Wo kann man sehen, welche Routen OpenVPN einrichtet?
-
https://community.openvpn.net/openvpn/wiki/RoutedLans
Da wird schön erklärt welche Optionen der Server und die Clients bekommen müssen, damit eine Kommunikation richtig funktioniert.
Zwar kann man in der Sense zusätzliche Optionen mitsenden (z.B. push "route 10.10.10.0 255.255.255.0"; ), aber ich würde gerne sehen was die Sense beim Erstellen des Servers schon selber anlegt.Das sollte in der Server-Config ja gespeichert sein .. aber wo befindet die sich und wie greife ich darauf zu?
gruß
-
Wie wär es mit Diagnostic > Routes in der GUI?
Aber was willst du da schon sehen für einen OpenVPN Server? Es werden ja standardmäßig nur die Routen für das Tunnelnetz angelegt.
Wenn du auf der pfSense einen OpenVPN Server einrichten möchtest, bist du mit der dazugehörigen Lektüre besser dran als mit der allgemeinen OpenVPN Doku. Bspw. https://doc.pfsense.org/index.php/OpenVPN. Da gibt es weiterführende Links, je nachdem, was du vorhast.
'push "route 10.10.10.0 255.255.255.0"' sollte man bspw. nicht mehr verwenden, das ist veraltet. Stattdessen werden in der Server-Konfig unter "Locale Network(s)" die Netze eingetragen, die am Client dann über das VPN-Gateway eingerichtet werden.
Aber diese Routen siehst du ja nicht am Server, also nicht auf der pfSense, wenn die der Server ist. Die musst du am Client anzeigen, bspw. mit "route" oder "route print", je nachdem, welches OS auf diesem läuft. -
Nun, die Routen, die aktiv sind sehe ich in der GUI … aber ich würde gerne sehen was OpenVPN mit den Clients aushandelt.
Netstat -r (windows) zeigt die Routen auf dem Client, aber auch nur, wenn diese eingetragen wurden.Jetzt habe ich aber das Problem, das manchmal die Routen nicht richtig beim Client eingerichtet werden
So fehlt manchmal einfach die Route vom Client zum Server ... aber einen Tag später kommt sie.also z.B. 10.10.10.0 255.255.255.0 -> 10.10.90.x (wobei x die IP des Client ist, abzüglich 1)
es gibt keine Fehler im Log ... und ich würde gerne verstehen was da passiert.
-
Was ausgehandelt wird siehst du im Log des VPN Clients, bzw. am Server zumindest ob der Befehl "push routes" gesendet wird.
Wie zuvor erwähnt, den Befehl aber in den Optionen einzutragen, ist veraltet und funktioniert tlw. nicht.Ein Problem kann aber ab sein, dass der Client nicht die entsprechenden Rechte hat, die Routen zu ändern. Auf Windows sollte der Client bspw. mit Admin-Rechten gestartet werden.
-
Der Client IST mit Admin-rechten gestartet und bis gestern hat er auch klaglos selber die routen eingetragen. Er trägt auch jetzt einige routen ein, nur die wichtige Route in unser Netz fehlt…
Das ist etwas schräg.