Im wesentlichen ist das bei mir die Default-Konfiguration des Wiregates mit zusätzlichen Skripten sowie DNS und umleiten allen Traffics. Wenn man das raus nimmt ist sie Deiner auch sehr ähnlich. Die route sorgt dafür, dass das Netz hinter dem Wiregate und nicht nur das Wiregate ereichbar ist. Stammt aus der entsprechenden Doku des Wiregates.
Hast Du bei Dir vielleicht noch Firewall-regeln auf dem VPN-Server modifiziert die den Traffic passend weiterleiten? Eigentlich hatte ich vermutet, dass im Wiregate definierte Default-Gateway dazu ausreichen sollte, vielleicht tut es dass aber auch nicht?!
-
Hast du deine Konfig mal mit meiner im anderen Thread verglichen? Bei mir geht das nämlich problemlos.
EDIT: was macht denn push "route 192.168.10.0 255.255.255.0"? Insgesamt ist da einiges in der Konfig, was man nicht unbedingt braucht. Ich würde erstmal mit einer möglichst minimalen Konfiguration anfangen, den Rest kannst du immer noch rein basteln wenn es geht.Einen Kommentar schreiben:
-
Jetzt hätte ich da noch mal eine Frage...
Zunächst einmal: Das DNS-Problem für lokale Adressen hat sich inzwischen geklärt, es gibt einen Bug im VPN-Client für iOS der in der nächsten Version gefixt werden soll. Als Workarround kann ein zusätzliches push "redirect-gateway def1" dienen.
Aber zu Frage: Der VPN Zugriff auf alle Rechner im lokalen Netz klappt problemlos, per IP oder auch Name. Was nicht klappt ist der Zugriff aufs Internet über das VPN, weder per IP noch per Name. Was jetzt blöd ist, da der Workarround oben ja dafür sorgt, dass aller Traffic durch den Tunnel geht.
Ich vermute, dass da noch eine Route bzw. Weiterleitung fehlt?! Vielleicht könnt Ihr mir ja auf die Sprünge helfen?
Hier noch meine aktuelle Server-Konfiguration:
Code:port 1194 proto udp dev tun0 ca keys/this-server-ca/ca.crt cert keys/this-server-ca/server.crt key keys/this-server-ca/server.key dh keys/this-server-ca/dh1024.pem server 172.24.254.0 255.255.255.0 crl-verify keys/this-server-ca/crl.pem tls-auth servers/server/ta.key 0 cipher AES-128-CBC user nobody group nogroup status /var/run/openvpn.server.status log-append /var/log/openvpn.log verb 2 mute 20 max-clients 100 management 127.0.0.1 8001 keepalive 10 120 client-config-dir /etc/openvpn/servers/server/ccd comp-lzo persist-key persist-tun ccd-exclusive client-to-client script-security 3 system up servers/server/bin/server.up down servers/server/bin/server.down client-connect servers/server/bin/client.connect client-disconnect servers/server/bin/client.disconnect push "route 192.168.10.0 255.255.255.0" push "dhcp-option DNS 192.168.10.1" push "dhcp-option DOMAIN xyz.internal" push "redirect-gateway def1"
Einen Kommentar schreiben:
-
Damit haut es jetzt prima hin, danke!.
Für den Fall, dass das noch einmal jemand sucht hier ein paar Stichworte:
1. Die /etc/openvpn/server.conf ergänzen:
script-security 3 system
up servers/server/bin/server.up
down servers/server/bin/server.down
client-connect servers/server/bin/client.connect
client-disconnect servers/server/bin/client.disconn
2. Die Skripte unter servers/server/bin/ anlegen und wie von Makku geschrieben ausführbar machen
3. Inhalt (als Beispiel mein server.up)
#!/bin/bash
echo "Wiregate VPN-Server gestartet" | mail -s "VPN: Server up" user@domain.tld
# VPN-Server Rueckmelde-GA und VPN-Client Connect GA
groupswrite ip:localhost 1/2/3 1
groupswrite ip:localhost 4/5/6 0
exit 0
Wichtig ist, dass die Skripte einen Rückgabewert von 0 haben, sonst wird die Verbindung nicht aufgebaut (zumindest im client.connect). Voraussetzung ist außerdem natürlich ein funktionierende Mailkonfiguration auf dem Wiregate.
Probleme hatte ich mit dem up-pre Skript, da ich das aber nicht brauche ist es mir egal!Einen Kommentar schreiben:
-
Es gab seither genau ein einziges wirklich Sicherheits-relevantes Problem in OpenVPN (genauer in OpenSSL) das wurde binnen Stundenfrist upgedatet/gefixed, , betrifft nur den Server - also mag ich mich da wirklich mit bestem Gewissen, aber mal ganz tiefenentspannt, zurücklehnen
Zum anderen: der Webmin ist für Leute, die keine Textdateien editieren wollen, umgekehrt mag er halt keine Leute die das tun.. Entweder - oder.. Wenn du es kannst, vergiss ihn einfach
und einCode:script-security 3 system
Sollte es bringen..Code:chmod a+x XXX/script.sh
Es gibt im SVN auch zwei Plugins, die bei connect/disconnect KNX-Telegramme absetzen, vielleicht hilft das..
Makki
P.S. Wer die richtigen Sachen verwendet, braucht halt nicht alle 4 Wochen ne Giftspritze, sondern schläft mit der Version von 2008 ruhig wie ein Baby
Ok, IPV6 - was kein Mensch braucht, geht mit der aktuellen 2.3 mal grad endlich soweit das nichtmehr alles deswegen kachelt; Grund zum Update? Nö
Einen Kommentar schreiben:
-
Hätte da auch noch mal zwei Fragen zum openVPN:
Hab gesehen, dass auf meinem Wiregate der 2.1 RC 11 von 2008 läuft, hat das so seine Richtigkeit oder sind mir da irgendwelche wichtigen (Security) Updates durchgegangen?
Außerdem würde ich gerne eine Mail+KNX-Telegramm schicken lassen, wenn sich ein Client Verbindet. Meine Versuche mit dem up Script haben aber nur dazu geführt, dass der Server nicht mehr startet... ("openvpn_execve: external program may not be called due to setting of --script-security level").
Wenn ich selbst Änderungen an der Server.conf vornehme, zerschießt mir die aber das Webmin. Gibt es da eine Möglichkeit, die auch das nächsten Update überlebt?
Ach ja: Namensauflösung funktioniert noch nicht, trotz push "dhcp-option DNS 192.168.10.1" Per IP können die internen Rechner aber erreicht werden, da werde ich noch mal was Doku lesen müssen, vielleicht habt Ihr ja auch eine Idee?Einen Kommentar schreiben:
-
Nun, das Primärziel ist das es aus der Box auch ohne allzuviel Know-how sicher funktioniertZitat von Jache Beitrag anzeigenmein VPN funktioniert, ich weiß aber nicht wieso
Am besten ist man also bedient wenn man erstmal nicht soviel dreht, die IP's so lässt wie sie sind (die sind auch "private" nach RFC1918 und sollten mit den wenigsten Netzten kollidieren)
Das mit dem push-route ist natürlich richtig, benötigt aber noch eine Route am Default-Gateway im LAN (die Fritzbox) für (hier / Default):
172.24.254.0 255.255.255.0 -> 192.168.2.100
MakkiEinen Kommentar schreiben:
-
Naja Du hast beide IPs Du wirst Sie nur noch per push route zuweisen müssen.
Hier mal die Auszüge aus meiner config:
Fritzbox: 192.168.2.1
WireGate: 192.168.2.220
VPN-Client:
VPN Server:Code:ns-cert-type server push "route 192.168.2.0 255.255.255.0" push "dhcp-option DNS 192.168.2.1"
Damit ist mein WireGate auch im VPN unter 192.168.2.220 erreichbar. Weitehin hab ich natürlich alle Bookmarks nicht auf http://wiregatexxx/visu zu laufen sonder eben direkt auf die IP http://192.168.2.220/visu.Code:push "route 192.168.2.0 255.255.255.0" push "dhcp-option DNS 192.168.2.1"
Die Namensauflösung ist bei mir zumindest je nach Client immer ein Glücksspiel, mal passt es, mal nicht.Einen Kommentar schreiben:
-
Habe mein Buchstabensalat sortiert.
Sorry, dafür
Kann ich irgendwo einstellen welche IP mein Wiregate im VPN bekommen soll?Einen Kommentar schreiben:
-
Mit einfachen Worten sind das die IPs aus dem Virtuellen Privaten Netzwerk und die werden vom WireGate als VPN-Server vergeben.
P.S.: Könnetst Du versuhcen diene Buchtsaben ein wen igzu sortieren ?
Einen Kommentar schreiben:
-
Hallo,
mein VPN funktioniert, ich weiß aber nicht wieso
und wenn ich nicht weiß wie es funktioneirt halte ich es für unsicher.
Habe an den VPN Servereinstellungen nichts geändert.
habe dann die Configdateien in mein OpenVPN Client eingespielt und mich verbunden. Ging super.
Nun habe ich eine IP Adresse zugewiesen bekommen (Also meine LAN Verbindung 2).
Diese lautet:
172.24.254.6 (Siehe Screenshot)
Zugreifen auf mein Wiregate kann ich nun über 172.24.254.1
Mich würde interessieren wieso?
Woher bekomme ich diese IP?
Und woher das WG die IP?
Ebenfalls warum ich als Client eine 6 und das WG eine 1?
Ich habe im Router bei mir nur eine eine Port Weiterleitung für UDP/1194 an die 192.168.2.100 (Dies ist mein Wiregate)Einen Kommentar schreiben:
-
Hallo zusammen,
hab jetzt die Lösung. Und zwar hat die Rückroute nicht funktioniert. Hab Sie in meiner Fritzbox eingetragen und nun Funktioniert es.
IP Netzwerk: Die IP adresse des VPN Netzwerks z.B. 172.24.254.0
Subnetz: 255.255.255.0
Gateway: Die IP Adresse des Wiregates im lokalen Netzwerk z.B. 192.168.2.71
Gruß
DavidEinen Kommentar schreiben:
-
Sorry, erstmal sortieren:
- Hat das mit VPN zu tun? (Thread-Titel)
- Was hat das alles mit TP-Link zu tun?
Design im Webmin vermute ich mal.. Also, als user kann man das nicht ändern (und das liegt daran, das man es nicht ändern können soll) und wenn man als root dort rumklickt muss man wissen was man tut; in diesem Fall vermutlich den Webmin geplättet.Zitat von renzge Beitrag anzeigen
So direkt nicht, geht zwar per USB-Stick aber effizienter ist es eigentlich das Problem zu eliminieren..Gibts eine Möglichkeit das WG auf Werkseinstellungen zurückzusetzen?
Im Zweifelsfall kann man das Wartungs-VPN auch auf der SSH-Konsole mit
aktivieren.Code:wiregate-togglevpn mgmnt enable
Das ist mit den verfügbaren Informationen schwer zu sagenAber ich denke das ist ein Netzwerkproblem... (sorry, ich kann mir auch nicht die Netzwerkonstellation von ein paarhundert Kunden über Monate merken..)
MakkiEinen Kommentar schreiben:
-
Guten Morgen!
Eigentlich gab es nie Probleme mit der Verbindung PC - Wiregate (webmin) und es scheitert zur Zeit nur am Buszugriff.
Seit gestern komme ich jedoch nicht mehr in das webmin des WG rein.
Statische IP wurde im TP-Link hinterlegt.
Windows Firewall deaktiviert.
TP-Link Firewall hab ich auch schon probiert zu deaktivieren -> keine Änderung.
Gebe ich die IP im Browser ein erscheint kurz die Wiregate-Seite (siehe Anhang) danch leitet er auf :10000 weiter und die Seite wird nicht gefunden.
Geändert wurde eigentlich nichts, Update im Wiregate ausgeführt und ein bisschen mit den Designs rumgespielt.
Gibts eine Möglichkeit das WG auf Werkseinstellungen zurückzusetzen?
Aber ich denke das ist ein Netzwerkproblem...
DankeEinen Kommentar schreiben:
Einen Kommentar schreiben: