OpenVPN Server kann Clients nicht anpingen

[Brom]

Hallo,
ich habe einen OpenVPN Server mit Debian im Internet und verschiedene Clients verbunden. Die Clients können untereinander problemlos kommunizieren, auch ins Internet kommen sie über den Server. Nur der Server kann kann die Clients nicht anpingen oder anderweitig erreichen (z.B. über http). Das war bis jetzt egal, aber nun soll der Server als ReverseProxy die Ausgabe des Webservers eines Clients weiterleiten. Hier mal der meiner Meinung nach wichtige Teil der server.conf

port 1194
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
route-up /etc/openvpn/firewall.sh  #Wofür das gut war, weiß ich nicht mehr, in der Datei steht jedenfalls noch "iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE"
proto udp
dev tun
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"

und in die iptables ist noch folgendes eingetragen

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to-source IPVOMSERVER

Kann mir jemand sagen, wie ich auch vom Server aus die Clients erreichen kann?

 

[Masamune2]

Bekommen bei dir die Clients ein eigenes Subnetz oder sind alle in einem Netz. Wie sieht bei dir auf dem Server die routing Tabelle aus?

 

[Brom]

Die Clients bekommen alle eine IP im 10.8.0.irgendwas Netz. Der Server selbst hat die 10.8.0.1. Bis auf die oben genannten Regeln sind keine Routing Tabelleneinträge hinterlegt.

 

[Thurisaz9]

Hast du mal mit z.B ifconfig überprüft ob ein tun-Interface erstellt wurde? Vielleicht wird einfach kein Tun-Interface erstellt und die server eigene Adresse wird nicht gebunden.

 

[Brom]

tun0 wird mit

tun0      Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet Adresse:10.8.0.1  P-z-P:10.8.0.2  Maske:255.255.255.255
          UP PUNKTZUPUNKT RUNNING NOARP MULTICAST  MTU:1500  Metrik:1
          RX packets:10027841 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14562391 errors:0 dropped:1388 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:100
          RX bytes:664108508 (633.3 MiB)  TX bytes:15611473099 (14.5 GiB)

angezeigt.

Ergänzung (26. Januar 2014)

Ich hab noch ein paar Sachen ausprobiert. Der Server kann doch manchmal Clients anpingen. Wenn ich unter Windows 8.1 die Firewall deaktiviere, kommen pings an und gehen auch wieder zurück. Anders ist es bei den Geräten mit Debian. Beide können sich anpingen, der Server selbst aber nicht. Deshalb hier noch die client.conf:

# grep -vE '^#|^;|^$' /etc/openvpn/client.conf
client
dev tun
proto udp
remote domain.de 1194
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
ns-cert-type server
comp-lzo
verb 3

Ergänzung (26. Januar 2014)

Ich hab mir jetzt iftop installiert und den Netzwerkverkehr angeguckt, wenn ich vom Server aus pinge und wenn ich vom Client aus pinge(iftop läuft auf dem Client). Dies ist die Ausgabe:

10.8.0.42                  => 10.8.0.1                    672b    672b    235b
                           <=                             672b    672b    235b
10.8.0.42                  => domain.de                       0b      0b      0b
                           <=                             672b    672b    420b

Der obere Teil ist, wenn ich vom Client aus pinge, alles funktioniert, Daten gehen hin und zurück. Darunter aber vom Server aus. Scheinbar erkennt der Client eine andere IP-Adresse als Absender als 10.8.0.1, vermutlich die externe IP des Servers. Wie kommt das und wie kann ich es ändern?

Ergänzung (26. Januar 2014)

Der Zugriff von einem Android-Gerät auch aus dem OpenVPN-Netzwerk heraus funktioniert auch.

 

[Brom]

Nachdem dieses Problem vor Jahren nicht gelöst wurde, kehre ich nun an diese Stelle zurück, und zwar mit neuen Informationen zum gleichen Problem. Sowohl Server als auch Client sind andere Geräte, aber wieder mit Debian und der gleichen Konfiguration.

Iftop auf dem Client zeigt die (externe) Domain des Servers an. Erst als ich die DNS-Auflösung in iftop deaktiviert habe, ist mir klar geworden, dass dort ja die externe IP des Servers steht, und nicht 10.8.0.1, was es eigentlich sein sollte.

Die Frage, die jetzt wichtig wäre zu beantworten ist, wie es dazu kommt, dass an dieser Stelle die externe IP steht. Sendet der Server das Paket übers VPN, gibt aber die externe IP als Absender an, oder erkennt der Client dies falsch?