Im Prinzip gibt es zwei wichtige Konfig Dateien in denen du deine IP überprüfen musst, ob diese noch drin steht !


nano /etc/network/interfaces

- Wenn du Bridge Verwendest gilt diese Datei zusätzlich !
nano /etc/openvpn/server.conf


prüfe diese Dateien mal, ich hab mir hier durch einen Fehler auch schon mal ins Knie geschossen....

Du kannst die Dateien nur prüfen wenn du Monitor und Tastatur direkt anschließt da du ja per ssh nicht mehr draufkommst...
Am Monitor erkennst du auch sehr schnell welche IP das WG hat....

Wenn alles nix mehr hilft dann gibt's noch einen USB Stick mit dem du das WG wieder auf DHCP bringst, den kannst du dir hier runterladen...

http://repo.wiregate.de/wiregate/wg_network_reset.zip

Readme durchlesen !

Hi Helmut,
Danke für die Anregung! Ich habe mal einen Netzanalyser über mein Netzwerk laufen lassen. Das WG hat noch die alte IP-Adresse. Ich habe dann auch mal einen Portscan beim WG gemacht, und alle Ports von 1-10.000 sind entweder closed or blocked. Das erklärt zumindest den fehlenden Zugriff via web, telnet und ssh...

Jetzt bleibt wohl nur die Option über die Konsole reinzugehen und aufzuräumen.

Da der Fehler nach dem route-Befehl aufgetreten ist, liegt die Crux wohl in der Konfig-Datei des VPN-Servers, oder?

Vg

Kay

Du hast vermutlich das lokale (LAN)Subnetz als Subnetz für die VPN-Clients eingetragen (das wird leider nicht immer abgefangen).

Also, falls der Konsole mächtig:
in /etc/openvpn/server.conf ändere die Zeile
in irgendwas anderes (Default server 172.24.254.0 255.255.255.0)

reboot
gut

Makki

Hi Makki,
Danke für die Anleitung. Konsole ist kein Problem. hab mir schon ne PS2 Tastatur organisiert.😜

Den route Befehl habe ich klar vermurkst - erst denken, dann machen hilft in der Regel 😝

Eine kurze Frage zu dem 174er Adresskreis nochmal. sind das die Adressen, die das WG den VPN-Clients zuweist?

Eine generelle Frage an alle, ist zwar etwas off-topic aber es passt schon zum og

Ich benutze Vodafone LTE als Zugang zum inet. Ich habe heute wegen eines anderen Problems bei Vodafone angerufen und mit den Techies gesprochen. Laut dem Techniker geht VPN über LTE nicht, da LTE kein Portforwarding macht. Genauer wäre es so, dass alle user einer Funkzjelle die gleiche IP-Adresse haben und jeder user im Prinzip einen Port darstellt. Soll heissen, der Mast hat im Prinzip die Public IP und jeder LTE-Kunde ist ein dedizierter Port dahinter.

Das würde im Prinzip bedeuten, dass, wenn ich z.B im Browser meines Telefons
Xyz.ddns.net:1194 eingebe, wobei xyz meine DDNS Domain ist, das der Port nicht weitergereicht wird, sobald ich "den Mast" erreiche.

Hat jemand VOdafone LTE und kann das bestätigen oder widerlegen?

VG
Kay

Etwas präziser:
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
sind ebenso wie
10.0.0.0 - 10.255.255.255 (10/8 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

nach RFC1918 dafür geeignete IP-Adressen.
Es darf nur keinesfalls dieselbe wie für das lokale LAN sein ! (ausser im Bridge-Mode)

Naja, ganz allgemein: ich würde sagen das kommt auf den Router&Provider an. Die Bundespost - äh Telekom - benutzt z.B. (entgegen den RIPE Vergaberichtlinien) teilw. mW. immernoch öffentliche IPv4-Adressen dafür, dann kann es gehen.
Mit einer geNATteten privaten IP: wenig Chance. (zumindest ohne Tricks, eigener Server im Inet der das a bisserl weiterleitet, socat oder OpenVPN, geht alles mit Bordmitteln)

Makki

Beim zweiten lesen: lies meine AW bitte nochmal: Ursache ist nicht das "push route .."

Makki

Jepp - alles klar. Deine Kristallkugel hat auch in diesem Fall wieder funktioniert 👽

Daher noch zum 'richtigen' Verständnis und zur Sicherheit: push route muss doch dann für meinen (internen) Adresskreis des LAN's gemacht werden, oder l?

Ich hab angefangen, also auch zuende

Ja, "push route LAN-IP" ist sinnvoll und notwendig: wenn man auf etwas anderes als das WG selbst, direkt im LAN via VPN zugreifen möchte.
(und nur dann! das wurde absichtlich so nicht per Default gemacht, um keine ungewollten Lücken zu schaffen)

Ausserdem sind, damit das funktioniert, weitere Schritte notwendig:
- Entweder eine Route am Default-Gateway zu dem Subnetz der VPN-Clients auf die LAN-IP des WG
- Oder dort WG als Default-Gateway eintragen (die unsaubere Lösung)

Makki

Super Makki - vielen Dank für die Klarstellungen 😃

So, jetzt funzt der lokale Zugriff wieder :-)

Den VPN-Tunnel kann ich auch aufbauen, nur der Zugriff auf das WG klappt nicht wirklich (immer). Manchmal gehts gut, manchmal sehe ich nur "Willkommen bei Wiregate" und danach dann einen Timeout.

Da ich remote *NUR* aufs Wiregate zugreifen will, habe ich den push route xxx jetzt rausgeworfen.

VG und Danke für die Unterstützung.

Kay

EDIT: Problem - Denkfehler - behoben...

Hi Makki,
Ich muss Dich doch noch mal um Hilfe anpingen.
Mein Router, der direkt am LTE-Modem hängt, eine Easybox 803A, kann keine (statischen) routes... ��.
Leider kann ich keinen meiner TP-Links direkt an das Modem hängen um dort das routing einzutragen. Das WG hängt direkt am L2-Switch, der auch kein routing kann. Der einzige Weg, der mir jetzt einfällt, wäre, das WG vom Switch abzuhängen und einen Router dazwischen zu hängen. Bevor ich das unbaue, wollte ich kurz checken ob das so Sinn macht. Mein Ziel ist es, von extern NUR auf das WG zuzugreifen.

Cheers
Kay

Jetzt muss ich doch mal doof fragen... Wiso hast du denn die OVPN config manuell befummelt wenn du am ende NUR auf das WG zugreiffen willst? Das funktioniert Out of the Box. Da muss doch überhaubt nix manuell verstellt werden!?

Hi Patrick,
Nein, keine doofe Frage ��

Initial wollte ich Zugriff auf mein gesamtes lokales LAN bekommen. Ich habe es mir dann aus Sicherheitsgründen doch anders überlegt. Hinzu kam der fehlende Mehrwert - was will ich mit einem vollen Zugang erreichen? Als mir dazu kein richtig guter use case eingefallen ist, habe ich den Ansatz auf den einzigen use case der Sinn macht reduziert. Und der klappt out of the box - das Ganze bezeichnet man dann wohl als Lernkurve ��

Manuell musste ich in die Konsole eingreifen, weil die Finger schneller waren als das Gehirn und ich mich dann tatsächlich ausgesperrt hatte��

VG
Kay