Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Problem beim VPN bei ähnlichen remote und local Netzen (192.168.)

Mitglied: WhiteShad

WhiteShad (Level 1) - Jetzt verbinden

27.06.2020, aktualisiert 15:13 Uhr, 447 Aufrufe, 12 Kommentare

Hallo zusammen,

ich habe ein Problem mit meinem VPN, welches ich einfach nicht gelöst bekomme.
Der Text ist etwas länger geworden, aber ich hoffe, ich konnte ihn einigermaßen strukturieren.


Kontext:

Wenn ich unterwegs bin, möchte ich gerne meine mitgeführten Geräte per VPN nach Hause verbinden, um entweder auf das dortige NAS zugreifen zu können, aber auch um sicher das offene WLAN nutzen zu können.

Dazu habe ich mir mehrere Möglichkeiten geschaffen:
  • Auf dem Laptop (Win10 und Mint19.3 installiert) ist jeweils OpenVPN installiert, ebenso auf dem Android-Handy und dem iPad. Die Geräte werden einzeln mit dem offenen WLAN eines Hotels verbunden und gehen dann jeweils mit OpenVPN via VPN nach Hause.
  • Mit dem Android-Handy wird ein Hotspot eröffnet, über den sich Laptop und iPad verbinden und dann jeweils mit eigenem VPN nach Hause gehen.
  • Ein Raspberry mit installiertem OpenVPN, der zusätzlich als Accesspoint u.a. für meine oben genannten Geräte dient (Raspberry-AP). In diesem Fall verbindet sich nur der Raspberry-AP mit dem offenen WLAN, geht via VPN nach Hause und als Accesspoint bedient er die Geräte.

Zu Hause läuft ein weiterer Raspberry als VPN Server (Raspberry-VPNS), den ich mit PiVPN aufgesetzt habe. Dieser hängt an einer FritzBox, bei der ein entsprechendes Portforwarding eingerichtet ist. Die Fritzbox erzeugt intern ein 192.168.3.0/24 Netz (ich weiß, 192.168.3.x ist suboptimal...). Zusätzlich ist in der FritzBox auch noch eine statische Route eingetragen, damit die per VPN eingewählten Geräte vom internen Netz erreicht werden können (was für meine Zwecke aber nicht notwendig ist).


Problembeschreibung:

In zwei dokumentierten Fällen nutzt das unterwegs zur Verfügung stehende WLAN (Hotel oder Handy Hotspot) das 192.168 Netz wie folgt:

WLAN Hotel: 192.168.44.0/22
Hotspot Android Handy: 192.168.43.0/24

In diesen Fällen kommt zwar eine Verbindung per VPN zu Stande, aber einige Dinge funktionieren nicht:


Wird das VPN genutzt?

Unter Linux:
Unter Windows:

Probleme:

  • 1) Im Browser (Firefox oder Chrom) 'dnsleaktest.com' geöffnet und bei erfolgreicher VPN Einwahl wird auf der Seite die öffentliche IP Adresse der FritzBox zu Hause angezeigt. Der Standard-Test der Seite läuft durch, aber der Extended-Test bleibt hängen.
Das passiert beim Laptop mit Mint19.3, beim Android Handy (via Hotel WLAN) und beim Raspberry AP.
Aber nicht beim iPad oder beim Laptop mit Win10 - hier funktioniert es.

  • 2) Im Browser kann ich meinen WebMailer www.posteo.de aufgrufen und UID/PWD eingeben, aber nach "Enter" passiert lange nichts (mehrere Minuten) und dann kommt die Fehlermeldung, dass die Seite nicht erreicht werden kann.
Das passiert beim Laptop mit Mint19.3, beim Android Handy (via Hotel WLAN) und beim Raspberry AP.
Aber nicht beim Laptop mit Win10 (iPad nicht getestet).

  • 3) Ich kann mich zu Hause in die Fritzbox einloggen, ebenso in den Raspberry-VPNS und auch Dateien im NAS sehen. Wenn ich aber anfange Dateien (Umfang pdf-Dokumente mit eingen Seiten) vom NAS zu laden oder dorthin zu schieben, hängt die Konsole bzw. der Prozess und es geht nicht weiter. Das Hängen den Konsole geschieht häufig auch, wenn ich bspw. auf dem Raspberry-VPNS ein 'find /' mache, also viel Text in der Konsole anzuzeigen ist.
Das passiert beim Laptop mit Mint19.3 und beim Raspberry AP.
Aber nicht beim Laptop mit Win10 (iPad und Handy nicht getestet).


Positive Szenarien:

  • 4) bash.ws/dnsleak funktioniert

  • 5) Die beiden erstgenannten Probleme treten mit dem Android Handy nicht auf, wenn es selbst per mobiles Netz und dann per VPN verbunden ist (das dritte Problem habe ich nicht getestet).

  • 6) Wenn ich mit einem iPhone einen Hotspot erzeuge, wird ein Netz mit 172.20.10.0/28 erzeugt. Hier funktionieren jetzt die eben geschilderten drei Fälle ohne Probleme mit dem Laptop Mint19.3 und auch dem Raspberry-AP (der hat testweise auch einen Desktop mit Browser installiert bekommen). Der Raspberry-AP in seiner zweiten Funktion als AP erzeugt selbst ein 192.168.4.0/24 Netz. Auch wenn hier der Laptop mit Mint19.3 mit dem Raspberry AP verbunden ist, der Raspberry AP per VPN zu Hause ins Internet geht, funktioniert es. In diesem Fall ist das vom Raspberry-AP als AP aufgespannte 192.168.4.0/24 Netz kein Problem.


Zusammenfassung des Problems:

Kurz gesagt:

Anmerkungen:
  • NIO heisst, dass das VPN steht und genutzt werden kann, aber nicht alles funktioniert.
  • IO Windows10 könnte auch bedeuten, dass Windows doch am VPN vorbei arbeitet (...)


Bitte um Unterstützung

Die Fragen sind, was genau hier das Problem ist und was gemacht werden muss, um das zu beheben?
Einiges funktioniert und die 192.168(.3/24|.44/22|.43/24) Netze sind ja nicht identisch, sollte doch machbar sein!?




Technische Details:

Im offenen Hotel-WLAN bekam ich für den Laptop/Mint19.3

und unter Windows10 folgendes:

Nach VPN Verbindungsaufbau:

Unter Linux:
und unter Windows10
Raspberry-VPNS Config

Mit folgender client ovpn-config baue ich das VPN unter Mint19.3 auf:
Diese Inhalte, allerdings ohne die Zeilen 17 bis 21, nutze ich auch unter Windows.


Verbinden unter Linux:
Verbinden mit Windows10
Beenden VPN unter Linux:
Beenden VPN unter Windows10
Mitglied: certifiedit.net
27.06.2020 um 15:15 Uhr
Moin,

schön ausführlich, aber hätte hier gar nicht müssen sein. Da das Hotel Subnetz größer ist, als deines wird der Traffic einfach nicht hingeroutet, sprich du musst dein Netz daheim umstellen.

https://www.heise.de/netze/tools/netzwerkrechner/

Das war es schon.

Grüße,

Christian
certifiedit.net
Bitte warten ..
Mitglied: aqui
27.06.2020, aktualisiert um 16:26 Uhr
Das ist die Crux wenn man sich VORHER keine Gedanken macht über eine sinnvolle IP Adressierung im VPN Betrieb und diese dümmlichen 192.168er Netze verwendet die millionenfach in Nutzung sind mit wilden CIDR Prefixes. Sowas rächt sich dann früher oder später.
Der RFC 1918 Bereich der privaten IP Netze bietet eine Menge intelligenter Alternativen wenn man einmal etwas nachdenkt. RFC 6598 wäre auch eine durchaus intelligente Alternative.
Siehe auch hier:
https://administrator.de/wissen/vpns-einrichten-pptp-117700.html#toc-7
Lesen und verstehen !

Der Rest ist wie immer in den hiesigen OpenVPN Tutorials umfassend erklärt !
https://administrator.de/wissen/merkzettel-vpn-installation-openvpn-5610 ...
bzw. hier für LAN zu LAN Kopplung:
https://administrator.de/content/detail.php?id=530283&token=984#comm ...

Problem 1:
Das ist ja auch normal. Du machst auf allen Clients einen Gateway Redirect, sprich mit aktivem VPN Client wird den Clients als einziger DNS Server die interne OVPN IP des VPN Servers gepusht.
Vermutlich rennt hier ein Caching Inbound DNS der lokale Namen im Heimnetz beantwortet und dann an die heimische FritzBox weiterreicht. Deshalb wird für externe Domain Namen natürlich die FB angezeigt. Works as designed. Wenn man keine lokalen Namen aufzulösen hat könnte man hier auch die FritzBox IP pushen als DNS.
Problem 2:
Dürfte normal nicht passieren. Es sei denn du machst überflüssigerweise NAT (Adress Translation) im VPN Tunnel was natürlich dann fatal wäre.
Leider schreibst du zu den iptables Settings des RasPis nichts. Hier darf KEIN irgendwie geartetes NAT im Tunnel gemacht werden.
Problem 3:
Das sieht sehr nach einem MTU Mismatch aus. Hast du die Tunnel MTU im OpenVPN entsprechend angepasst ?!! Das ist sehr wichtig sonst kommt es zu solchen Hängern, weil du im Heimnetz zusätzlich zum OVPN SSL Header noch den PPPoE Header hast.
Bitte warten ..
Mitglied: WhiteShad
27.06.2020, aktualisiert 28.06.2020
Danke für die schnelle Reaktionen

@aqui
Die drei URLs hatte ich bereits gefunden und den Inhalt gelesen (vestehen... mal sehen )

>CRUX
Wie ich ja schon geschrieben habe, ist mir bewusst, dass das 192.168.3.x Netz zu Hause suboptimal ist.

AFAIU sind die Netze hier in meinem Fall ja nicht identisch (sondern nur ähnlich) und in dem Beispiel LAN zu LAN kommen ja auch beiden Seiten auch 192.168 Netze zum Einsatz, nur habe ich im Falle eines Hotel ja nicht die Möglichkeit auf dem Router des Hotels eine statische Route einzutragen und ich möchte ja auch nicht allen Clients des Hotel Netzes Zugriff auf mein lokales Netz geben.

Zu Problem 1:
Mein Problem 1 ist nicht, dass die IP meiner Fritzbox auf der Website angezeigt wird (ansonsten hätte das VPN an dieser Stelle ja nicht funktioniert), sondern dass die auf der Website angebotene Funktion über zwei Buttons (Standard Test und Extended Test) nur im ersten Fall funktioniert. Im Extended Test wird auch ein größeres JSON zum Server geschickt und darauf erhält der Browser keine Antwort mehr:
vs
Zu Problem 2:
Ja sollte nicht passieren, wenn ich schon soweit gekommen bin (eigentlich sollte dann auch Problem 1 nicht auftreten).

Iptables auf dem Raspberry VPNS:
Problem 3:
Wenn es hier ein MTU-Mismatch sein sollte, dann könnte dies auch die Ursache für Problem 1+2 sein.
Dann sollte / könnte es ein Problem zu Hause sein...

Aber was ich dann nicht begreife, wieso es dann "as-is" unter Windows funktioniert
und ebenso unter Linux, wenn ich mit dem iPhone einen Hotspot mit 172.20.10.0/28 aufmache und per VPN nach Hause gehe.

Was passiert wenn ich dann zu Haus mein Netz bspw. auf 172.24.1.0 /24 umgestellt habe? Funktioniert dann der Hotspot mit dem iPhone nicht mehr, aber das WLAN vom Hotel oder der Hotspot von meinem Android Handy (192.168... s.o.)?

Das Problem muss doch grundsätzlich lösbar sein, solange die Netze local und remote nicht identisch sind.

@Christian (certifiedit.net)
Vielleicht verstehe ich das nicht richtig (und ich bin kein Netzwerker):
Unter "Hotel Subnetz größer ist, als deines" verstehe ich, dass mehr Clients angeschlossen werden können (/22 gegenüber /24),
dann wäre das Netz des Hotspots meines Handys genauso groß wie meines zu Hause.
In beiden Fällen wäre das kleinste Subnetz, das beide enthält 192.168.0.0/16. Aber das würde ja auch entstehen, wenn ich bspw. ein 172 Netz zu Hause aufbaue und das Hotel auch mit einem 172 Netz aufwartet. Da komme ich ja nie wirklich raus.

Auch hier: Das Problem muss doch grundsätzlich lösbar sein, solange die Netze local und remote nicht identisch sind.

"wird der Traffic einfach nicht hingeroutet"
Aber das passiert doch - oder was sehe ich hier nicht, das Du meinst?
Bitte warten ..
Mitglied: certifiedit.net
28.06.2020 um 01:16 Uhr
Nein deine anfragen gehen einfach nicht raus. Das ist wie wenn du sagen würdest alles Nummern mit 1*** (1 bis 1999) gehen über Strecke x du danach aber eine niedrigere prio der Route zu 11* gibst. Klar dass die zweite Route dann einfach nicht mehr bedacht wird.
Bitte warten ..
Mitglied: WhiteShad
29.06.2020, aktualisiert um 01:00 Uhr
OK, Du beziehst Dich auf die "Metric" Werte.

Alles was mit tun0 und der Verbindung nach draußen zu tun hat, ist hoch priorisiert (0). Und wie geschrieben...
... funktioniert das auch.
Bitte warten ..
Mitglied: WhiteShad
29.06.2020 um 00:56 Uhr
IpTables: Der Eintrag ist essenziell:
MTU:
>Problem 3:
>Wenn es hier ein MTU-Mismatch sein sollte, dann könnte dies auch die Ursache für Problem 1+2 sein.

Und so ist es / war es auch: Mit der zusätzlichen Zeile in der /etc/openvpn/server.conf
funktioniert es jetzt!

Details zu "mssfix" hier: https://blog.hambier.lu/post/solving-openvpn-mtu-issues#Recommendations

PS.: "Jetzt" bedeutet, dass ich das mit dem Hotspot meines Handys getestet habe, das aufgespannte Netz weicht ja von dem vom Hotel ab:
>WLAN Hotel: 192.168.44.0/22
>Hotspot Android Handy: 192.168.43.0/24
Leider kann ich das mit dem Hotel bis auf weiteres nicht testen - aber die nächste ähnliche Gelegenheit kommt bestimmt.

Und "Getestet" bedeutet
Bitte warten ..
Mitglied: certifiedit.net
29.06.2020 um 00:57 Uhr
du vergleichst hier komplett unterschiedliche Dinge, aber bitte. Ich hoffe, du machst das nicht beruflich
Bitte warten ..
Mitglied: WhiteShad
29.06.2020, aktualisiert um 01:12 Uhr
Ist schon spät, und ich habe aus Versehen die Windows-Routen angegeben... ist korrigiert, nun sind es die Linux Routen.

Wenn Du das nicht meintest, kann ich Dir immer noch nicht folgen.


EDIT:

"du vergleichst hier komplett unterschiedliche Dinge"

Jetzt mal bitte konkret: Was genau meinst Du?
Bitte warten ..
Mitglied: Dilbert-MD
29.06.2020 um 11:31 Uhr
Zitat von WhiteShad:
[...] In zwei dokumentierten Fällen nutzt das unterwegs zur Verfügung stehende WLAN (Hotel oder Handy Hotspot) das 192.168 Netz wie folgt:[...]

In der Zeit, in der Du die Frage verfasst hast, hättest Du auch Dein Netz auf ein 10.###.###.*** - Netz umstellen können.
Spätestens, wenn Du aus seinem 192.168er-Netz mal eine Verbindung zu einem hilfesuchenden 192.168er Netz aufbauen möchtest und auch dieses nicht optimal konfiguriert ist, kommen wieder Probleme auf Dich zu.

In einem 10er Netz bist Du frei bei der Wahl der Nummerierung der Blöcke 2 und 3 und kannst Dir merkbare oder passende Nummern auswählen und nach PLZ, Vorwahl, Geburtstag oder wwi sortieren.

Muss ja nicht jetzt sein, aber beim nächsten Gerätewechsel könnte man nochmal drüber nachdenken...

Gruß
Bitte warten ..
Mitglied: WhiteShad
29.06.2020 um 11:51 Uhr
Meinst Du, wenn ich ein 10er Netz habe, ist ein schlecht konfiguriertes 192.168er Netz kein Problem?
Wenn schon ähnliche Netze Probleme machen, sollte ich nicht auf ein 10er umstellen, da mein AG auch ein 10er hat.

Aber es ist doch so:
Bei einem schlecht konfigurierten Netz habe ich potenziell immer Probleme und es lag hier ja nicht an den 192.168er Netzen an sich.
Das Problem bei den 198.168er ist doch, dass es so viele davon gibt und ich eine hohe Wahrscheinlichkeit habe, auf ein Identisches zu treffen,
daher macht es Sinn auf ein anderes umzustellen, so dass die Wahrscheinlichkeit (hoffentlich) deutlich niedriger ist.

PS.: Ich werde demnächst das 192.168er Netz zu Hause umbauen. 10er oder 172er.. mal schauen.
Bitte warten ..
Mitglied: certifiedit.net
29.06.2020 um 12:03 Uhr
Bei einem schlecht konfigurierten Netz habe ich potenziell immer Probleme und es lag hier ja nicht an den 192.168er Netzen an sich.

Das sagst du.
Bitte warten ..
Mitglied: Dilbert-MD
30.06.2020 um 00:16 Uhr
Zitat von WhiteShad:
Wenn schon ähnliche Netze Probleme machen, sollte ich nicht auf ein 10er umstellen, da mein AG auch ein 10er hat.

Funktioniert bei mir und im Büro problemlos.
In beide Richtungen.
Und 10.xxx. sind dabei identisch.
Gastnetze sind auch Berücksichtigt.
Subnetzmasken sind auch gesetzt.

Bei beiden Netzen kenne ich aber die Konfigurationen.

und
schlecht konfigurierte Netze können immer Probleme bereiten.
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Netz zu Netz VPN mit Open-VPN auf anderen Port?

gelöst Frage von zeroblue2005Router & Routing5 Kommentare

Hallo Zusammen, ich möchte gerne zwei Standorte mit einander vernetzen über VPN. Beide Standorte verfügen über eine VDSL 100 ...

Router & Routing

Portweiterleitung auf VPN Netz

Frage von gamerffRouter & Routing3 Kommentare

Hallo Forum, ich habe zwei Fritzboxen per VPN mit einander verbunden. Fritzbox 1: 192.168.178.1 Fritzbox 2: 192.168.1.1 Wie kann ...

Windows Server

RDP über VPN mit .local Domäne über internet

Frage von Angelo131095Windows Server4 Kommentare

Hallo ich habe eine Frage. ist es möglich sich über das Internet mit z.b. RDP mit VPN auf einen ...

Router & Routing

VPN Verbindung im gleichen Netz

gelöst Frage von combochrisRouter & Routing9 Kommentare

Moin Moin, wir haben hier ein kleines Problemchen Wir haben bei unserem Kunden ein neues Netz eingerichtet, das lokale ...

Neue Wissensbeiträge
Off Topic

Im Tel Raum von Hamburg (040) sind mal wieder viele Indische Microsoft Anrufer unterwegs

Information von TomTomBon vor 20 StundenOff Topic3 Kommentare

Moin Moin, Die sind so schlecht das sogar meine Frau sofort die erkannt hat was die sind. Und Ihr ...

Router & Routing

FritzOS 7.20 kommt auch auf Deine Fritze (wahrscheinlich)

Information von Visucius vor 1 TagRouter & Routing10 Kommentare

Nachdem ich hier die Hassliebe zu den kleinen Kistchen kenne, sollten wir das nicht zu breit ausdehnen. Ein paar ...

Netzwerke

PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Anleitung von aqui vor 1 TagNetzwerke

Allgemeine Einleitung Das folgende VPN Tutorial ist eine Ergänzung zum bestehenden VPN_Client_Tutorial. Es beschreibt ebenfalls die VPN Anbindung von ...

Datenschutz

Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

Information von Visucius vor 4 TagenDatenschutz2 Kommentare

Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

Heiß diskutierte Inhalte
Windows Server
Domäne nach Ausfall eines DC komplett gestört
Frage von thaddaeus93Windows Server42 Kommentare

Hallo Zusammen, wir haben hier zwei DC's (einen 2011 SBS und einen 2016 Standard) - ursprünglich sollte die Migration ...

Windows Server
GPO Kennwortrichtlinie wird nicht angewandt
Frage von SabSchapWindows Server34 Kommentare

Hallo, ich habe per GPO Default Domain Policy unter "Computer" die Kennwortrichtlinie definiert. Das Kennwort soll nach 365 Tage ...

VB for Applications
VBS wird nach Anmeldung (Aufgabenplanung) nicht richtig ausgeführt
gelöst Frage von MrLabelVB for Applications30 Kommentare

Hallo, ich habe ein VB Script geschrieben, welches morgens mit der Aufgabenplanung gestartet wird. (Ich weiß die Lösung ist ...

Festplatten, SSD, Raid
Raid5 SAS HDD auf RAID10 SSD ML350 G8
gelöst Frage von DCFan01Festplatten, SSD, Raid25 Kommentare

Hallo Community, ich habe hier bei mir einen HPE ML350G8, mit P440 Raid-Controller und derzeit 4x SAS 10K HDD ...