Discussion:
[OpenVPN] Verbindung steht, kein Ping auf Geräte hinterm fli4l
(zu alt für eine Antwort)
TomW
2016-07-17 16:54:34 UTC
Permalink
Hallo,

Ich habe zwischen meinem Laptop und einem entfernten fli4l eine
VPN-Verbindung aufgebaut.
Manchmal habe ich hier das Problem dass ich die GerÀte hinter dem fli4l
nicht erreiche, den fli4l selbst aber schon.
Wenn ich mich also ÃŒber putty auf dem fli4l einlogge, kann ich die
GerÀte schon anpingen. von meinem Laptop aus aber nicht.

Wo liegt denn hier das Problem?
Leitet der fli4l hier die Anfragen nicht weiter?

Aber gelegentlich funktioniert es ja.

Vielleicht hat ja von Euch jemand eine Idee.

Gruß Tom
--
Fordere keine Anerkennung!
Zeige was und man wird Dich kennen

Damit Ihr Computer nicht zum Alptraum wird! ->
www.weber-computerhilfe.de
Peter Schiefer
2016-07-18 06:37:17 UTC
Permalink
Hi Tom,
Post by TomW
Ich habe zwischen meinem Laptop und einem entfernten fli4l eine
VPN-Verbindung aufgebaut.
Manchmal habe ich hier das Problem dass ich die Geräte hinter dem fli4l
nicht erreiche, den fli4l selbst aber schon.
Wenn ich mich also über putty auf dem fli4l einlogge, kann ich die
Geräte schon anpingen. von meinem Laptop aus aber nicht.
Wo liegt denn hier das Problem?
Leitet der fli4l hier die Anfragen nicht weiter?
in der ovpn-Konfiguration des Laptop hast du entsprechende Routing
Einträge?
In der openvpn-Config auf dem fli4l hast du den Zugriff im Paketfilter
zugelassen?

Gruß Peter
TomW
2016-07-20 20:48:40 UTC
Permalink
LanSpezi schrieb am Mo, 18 Juli 2016 08:37
Post by Peter Schiefer
Hi Tom,
in der ovpn-Konfiguration des Laptop hast du entsprechende Routing
EintrÀge?
remote ****
rport 10020
secret ****.secret
dev tun
ifconfig 10.0.0.2 10.0.0.1
route 192.168.0.0 255.255.0.0
comp-lzo
persist-tun
persist-key
ping-timer-rem
ping-restart 60
proto udp
tun-mtu 1500
fragment 1300
mssfix
LanSpezi schrieb am Mo, 18 Juli 2016 08:37
Post by Peter Schiefer
In der openvpn-Config auf dem fli4l hast du den Zugriff im
Paketfilter
zugelassen?
Gruß Peter
OPT_OPENVPN='yes' # 'yes' or 'no' it's your choice
OPENVPN_EXPERT='no' # provide openvpn config file,
certificates
# and keys in config/etc/openvpn
folder
OPENVPN_WEBGUI='yes' # install a web gui to
start/stop/control openvpn
OPENVPN_N='1' # number of openvpn configurations
OPENVPN_1_NAME='LaptopTom' # Name des Clients
OPENVPN_1_LOCAL_PORT='10020' # Eingehender Port fuer die
Verbindung
OPENVPN_1_SECRET='***.secret' # Key-Datei des Clients
OPENVPN_1_TYPE='tunnel'
OPENVPN_1_REMOTE_VPN_IP='10.0.0.2' # Client-IP-Adresse
OPENVPN_1_LOCAL_VPN_IP='10.0.0.1' # Server-IP-Adresse
OPENVPN_1_ROUTE_N='1'
OPENVPN_1_ROUTE_1='192.168.2.0/24'
OPENVPN_1_PF_INPUT_N='1'
OPENVPN_1_PF_INPUT_1='ACCEPT'
OPENVPN_1_PF_FORWARD_N='2'
OPENVPN_1_PF_FORWARD_1='IP_NET_3 ACCEPT BIDIRECTIONAL'
OPENVPN_1_PF_FORWARD_2='IP_NET_1 ACCEPT BIDIRECTIONAL'
Gruß Tom
--
Fordere keine Anerkennung!
Zeige was und man wird Dich kennen

Damit Ihr Computer nicht zum Alptraum wird! ->
www.weber-computerhilfe.de
Sebastian Klein
2016-07-21 06:13:08 UTC
Permalink
Moin Tom,
Post by Peter Schiefer
in der ovpn-Konfiguration des Laptop hast du entsprechende Routing
Einträge?
...
Post by Peter Schiefer
route 192.168.0.0 255.255.0.0
...

Sieht gut aus soweit...
Post by Peter Schiefer
In der openvpn-Config auf dem fli4l hast du den Zugriff im
Paketfilter
zugelassen?
...
...
Post by Peter Schiefer
OPENVPN_1_ROUTE_N='1'
OPENVPN_1_ROUTE_1='192.168.2.0/24'
Warum hier eine Route in das Netz? Hier geht es um Routen die
von fli4l aus in den Tunnel gehen und da du am anderen Ende ja
"nur" einen Laptop hast, kennt der fli4l dessen IP bereits (die
remote IP vom Tunnel). _Falls_ das eines deiner internen Nezte ist,
ist es klar warum das nicht gehen kann.
Post by Peter Schiefer
OPENVPN_1_PF_INPUT_N='1'
OPENVPN_1_PF_INPUT_1='ACCEPT'
OPENVPN_1_PF_FORWARD_N='2'
OPENVPN_1_PF_FORWARD_1='IP_NET_3 ACCEPT BIDIRECTIONAL'
OPENVPN_1_PF_FORWARD_2='IP_NET_1 ACCEPT BIDIRECTIONAL'
sieht gut aus.
--
Grüße,
Sebastian
[fli4l-team]
TomW
2016-08-15 18:02:59 UTC
Permalink
butterfly schrieb am Do, 21 Juli 2016 08:13
Post by Sebastian Klein
Moin Tom,
Post by Peter Schiefer
In der openvpn-Config auf dem fli4l hast du den Zugriff im
Paketfilter
zugelassen?
....
....
Post by Peter Schiefer
OPENVPN_1_ROUTE_N='1'
OPENVPN_1_ROUTE_1='192.168.2.0/24'
Warum hier eine Route in das Netz? Hier geht es um Routen die
von fli4l aus in den Tunnel gehen und da du am anderen Ende ja
"nur" einen Laptop hast, kennt der fli4l dessen IP bereits (die
remote IP vom Tunnel). _Falls_ das eines deiner internen Nezte ist,
ist es klar warum das nicht gehen kann.
Das ist das Netz vom Laptop.
Habe es ohne die Route getestet, funktioniert leider auch nicht.

Tom
--
Fordere keine Anerkennung!
Zeige was und man wird Dich kennen

Damit Ihr Computer nicht zum Alptraum wird! ->
www.weber-computerhilfe.de
Peter Schauder
2016-07-19 15:53:45 UTC
Permalink
On Sun, 17 Jul 2016 18:54:34 +0200, TomW
<***@weber-computerhilfe.de> wrote:
Hi
Post by TomW
Hallo,
Ich habe zwischen meinem Laptop und einem entfernten fli4l eine
VPN-Verbindung aufgebaut.
Manchmal habe ich hier das Problem dass ich die Geräte hinter dem fli4l
nicht erreiche, den fli4l selbst aber schon.
Wenn ich mich also über putty auf dem fli4l einlogge, kann ich die
Geräte schon anpingen. von meinem Laptop aus aber nicht.
Wo liegt denn hier das Problem?
Leitet der fli4l hier die Anfragen nicht weiter?
Aber gelegentlich funktioniert es ja.
Geht das nur mit Namen nicht oder auch mit IP-Adressen nicht? Die
Version mit dem nicht funktionierenden Namen habe ich auch häufig.
Disconnect/Reconnect löst meistens das Problem, aber manchmal auch
erst bei 3. Versuch.
Post by TomW
Vielleicht hat ja von Euch jemand eine Idee.
Gruß Tom
Gruß
Peter
TomW
2016-07-20 20:49:42 UTC
Permalink
Peter Schauder schrieb am Di, 19 Juli 2016 17:53
Post by Peter Schauder
Geht das nur mit Namen nicht oder auch mit IP-Adressen nicht?
Gruß
Peter
Nein habe das nur mit der IP versucht.

Gruß Tom
--
Fordere keine Anerkennung!
Zeige was und man wird Dich kennen

Damit Ihr Computer nicht zum Alptraum wird! ->
www.weber-computerhilfe.de
Gotthard Anger
2016-07-23 10:30:37 UTC
Permalink
Hallo Tom
Post by TomW
Wenn ich mich also über putty auf dem fli4l einlogge, kann ich die
Geräte schon anpingen. von meinem Laptop aus aber nicht.
Wo liegt denn hier das Problem?
Vielleicht hat ja von Euch jemand eine Idee.
Das wird IMHO daran liegen, dass der remote Fli nicht der Standardrouter
für die Geräte im remote LAN ist.
Abhilfe in diesem Fall gibt es in drei Varianten:
a) der remote Fli maskiert alle Pakete aus dem VPN-Tunnel und setzt
seine Adresse ein
OPENVPN_[]_PF_POSTROUTING_[]='<lokalesnetz>/24 <netzdesremotefli>/24
MASQUERADE'
b) die Geräte im remote LAN erhalten einen zusätzlichen route-Eintrag
für das lokale Netz
c) der Standardrouter bekommt eine zusätzliche Route über den remote Fli
zum lokalen Netz

HTH
Gotthard
--
Gotthard Anger
Anwenderbetreuung, Netzwerkadministration
Landeskirchenamt der EKM
TomW
2016-08-15 18:06:13 UTC
Permalink
Gotthard Anger schrieb am Sa, 23 Juli 2016 12:30
Post by Gotthard Anger
Hallo Tom
Das wird IMHO daran liegen, dass der remote Fli nicht der
Standardrouter
fÌr die GerÀte im remote LAN ist.
a) der remote Fli maskiert alle Pakete aus dem VPN-Tunnel und setzt
seine Adresse ein
OPENVPN_[]_PF_POSTROUTING_[]='<lokalesnetz>/24 <netzdesremotefli>/24
MASQUERADE'
b) die GerÀte im remote LAN erhalten einen zusÀtzlichen
route-Eintrag
fÃŒr das lokale Netz
c) der Standardrouter bekommt eine zusÀtzliche Route Ìber den
remote Fli
zum lokalen Netz
HTH
Gotthard
Hallo Gotthard,

Das verstehe ich nicht ganz, was meinst Du damit dass der fli4l nicht
der Standardrouter ist?
Werde mal Variante a testen.

Tom
--
Fordere keine Anerkennung!
Zeige was und man wird Dich kennen

Damit Ihr Computer nicht zum Alptraum wird! ->
www.weber-computerhilfe.de
TomW
2016-08-15 18:49:53 UTC
Permalink
Hier meine aktuelle OpenVPN-Konfig:


OPT_OPENVPN='yes' # 'yes' or 'no' it's your choice

OPENVPN_EXPERT='no' # provide openvpn config file,
certificates
# and keys in config/etc/openvpn folder

OPENVPN_WEBGUI='yes' # install a web gui to
start/stop/control openvpn

OPENVPN_N='1' # number of openvpn configurations
OPENVPN_1_NAME='LaptopTom' # Name des Clients
OPENVPN_1_LOCAL_PORT='10020' # Eingehender Port fuer die
Verbindung
OPENVPN_1_SECRET='****.secret' # Key-Datei des Clients
OPENVPN_1_TYPE='tunnel'
OPENVPN_1_REMOTE_VPN_IP='10.0.0.2' # Client-IP-Adresse
OPENVPN_1_LOCAL_VPN_IP='10.0.0.1' # Server-IP-Adresse
OPENVPN_1_ROUTE_N='0'
OPENVPN_1_ROUTE_1='192.168.2.0/24'
OPENVPN_1_PF_INPUT_N='1'
OPENVPN_1_PF_INPUT_1='ACCEPT'
OPENVPN_1_PF_FORWARD_N='2'
OPENVPN_1_PF_FORWARD_1='IP_NET_3 ACCEPT BIDIRECTIONAL'
OPENVPN_1_PF_FORWARD_2='IP_NET_1 ACCEPT BIDIRECTIONAL'
OPENVPN_1_PF_POSTROUTING_N='1'
OPENVPN_1_PF_POSTROUTING_1='192.168.2.0/24 192.168.0.0/24 MASQUERADE'


Es funktioniert leider immer noch nicht.

Gruß Tom
--
Fordere keine Anerkennung!
Zeige was und man wird Dich kennen

Damit Ihr Computer nicht zum Alptraum wird! ->
www.weber-computerhilfe.de
TomW
2016-08-22 16:17:14 UTC
Permalink
Hat noch jemand eine Idee woran das liegen kann?

Gruß Tom
--
Fordere keine Anerkennung!
Zeige was und man wird Dich kennen

Damit Ihr Computer nicht zum Alptraum wird! ->
www.weber-computerhilfe.de
TomW
2016-09-05 20:58:26 UTC
Permalink
Hallo,

Hat denn keiner mehr eine Idee woran das liegen kann oder was ich noch
probieren kann?

Gruß Tom
--
Fordere keine Anerkennung!
Zeige was und man wird Dich kennen

Damit Ihr Computer nicht zum Alptraum wird! ->
www.weber-computerhilfe.de
Christoph Schulz
2016-09-05 21:06:02 UTC
Permalink
Hallo!
Post by TomW
Hallo,
Hat denn keiner mehr eine Idee woran das liegen kann oder was ich noch
probieren kann?
Schon mal fli4l 4.0 ausprobiert?


Gruß,
--
Christoph Schulz
[fli4l-Team]
TomW
2016-09-08 16:52:00 UTC
Permalink
Christoph Schulz schrieb am Mo, 05 September 2016 23:06
Post by Christoph Schulz
Schon mal fli4l 4.0 ausprobiert?
Nein, kann man diese Version schon produktiv einsetzen?
Eigentlich möchte ich auch nicht alles neu einrichten.

Roland schrieb am Mi, 07 September 2016 20:25
Post by Christoph Schulz
Schon mal geprÃŒft ob bei den Client, welchen du per PING prÃŒfen
willst
auch der Router als Gateway eingetragen ist?
Ja, Gateway ist eingetragen.

Gruß TomW
--
Fordere keine Anerkennung!
Zeige was und man wird Dich kennen

Damit Ihr Computer nicht zum Alptraum wird! ->
www.weber-computerhilfe.de
Christoph Schulz
2016-09-08 18:15:11 UTC
Permalink
Hallo!
Post by TomW
Christoph Schulz schrieb am Mo, 05 September 2016 23:06
Post by Christoph Schulz
Schon mal fli4l 4.0 ausprobiert?
Nein, kann man diese Version schon produktiv einsetzen?
Ja (ich benutze fli4l 4.0 seit Jahren produktiv). Es geht aber nur, wenn du
den imond/imonc nicht nutzt, weil der zur Zeit in fli4l 4.0 wegen des neuen
Circuit-Systems nicht funktioniert. Und natürlich wurden die internen
Schnittstellen weiterentwickelt, d.h. externe OPTs sind u.U. nicht ohne
Anpassung lauffähig.
Post by TomW
Eigentlich möchte ich auch nicht alles neu einrichten.
Hmmm. Da du als sicherheitsbewusster Computernutzer keine veraltete Software
nutzen möchtest, wirst du früher oder später ohnehin auf fli4l 4.0 umstellen
müssen, da die Pflege des 3.10-Zweiges nach der Veröffentlichung der 4.0-
Version als neue "stable"-Version eingestellt werden wird.

Aber ich wollte dich gar nicht "bekehren". Du fragtest, was du noch
probieren könntest, und ich antwortete, du könntest fli4l 4.0 ausprobieren.
Den Vorschlag kannst du nun annehmen oder ablehnen, das ist dir überlassen.


Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
TomW
2016-09-22 19:33:44 UTC
Permalink
Hallo Christoph,

Ich werde das mal ins Auge fassen, aber im Moment fehlt mir etwas die
Zeit dazu.

Mir ist jetzt zu meinem Problem noch etwas eingefallen.
An meinem Fli4l hÀngt eine Fritzbox die die Verbindung ins Internet
herstellt.
Im Fli4l habe ich dafÃŒr eine Route eingerichtet.
IP_ROUTE_1='0.0.0.0/0 192.168.178.1'
Die VPN-Verbindung baue ich allerdings ja zum Fli4l auf, kann es sein
dass die Pakete dadurch nun den Weg zur VPN-Gegenstelle nicht finden?

Gruß TomW

Zitat:
--
Fordere keine Anerkennung!
Zeige was und man wird Dich kennen

Damit Ihr Computer nicht zum Alptraum wird! ->
www.weber-computerhilfe.de
Roland Franke
2016-09-07 18:25:20 UTC
Permalink
Hallo,
Post by TomW
Hat denn keiner mehr eine Idee woran das liegen kann oder was ich noch
probieren kann?
Schon mal geprüft ob bei den Client, welchen du per PING prüfen willst
auch der Router als Gateway eingetragen ist?

Gruß Roland
Loading...