OpenVPN Problem: Rechner mit DHCP IP erreichbar, Rechner mit statischer IP nicht

burningfrog

Hallo Zusammen,

ich setze die pfSense auch als VPN Server ein. Dazu habe ich nach Anleitung den VPN Server eingerichtet und es funktioniert!

Die Clients können sich per VPN mit dem Server verbinden erreichen (z.B. Ping) auch jede Maschine im Sever-Netzwerk. Was mir jetzt aufgefallen ist und wozu ich keine Lösung gefunden habe ist, dass dies nur für Maschinen gilt die von der pfSense eine dynamische IP Adresse bekommen haben. Rechner mit statischer IP kann ich nicht erreichen. Was jetzt natürlich nicht optimal ist, da ich einige Rechner (z.B. NAS) mit einer statischer IP betreiben möchte.

Kennt Ihr das Problem? Was habe ich falsch konfiguriert oder übersehen?

Viele Grüße und natürlich viele Dank für jegliche Infos :-)

-Tobias

JeGr

Kennt Ihr das Problem? Was habe ich falsch konfiguriert oder übersehen?

Nein. Wenn deine statischen Rechner nicht eine falsche/andere Netzmaske oder IP-Range haben, dürfte das überhaupt nicht vorkommen. :) Dazu musst du aber mehr Infos rausrücken.

Grüße

burningfrog

Vielen Dank! So hier alles was mir wichtig erscheint:

WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  (or Router, CableModem, whatever)
      '-----+-----'   192.168.3.1
            |
        WAN | IP or Protocol
            |
      .-----+--------------.  192.168.3.100
      |  pfSense/VPN Server |  
      '-----+--------------'  192.168.2.1
            |
       LAN | 192.168.2.0/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)
Rechner A 192.168.2.11 Adresse vom DHCP Server (Range: 192.168.2.10-192.168.2.245) bezogen
Rechner B 192.168.2.3 Statische IP

OpenVPN Settings:
  TunnelNetwork: 10.0.8.0/24
  IPv4 Local Network/s: 192.168.2.0/24

Client baut übers Internet eine VPN Verbindung erfolgreich auf und bekommt:

utun0: flags=8051 <up,pointopoint,running,multicast>mtu 1500
	inet 10.0.8.6 --> 10.0.8.5 netmask 0xffffffff</up,pointopoint,running,multicast> 

ein Ping von Client auf Rechner A geht.
ein Ping von Client auf Rechner B geht nicht :-(. Request timeout
ein Ping von Client auf die pfSense geht.

Diagnose auf der pfSense:

pfSense -> Diagnostics -> Ping:

Host 192.168.2.3 -> Source Address LAN -> ok
Host 192.168.2.3 -> Source Address WAN OpenVPN Port UDP ->

PING 192.168.2.3 (192.168.2.3) from 10.0.8.1: 56 data bytes

--- 192.168.2.3 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

nächster Versuch: pfSense -> Diagnostics -> Traceroute:

Host 192.168.2.3 -> Source Address LAN ->

1  192.168.2.3 (192.168.2.3)  1.222 ms  1.221 ms  1.231 ms

Host 192.168.2.3 -> Source Address OpenVPN server… ->

 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
...

```:-(
Host 192.168.2.11 -> Source Address OpenVPN server… ->

1  192.168.2.11 (192.168.2.11)  0.912 ms  0.469 ms  0.365 ms

Warum kann ein über VPN verbundener Client die Rechner mit dynamischer IP erreichen, die mit statischer IP nicht - das ist mir nicht klar.

Danke und viele Grüße Tobias

JeGr

Source Address OpenVPN Server ist kein sinnvoller Test, da die IP des TUN Interfaces selbst nie wirklich mit dem LAN reden muss. Ist also recht unspektakulär. Was allerdings laufen muss ist der Ping vom eingewählten Client auf das .2.x'er Netz.

Was du jetzt nicht dazugeschrieben hast: wie sind die statisch konfigurierten Rechner eingestellt? Haben die exakt das gleiche Gateway etc. wie die Rechner, die ihre Daten via DHCP bekommen? Vergleiche hier mal bspw. Rechner A und Rechner B, ob/was da für Unterschiede erkennbar sind.

Ansonsten wäre ein Blick ins Log der pfSense sinnvoll, ob bspw. Rechner B oder A irgendwo auf dem LAN geblockt werden und somit gar keine Antwort ans VPN senden können (passiert immer mal, dass man die Regeln falsch abmixt).

Grüße

burningfrog

Danke für Deine Antwort.

Bzgl. unterschiede ist mir folgendes aufgefallen: Die nicht erreichbaren IP Adressen sind alles WLAN Access Points. Deren Konfiguration habe ich mir angeschaut und dort kann man das Gateway nicht explizit angeben.

Die Rechner, die man per Ping erreichen kann sind welche bei denen man das Gateway angeben kann (192.168.2.1).

Ist man direkt im Server Netzwerk hat man keine Probleme auf alle IP's zuzugreifen nur beim VPN haben ich das Problem.

Im Log der pfSense steht nichts drin. In der Firewall ist auch alles offen was durch das OpenVPN Interface kommt.

Viele Grüße Tobias

peterhart

Hallo,
wenn ein Client kein Gateway Eintrag hat, kann dieser auch nicht über NW Grenzen hinweg kommunizieren und natürlich auch nicht erreicht werden.

Gruß
Peter

burningfrog

Vielen Dank für Eure Antworten.

Vor der pfSense hatte ich die den TP-Link TL-R600VPN im Einsatz, da dieser aber nur pptp kann dachte ich es wäre ein gute Idee, OpenVPN auf der pfSense zu nutzen. Mit dem TL-R600VPN konnte ich per VPN auch auf die AccessPoints zugreifen. Das werde ich jetzt nochmal prüfen aber da bin ich mich ziemlich sicher.

Könnte ich mein Problem lösen, indem ich in der pfSense zu den Geräten mit fester IP spezielle Routen eintrage? Leider kenne ich mich damit noch nicht aus - daher entschuldigt bitte, wenn die Frage sinnfei ist ;-)

Hier noch ein Beispiel für einen der verwendeten AccessPoints, es ist ein AV500-300Mbps-WLAN-Powerline-Extender von TPLink.

Grüße Tobias

burningfrog

Hallo Zusammen,

ich habe mein gesamtes Netzwerk als Schaubild dargestellt (siehe Anhang) um mal einen besseren Überblick zu geben.

Es ist in der Tat so, dass man bei den PowerLan Access Points (192.168.2.6, 7) keinen Gateway angeben kann. Auch bei dem "alten" Siemens Router den ich zum AP umfunktioniert habe, kann man nur eine IP (192.168.2.3) eingeben mit der diese Geräte im lokalen Netzwerk ansprechbar sind. Dynamisch beziehen könne diese Geräte ihre IP Settings nicht. Die Webcam (192.168.2.11) bekommt alles dynamisch von der ipSense und diese hat das Problem auch nicht. Meine ursprüngliche Vermutung dass es mit dynamisch und statisch zusammenhängt ist wohl falsch! Aber es muss doch möglich sein dass ich diese Geräte über VPN erreichen kann grummel.

Gibt es eine Möglichkeit wie ich über VPN auch auf diese Geräte zugreifen kann?

Einen schönen Sonntag und viele Grüße Tobias

JeGr

Vor der pfSense hatte ich die den TP-Link TL-R600VPN im Einsatz, da dieser aber nur pptp kann dachte ich es wäre ein gute Idee, OpenVPN auf der pfSense zu nutzen. Mit dem TL-R600VPN konnte ich per VPN auch auf die AccessPoints zugreifen. Das werde ich jetzt nochmal prüfen aber da bin ich mich ziemlich sicher.

Stop. Das hat aber nichts mit dem TP Link zu tun, sondern mit PPTP. Ja, es ist eine gute Idee das einzumotten, siehe Roadmap pfSense: "PPTP WILL be deprecated with 2.3 as it has been insecure for a LONG time!" MS selbst sagt ja schon, mottet PPTP ein, das ist Schrott.
PPTP bindet den Client aber direkt in das vorhandene LAN mit ein, deshalb hast du die APs auch sehr wahrscheinlich erreichen können. OpenVPN ist sauberes Routing, und das geht ohne GW eben nicht.

Was mich eher stört: warum haben die APs kein Gateway? Ist das falsch eingestellt? Kann das nicht anders konfiguriert werden? Ich kenne aus dem Stehgreif keinen AP, der in seinen Netzwerkeinstellungen kein Gateway setzen lässt. Das ist SEHR merkwürdig. Das Problem ist also eher auf AP Seiten als auf pfSense zu suchen.

Grüße
Jens

burningfrog

Danke! Damit müsste mein Problem jetzt identifiziert sein. Vielen Dank an Euch - das ist mir wirklich nicht auf Anhieb aufgefallen.

Ich verwende als AP relative "günstige" TP Link Powerline Netzwerkadapter (TP-Link TL-WPA2220 WLAN Powerline-Netzwerkadapter). Der TP Link Support hat auch bestätigt, dass ich dort kein Gateway eintragen kann grummel.

Gäbe es die Möglichkeit eine Route zu den betreffenden IP's zu legen um per VPN trotzdem drauf zu zugreifen oder haltet ihr das für aussichtslos ;-)

Viele Grüße Tobias

peterhart

Hallo,
was ich jetzt nicht verstehe ist folgendes:
Du kannst doch allen Clients direkt ein GW zuordnen und somit wären die Clients dann auch erreichbar.
Die preiswerten AP's funktionieren scheinbar nur als "reine" Kabelverlängerungen und somit brauchen diese auch
keine GW Einträge.

Gruß
Peter

burningfrog

Das stimmt! Mit den Clients die ein Gateway bekommen habe ich kein Problem.

Mein Problem ist "nur", dass ich auf die Web-Konfigurationsoberfläche der "günstigen" AP's über VPN nicht zugreifen kann. Diese AP's lassen als einzige Einstellung eine IP Adresse zu, unter der sie im Netzwerk erreichbar sind. Clients die über diesen AP ins Netz gehen bekommen vom pfSense DHCP dann einen korrekten Gateway und sind erreichbar (auch über VPN).

Wenn ich nicht per VPN im Netzwerk bin kann ich auf die Konfiguration der "Kabelverlängerungs AP's" mittels deren IP zugreifen. Kann man das Problem mit VPN durch eine Route umgehen?

Viele Grüße Tobias

JeGr

Nein, mit einer Route wirst du da nicht weit kommen, weil die Antwort der APs nie richtig abbiegen wird, da sie ja offenbar kein Routing beherrschen und daher nur dem gleichen Netz antworten können.

Evtl. könnte man sich noch was vorstellen mit ProxyARP und/oder schräger NAT Konfiguration, aber was Genaues hab ich da jetzt nicht parat.