0.1 10.8.0.2

und die zweite so:

128.0.0.0 128.0.0.0 10.8.0.1 10.8.0.2


Je nachdem wie die Konfiguration von OpenVPN aussieht, wirst du bei route print eben solche Routen wiederfinden und genau die sind dafür verantwortlich, dass eine Internetverbindung über das VPN besteht.

 

[Skywalker27]

also wohin der Internetverkehr geht ist mir erstmal egal. Ziel ist ja das ich auf Ressourcen im Zielnetz (Drucker, Server, IPCams, etc...) zugreifen möchte. Und das geht nach wie vor nicht

 

[El_Bartscho]

Wenn aller Netzwerkverkehr durch's VPN soll, muss der '#' vor redirect-gateway weg. Ist das egal kann es so bleiben.

Wie sieht denn die Konfiguration im Synology VPN Server aus? zB die Option "Clients den Server LAN Zugriff erlauben"? (Auch wenn ich mir nicht mehr sicher bin, ob das nicht standardmäßig aktiv ist...)

Versuchst du direkt über die einzelnen IP-Adressen auf die Geräte zuzugreifen, oder über Gerätenamen? Die Namensauflösung funktioniert bei mir über's VPN zB auch nicht richtig...

 

[Datax]

Der PC hat kein Standardgateway. Deshalb sollte doch eigentlich überhaupt kein Internetzugriff möglich sein?

------------------------------------------------------------------------------------------------------------------------
Der PC wird sein Standardgateway auf der Netzwerkkarte konfiguriert haben, über die er in deinem Netzwerk angeschlossen ist.

Wenn du in einer "CMD" bzw. "Eingabeaufforderung" den Befehl "ipconfig" eingibst, dann sollte dir auch ein Netzwerkadapter mit einer IP-Adresse + Subnetzmaske + Standardgateway passend zum Subnetz des Netzwerks angezeigt werden, wo die Netzwerkkarte deines PCs angeschlossen ist.
------------------------------------------------------------------------------------------------------------------------

Jedoch habe ich unveränderten Zugriff auf das Internet und KEINEN zugriff auf Ressourcen im Ziel-Netztwerk.

Der Netzwerk-Traffic, der für das Ziel-Netzwerk bestimmt ist, muss überhaupt erstmal über den VPN-Tunnel geroutet werden. Das kannst du zum Beispiel über folgenden Eintrag in der Config des Clients erreichen:

route ZIEL-NETZWERK SUBNETZMASKE-DES-ZIELNETZWERKS

Wäre das Ziel-Netzwerk zum Beispiel das Netz 192.168.10.0/24 (Subnetzmaske = 255.255.255.0),
dann müsstest du also folgende Zeile in die OpenVPN-Config des Clients eintragen:

route 192.168.10.0 255.255.255.0

Mit dieser Zeile wird also erreicht, dass Datenverkehr, der für das Netz 192.168.10.0/24 bestimmt ist,
über den VPN-Tunnel zum OpenVPN-Server (also zu deinem Synology-NAS) geroutet wird.

Leider hast du keine Informationen darüber mitgeteilt, welche IP-Adresse dein Synology-NAS hat und welches das Ziel-Netzwerk ist. Da kann man jetzt nur ins Blaue schießen bzw. einfach mal blind ein Beispiel machen für den Fall, dass dein Synology-NAS im gleichen Subnetz ist wie die Ressourcen bzw. Geräte, auf die du über den VPN-Tunnel zugreifen möchtest.

Wenn dein Synology-NAS im gleichen Netz ist wie die Ressourcen bzw. Geräte, auf die du zugreifen möchtest, dann sollte das Synology-NAS den Datenverkehr für das Ziel-Netzwerk, der ausgehend vom OpenVPN-Client über den VPN-Tunnel empfangen wird, in das Ziel-Netzwerk routen (wo das NAS selbst eine IP-Adresse hat).

Nächster Stolperstein: Eine möglicherweise aktive Firewall auf den Geräten, auf die du zugreifen möchtest, muss Verbindungen aus dem VPN-Netzwerk erlauben. Sprich, dort muss es eine "Erlauben"-Regel geben für die eingehenden Verbindungen aus dem VPN-Netz (z. B. 10.8.0.0/24 bzw. 10.8.0.0 mit der Subnetzmaske 255.255.255.0).

Die Antwortpakete werden die Geräte standardmäßig erstmal an ihr eigenes Standardgateway senden, weil sie das VPN-Netz nicht "kennen" bzw. ohne weitere Konfiguration keine Route für das VPN-Netz haben. Deshalb muss auf dem Router, der das Standardgateway für diese Geräte ist, noch eine Route für das VPN-Netz hinzugefügt werden, die als Gateway die IP-Adresse des Synology-NAS hat.

Die Route auf diesem Router muss also wie folgt aussehen:

Netzwerkadresse = 10.8.0.0, Subnetzmake = 255.255.255.0, Gateway = IP-Adresse des Synology-NAS

Wenn du das alles wie beschrieben gemacht hast, dann einfach mal testen und schauen, ob es bereits funktioniert.
------------------------------------------------------------------------------------------------------------------------

 

[Raijin]

Wenn ich mich nicht sehr täusche, wird der Haken bei "LAN-Zugriff erlauben" einerseits die Route ins LAN zu den VPN-Clients pushen (zB "push route 192.168.1.0 255.255.255.0") und andererseits auch NAT aktivieren. Eigentlich sollte der Haken also ausreichend sein, um den Netzzugriff zu erlauben und es wären auch keine weiteren Einstellungen nötig.

 

[Datax]

Wenn ich mich nicht sehr täusche, wird der Haken bei "LAN-Zugriff erlauben" einerseits die Route ins LAN zu den VPN-Clients pushen (zB "push route 192.168.1.0 255.255.255.0") und andererseits auch NAT aktivieren. Eigentlich sollte der Haken also ausreichend sein, um den Netzzugriff zu erlauben und es wären auch keine weiteren Einstellungen nötig.

Ja, da hast du Recht. Das wäre ja dann tatsächlich sehr einfach umzusetzen für den TE und er bräuchte sich nicht noch großartig in die weitere OpenVPN-Konfiguration etc. einarbeiten.

 

[Skywalker27]

ok sorry für die späte rückmeldung. Auch wenn ich die IP im Broswer statt DNS-Name eintrage, komme ich auf keine Endgeräte.
-"Clients den Lanzugriff erlaufen" ist aktiviert.
-Die Firewall habe ich tethalber mal deaktiviert.

Hier mal ein Routing auszug
IPv4-Routentabelle
===================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.196 35
10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 257
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 257
10.8.0.4 255.255.255.252 Auf Verbindung 10.8.0.6 257
10.8.0.6 255.255.255.255 Auf Verbindung 10.8.0.6 257
10.8.0.7 255.255.255.255 Auf Verbindung 10.8.0.6 257

 

[Raijin]

Mit einer halben Routingtabelle kann man nicht viel anfangen. Es fehlt in jedem Fall die Route ins Netzwerk hinter dem VPN über den VPN-Server. Ob die Route nun tatsächlich fehlt oder du sie schlauerweise einfach nur weggelassen hast, kann ich natürlich nicht sagen.

Entweder hat ein VPN-Client eine Standardroute (bzw. 2x /1er Routen), die zum VPN-Server zeigt/zeigen oder aber es muss explizit eine Route in das Subnetz hinter dem VPN geben. Ersteres wird in der OpenVPN-Konfiguration durch "redirect-gateway [def1]" bewerkstelligt, während letzteres über "route" Optionen konfiguriert wird. Diese Optionen können entweder direkt in der client.ovpn stehen oder vom Server via push an den Client geschickt werden.

 

[Skywalker27]

Ziel und Quellnetzt ist jeweils eine Fritzbox 192.168.178.xxx

IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.178.1 192.168.178.196 35
0.0.0.0 0.0.0.0 10.8.0.5 10.8.0.6 2
10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 257
10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 257
10.8.0.4 255.255.255.252 Auf Verbindung 10.8.0.6 257
10.8.0.6 255.255.255.255 Auf Verbindung 10.8.0.6 257
10.8.0.7 255.255.255.255 Auf Verbindung 10.8.0.6 257
84.143.160.99 255.255.255.255 192.168.178.1 192.168.178.196 291
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
192.168.178.0 255.255.255.0 Auf Verbindung 192.168.178.196 291
192.168.178.0 255.255.255.0 10.8.0.5 10.8.0.6 257
192.168.178.196 255.255.255.255 Auf Verbindung 192.168.178.196 291
192.168.178.255 255.255.255.255 Auf Verbindung 192.168.178.196 291
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.6 257
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.178.196 291
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.6 257
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.178.196 291
===========================================================================

 

[Raijin]

Ziel und Quellnetzt ist jeweils eine Fritzbox 192.168.178.xxx

Soviel dazu. Das kann nicht funktionieren. Bei VPN müssen die verbundenen Subnetze unterschiedlich sein.


NICHT OK:

Router1 --- 192.168.178.0 /24
|
VPN
|
Router2 --- 192.168.178.0 /24



OK:

Router1 --- 192.168.178.0 /24
|
VPN
|
Router2 --- 192.168.123.0 /24


Wenn der Client bereits in einem 192.168.178er Subnetz ist, kann er keine Route in ein anderes 192.168.178er Subnetz haben, weil sich das beißt. Routen müssen eindeutig sein.