Problem mit OpenVPN Verbindung

1. offizieller Beitrag

    Hallo, vermutlich mach ich einen Anfängerfehler ;)

    OpenVPN Verbindung ist eingerichtet und funktioniert auch soweit, dass ich die Endian Maschine pingen kann und aufs Web-Interface komme. Aber andere Maschinen in der Grün Zone erreiche ich nicht. Ist das so beabsichtigt? Muss eine FW-Regel hinzugefügt werden damit ich vom VPN in die Grüne Zone komme?

    Endian 2.3 rc1

    Ja der Rechner in der Grünen Zone den ich anpingen möchte hat als Default Gateway die Adresse der EFw eingetragen.
    Die VPN Verbindung läuft von einem Windows Client aus.

    btw. Danke für Deine Bemühungen!

    Hast du das ganze schonmal mit Efw 2.2 probiert? Hab damit eigentlich null Probleme gehabt. Ich pushe in der 2.2 das interne Netzwerk und die Nameserver, mehr braucht es nicht.

    Nein hab ich noch nicht getestet werde ich machen! Das mit dem Pushen habe ich nicht eingestellt. Ist das nötig? Werde ich auch gleich mal einfach testen.

    Edit: Netzwerk pushen bringt nichts. Leider gibt es auch keine Erklärung was das genau macht ;) mal in der Duku nachsehen.
    Mit Nameserver sollte es sowieso nichts zu tun haben da ich den Client in der Grünen Zone über die IP Adresse anpinge und nicht über einen Hostnamen.

    Einmal editiert, zuletzt von Wildside (5. Oktober 2009 um 20:55)

    Ja, ich denke das ist nötig (sonst hätte ich es wahrscheinlich nicht gemacht).
    Achso: es gab auch schon Probleme mit der Stable von OpenVPN-GUI und Vista/7, daher verwenden wir den aktuellen RC.

    Ich hab hier Windows 7 im Einsatz. Aber hab den gleichen Fehler wenn ich es von XP aus Teste. Der Client ist RC20.

    Wie erwartet bringt das Pushen des Nameservers nichts.

    Da ich ja die EFw anpingen kann und die anderen Clients "hinter der EFw" nicht, denke ich eher es liegt an den Firewall Regeln.

    Das Netzwerk sieht folgendermassen aus:
    10.0.0.1 EFw (Virtuelle Maschine)
    10.0.0.2 SBS2k3 (Virtuelle Maschine)
    10.0.0.253 (VMWare ESX3i Host)

    Netzwerk: 10.0.0.0/24
    Gateway: 10.0.0.1
    DNS1: 10.0.0.1
    DNS2: 10.0.0.2


    Der OpenVPN Client der die Verbindung aufbaut bekommt die 10.0.0.240 per DHCP von der EFw (Win7 aber auch schon von XP getestet).

    Die 10.0.0.1 ist anpingbar. Die 10.0.0.2 und die 10.0.0.253 aber nicht.

    Die EFw hat auf dem Roten Interface eine Statische IP Adresse für die Inet Verbindung.

    In der 2.3 gibt es ja auch eine VPN-Firewall. Schätze mal da kann man noch was drehen. Da hab ich aber keine Erfahrung, hab mir 2.3 nur kurz angesehen und dann bestimmt schon 10 Bugs in den Foren gelesen.
    Daher würd ich momentan nur die 2.2 Final verwenden.

    Jo da kann man noch das Grüne vor der VPN Verbindung absichern. Die VPN-FW ist aber Standardmässig deaktiviert.
    Als nächstes werd ich mal die EFw 2.2 installieren und testen.

    Die Config sieht folgendermassen aus

    client
    dev tap
    proto udp
    remote mail.domainname.de
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    ca firewall.cer
    auth-user-pass
    comp-lzo

    /etc/openvpn/openvpn.conf

    root@firewall:/etc/openvpn # cat openvpn.conf
    ; daemon configuration
    daemon
    mode server
    tls-server
    proto udp
    port 1194
    multihome
    user openvpn
    group openvpn

    cd /var/openvpn
    client-config-dir clients

    script-security 2 system

    ; tunnel configuration

    dev tap0
    server-bridge 10.0.0.1 255.255.255.0 10.0.0.240 10.0.0.249
    push "route-gateway 10.0.0.1"

    push "route 10.0.0.0 255.255.255.0"

    passtos
    comp-lzo
    management 127.0.0.1 5555
    keepalive 8 30

    tun-mtu 1500
    tun-mtu-extra 32
    mssfix 1450

    persist-key
    persist-tun
    persist-local-ip
    persist-remote-ip


    ; logging and status

    writepid /var/run/openvpn/openvpn.pid
    ifconfig-pool-persist openvpn.leases
    status /var/log/openvpn/openvpn-status.log
    verb 1


    client-connect "/usr/local/bin/dir.d-exec /etc/openvpn/client-connect.d/"
    client-disconnect "/usr/local/bin/dir.d-exec /etc/openvpn/client-disconnect.d/"


    ; certificates and authentication

    dh /var/efw/openvpn/dh1024.pem
    pkcs12 /var/efw/openvpn/pkcs12.p12

    client-cert-not-required
    auth-user-pass-verify "/usr/bin/openvpn-auth" via-file
    username-as-common-name


    root@firewall:/etc/openvpn #

    Mit 2.3 Final genau das gleiche. Hat noch jemand ne Idee was ich falsch mache?

    Vielleicht wegen den Adressräumen? Die EFw vergibt über DHCP Adressen aus 10.0.0.0/24 von 10.0.0.100-150
    Die OpenVPN Verbindungen bekommen 10.0.0.240-249.
    Die OpenVPN FW ist deaktiviert.

    Hab das gleiche Problem mit der 2.3 mit der 2.2 läuft es Problemlös bei ca. 20 Installationen
    Hab schon alles versucht auch mit den Firewalls, alles Deaktiviert ACCEPTS eingefügt und so weiter.
    Ich komme vom VPN Client auf den gateway dort auch aufs EFW GUi, jedoch nicht auf die Hosts dahinter.
    Entweder gibt es einen gravierenden Unterschied zur 2.2 oder es hängt mit dem neuen Feature der VPN Firewall zusammen.

    Hoffe es findet jemand heraus bin gerade etwas ratlos. Übrigens findet man ganz viele Foreneinträge in EN Sprachigen Raum von Usern mit dem selben Prob. bei der 2.3

    • Offizieller Beitrag

    Hallo,
    ist die VPN Firewall aktiv ?
    Ich hatte die mal testweise bei einem Kunden eingeschaltet und hab mich dann gewundert warum ich auf keinen Client mehr komme,
    nach dem ich diese Ausschaltete ging alles wieder ganz normal.

    gruß

    Endian Authorized Partner

    freaky-media
    Kein Support per PN dafür ist das Forum da.
    Preisanfragen zur Appliance Produkten sind über freaky-media möglich.

    Auch ich habe das Problem, keine VPN-Verbindung vom VPN-Client zum Green-Netzwerk aufbauen zu können.
    Das Thema ist nun schon etwas älter, gibt es denn dafür eine Lösung. Leider habe ich bis jetzt hier im Forum und beim googlen nichts brauchbares gefunden.

    Anmerkung:
    EFW (Community 2.3) sowie die Systeme in der Green-Zone laufen bei mir alle in einer ESXi 3.5 Umgebung. VPN-Client ist die aktuelle openVPN-Version unter WinXP.

    hi,

    stehe auch vor dem Problem ... was ich bei der OpenVPN-Server Konfiguration nicht verstehen ist, wieso die Clients direkt in das "grüne" Netz eingebunden werden, und nicht in einen eigenen IP-Kreis gepackt werden.

    So ist mir der Rückweg der Pakete nicht klar ... wenn das Ping-Päckchen über den "efw" zum Zielrechner geschleust wird, dann wird postwendend eine Antwort an die IP vom OpenVPN-Client verschickt ... nur liegt die "hinter" dem "efw" und dieser fühlt sich meiner Meinung nach für das Paket gar nicht zuständig, weil die IP dem Client dahinter gehört. Aus meiner sich hängt es am Rückweg ... werde ich bei Gelegenheit noch erschniffen ...

    Mit einem eigenen IP-Kreis für die OpenVPN Rechner wäre es mit SNAT ein leichtes ...

    Bin auch für jede Idee dankbar.