OpenVPN keine Netzdienste trotz Verbindung, aber nur im WLAN

[lordg2009]

Hi,

es handelt sich hier um ein höchst merkwürdiges Problem.

Ich wohne gerade für ein paar Monate außerhalb. In dieser Zeit erreiche ich meinen Homeserver über OpenVPN. WLAN bekomme ich von einer Freundin über den Fritz Reichweiten expander. Nun komme ich gut ins Internet. Mein Laptop verbindet sich über ein tap Interface problemlos. Mein Handy und mein iPad können sich beide über ein tun Interface verbinden, so wie es vor dem Fritz Expander auch schon anderswo geklappt hat. ovpn Logs zeigen auf dem Server keine Fehler, Verbindung steht. Nun habe ich einige webdienste laufen. Einen plexserver auf Port 32400, eine andere Seite auf Port 32500 und sabnzbd auf Port 9090. keine dieser seien werden geladen. Kein plex Client kann eine Verbindung herstellen (vom tun Interface). SSH wiederum klappt vom Handy und vom iPad. Sabnzbd hat so eine integrierte http Authentifizierung. Auch die wird abgefragt, dann aber wird keine Seite geladen und es gibt einen Fehler.

Und noch was:
Wenn ich mit dem Handy aus dem WLAN gehe und mich ins VPN übers Mobilnetz einlogge, dann funktioniert es wieder.

Ich kann mir darauf keinen Reim machen. Kann es irgendwie an dem expander liegen? Schwer vorstellbar.

Habt ihr ne Idee, oder könnt zur Problemfindung beitragend?

Vielen Dank für eure Hilfe

 

[corun]

Ich würde ein LAN Kabel nehmen und mich so mal direkt mit der FritzBox verbinden. Sollte es dann gehen, liegt es wohl wirklich am Expander - wobei mich das wundern würde, aber man weiß ja nie.

 

[derNetZwerg]

Lass mich raten: Du hast zu Hause auch eine FritzBox und ihr benutzt beide das Standardnetz 192.168.178.0/24?

Bei gleichen Netzwerk-Adressen ist kein Routing möglich (tun-Device ist ein Routing Interface), da der Rechner nicht ermitteln kann in welches Netz denn das Paket gesendet werden soll.

 

[lordg2009]

Liegt anscheinend tatsächlich am Repeater. Wenn ich den deaktiviere und zum Router gehe funktionierts. Das VPN hat übrigens eine 10.x.x.x Nummer und korreliert nicht mit dem LAN. Bleibt natürlich die Frage, was da mit dem Repeater schief geht. Ist ja schon eigenartig, VPN findet ja eigentlich gar nicht im Router, sondern auf den Endgeräten statt, wenn die Verbinung einmal steht. Und die steht ja anscheinend.

Ergänzung (19. August 2015)

Habe gerade die Einstellungen im Repeater kontrolliert, hab aber nichts gefunden, was mir erfolgsversprechend schien.

 

[derNetZwerg]

Das 10er Netz ist nur das Transportnetz. Du willst ja ein Gerät hinter dem VPN-Gateway ansprechen. Das funktioniert nun mal nicht wenn Deine Routing-Tabelle zwei Routing Einträge zum selben Subnetz mit unterschiedlichen Gateways besitzt. Da Du aber sagst, dass es direkt am Router funktioniert, liegt dieses Problem bei Dir vermutlich nicht vor.

Wie arbeitet der Repeater, als WDS oder als Client-AP Bridge oder womöglich als Proxy?
Wie sehen denn die einzelnen beteiligten Subnetze aus? (Ziel-Netz, Quell-Netz, eventuelles Repeater-Netz)

 

[lordg2009]

Also, ich nutze den Fritz! repeater 310. Zugangsart steht WLAN Brücke da.
Der Repeater hat den selben IP Bereich, wie der Router und auch die gleiche SSID. Welche Brücke genau das ist, kann ich nicht sagen, da ich mich auf diesem Gebiet nur rudimentär auskenne. (Erschließt sich aber bestimmt aus der Erklärung)
IP Netz ist 192.168.1.0/24
Router 192.168.1.1
Repeater (manuell) 192.168.1.250

Das Transportnetz ist 10.x.x.0/24
Gateway 10.x.x.1

NAT habe ich keines konfiguriert, da ich nur den Server mit der 10.x.x.1 ansprechen möchte und nix dahinter. Es sollen halt die Dienste (in erster Linie Plex und SSH) des Gateways verfügbar sein. Somit soll kein Gerät hinter dem Gateway, sondern nur das Gateway des VPNs erreicht werden.

Ich hoffe, dass ich alle Fragen ausführlich beantwortet habe.

 

[derNetZwerg]

Hmm... verstehe ich das richtig, dass Du die Dienste über den Endpunkt des Tunnels versuchst zu erreichen (10.X.X.X)?
Man spricht die Dienste eigentlich über ihre interne IP an. Denn zum Zeitpunkt des Dienststarts sind die Tunnelendpunkte noch nicht definiert, der Dienst kann sich also nicht an die 10.X.X.X Adresse binden.
Die interne IP deines NAS ist aber bekannt und daran werden die Dienste beim Start gebunden.
Mit anderen Worten, du musst die Dienste genauso ansprechen, wie Du sie im eigenen Netz ansprichst.
Beim VPN Verbindungsaufbau wird deine Routingtabelle automatisch um die notwendigen Routingeinträge ergänzt. Dadurch weiß Dein System das es Pakete, welche an das interne Netz des NAS gesendet werden, automatisch über den Tunnel an den Endpunkt geleitet werden. Auf dem Endpunkt wird anhand der lokalen Routingtabelle das Paket über das richtige Netzwerkinterface an das Zielsystem geleitet (in Deinem Fall, wo VPN Endpunkt und Zielsystem gleich sind, intern vom VPN Interface zum LAN-Interface).

Wegen diesem Routing ist es auch wichtig, das Dein Netz zu Hause, wo das NAS steht, nicht die 192.168.1.0/24 hat. Denn das hast Du schon an Deinem auswärtigen Standort.