Lokales Lan hat keinen Zugriff auf VPN Clients

[the-brad]

Hallo zusammen,

ich habe gerade folgendes Problem. Auf einer DS214 habe ich einen VPN Server eingerichtet, die VPN Clients verbinden sich von Außerhalb per PPTP zur Diskstation.

Das Szenario sieht so aus: VPN-Client -> Router[10.1.10.1] -> Diskstation LAN1 [10.1.10.42]

Diskstation LAN2 [192.168.1.13] -> Lokale Clients [192.168.1.x ]

VPN-Clients [192.168.2.x]

Im VPN Server ist eingestellt das Netzwerkinterface LAN2 verwendet wird.

Das funktioniert soweit auch alles, die VPN-Clients sehen sich im Bereich [192.168.2.x] untereinander, haben auch Zugriff z.b. per RDP auf alle Clients im Bereicht [192.168.1.x] können diese auch Pingen.

Versuche ich aber von [192.168.1.x] auf [192.168.2.x] zuzugreifen komme ich nicht durch, auch dann nicht wenn ich auf den lokalen Clients als Standard Gateway die IP der Diskstation angebe.

Hab es auch schon mit einer Route auf den lokalen Clients probiert "route -p add 192.168.2.0 mask 255.255.255.0 192.168.1.13" funktioniert auch nicht.

Wenn ich mit der eingestellten Gateway [192.168.1.13] von den lokalen Clients ein Trace-Route auf eine IP im Bereich [192.168.2.x] mache bleibt das Paket an der Diskstation stecken.

Kann mir jemand sagen was ich einstellen muss bzw. wo der Fehler liegt?

 

[jahlives]

eventuell ist das IPv4-Forwarding nicht aktiviert?

echo 1 > /proc/sys/net/ipv4/conf/all/forwarding

Firewallregeln können solche Zugriffe auch blocken. Also zum Test mal die Firewall auf der DS deaktivieren

 

[the-brad]

Hab das IPv4-Forwarding mal aktiviert hat aber keine Besserung gebracht. Die Firewall habe ich unter /usr/syno/etc.defaults/rc.d/ mit S01iptables.sh stop mal deaktiviert. Hat aber leider auch nicht geholfen. Der lokale Client hat die [192.168.1.13] als Gateway eingetragen und der bleibt beim Trace-Route weiterhin genau daran hängen.

 

[goetz]

Hallo,
Zwischenfrage, was hast Du als VPN Netz beim VPN Server eingetragen (Dynamische IP-Adresse)?

Gruß Götz

 

[the-brad]

Ich kann nur Dynamische IP-Adresse vergeben der Bereich ist [192l.168.2.x] für die VPN Clients. Das setzten der Clients in das selbe IP-Netz wie die lokalen Clients [192.168.1.x] erlaubt er mir nicht.

 

[goetz]

Hallo,
ich hab mal eine statische Route im Router definiert
Netz: 10.0.0.0 Mask 255.255.255.0 Gateway: 192.168.1.40 (meine DS).
Dynamische IP 10.0.0.0 ~10.0.0.255
Per Mobilfunk per PPTP verbunden und kann das Mobile anpingen.

Ping wird ausgeführt für 10.0.0.1 mit 32 Bytes Daten:
Antwort von 10.0.0.1: Bytes=32 Zeit=97ms TTL=63
Antwort von 10.0.0.1: Bytes=32 Zeit=175ms TTL=63
Antwort von 10.0.0.1: Bytes=32 Zeit=88ms TTL=63
Antwort von 10.0.0.1: Bytes=32 Zeit=102ms TTL=63

Tracert:

Routenverfolgung zu 10.0.0.1 über maximal 30 Abschnitte

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms    <1 ms    <1 ms  DS411PLUSII [192.168.1.40]
  3  1715 ms   830 ms  1923 ms  10.0.0.1

Ablaufverfolgung beendet.

Wie sind denn die Clients überhaupt ins Internet angebunden und welche eigene IP Konfiguration haben sie?

Gruß Götz

 

[the-brad]

Die lokalen Clients im 192.168.1.x hängen alle hinter einem Router 192.168.1.1 dieser ist mit dem WAN-Port ans das 10.1.10.x angeschlossen für den Internet Zugang. Es ging darum die lokalen Clients bewusst abzukapseln.
Die Diskstation hängt mit ihrem Lan-Port jeweils in beiden Netzen wie oben schon geschrieben. Diskstation LAN1 [10.1.10.42], LAN2 [192.168.1.13]. Die Einwahl in das VPN der Diskstation erfolgt von außen durch den Router mit dem Netz 10.1.10.x, für das VPN ist in der Diskstation dann der Zugriff auf LAN2 aktiviert. Wie gesagt soweit tut es das ja auch die VPN Clients sehen alles im 192.168.1.x. Habe jetzt in dem Router mit dem Netz 192.168.1.x so wie du oben beschrieben hast ne statische Route auf die Diskstation festgelegt. Pinge ich jetzt einen der VPN Clients im [192.168.2.x] bleibt das Paket trotzdem an der Diskstation hängen:

Routenverfolgung zu 192.168.2.1 über maximal 30 Abschnitte

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2     1 ms    <1 ms    <1 ms  CUBE [192.168.1.13]
  3  * * *  Zeitüberschreitung der Anforderung

Gehe ich den umgekehrten Weg von den VPN Clients klappte es wunderbar:

Routenverfolgung zu 192.168.1.1 über maximal 30 Abschnitte

  1    <1 ms    <1 ms    <1 ms  CUBE [192.168.2.0]
  2     1 ms    <1 ms    <1 ms  192.168.1.1

Ablaufverfolgung beendet.

Die VPN Clients untereinander klappen auch einwandfrei:

Routenverfolgung zu 192.168.2.2 über maximal 30 Abschnitte

  1    <1 ms    <1 ms    <1 ms  CUBE [192.168.2.0]
  2     3290ms    818 ms    879 ms  192.168.2.2

Ablaufverfolgung beendet.

 

[jahlives]

in dem Fall wo es nicht klappt mit den Pings: welche IP Adresse hat denn der Client, der die Pinganfrage sendet? Aus demselben Subnetz wie die DS (also 192.168.1.X)? Falls ja, dann tippe ich auf eine Asymetrie, denn wieso sollte die DS eine Antwort an einen Client aus ihrem eigenen Subnetz wieder über den Router schicken? Probier mal auf dem fraglichen Client manuell eine Route für das OVPN Netz an die IP 192.168.1.13 zu setzen. Damit der Weg nicht via default Gateway geht. Klappt es dann?

 

[the-brad]

Die Clients kommen genau wie du vermutest aus dem selben Netz 192.168.1.x wie der LAN2 der Diskstation. Das mit der Route auf den Clients hatte ich schon probiert, es bleibt unmittelbar an der Diskstation hängen genau wie jetzt auch. Habe folgende Route geadded:

route ADD 192.168.2.x MASK 255.255.255.0 192.168.1.13

Das Tracing von einem Client mit der IP 192.168.1.5 sieht dann so aus:

Routenverfolgung zu 192.168.2.1 über maximal 30 Abschnitte

  1     1 ms    <1 ms    <1 ms  CUBE [192.168.1.13]
  2  * * *  Zeitüberschreitung der Anforderung

So richtig verständlich ist es mir nicht, denn die DS lässt ja aus dem 192.168.2.x Netz alle Anfragen in das 192.168.1.x warum blockt es die Anfragen umgekehrt dann immer ab und leitet diese nicht weiter.

 

[jahlives]

hast du mal mit tcpdump geguckt ob die ICMP Pakete überhaupt beim Zielclient ankommen? Bis zur DS scheint es ja zu kommen. Allenfalls auch auf der DS mit tcpdump gucken wo und wie die Pakete rausgehen. Allenfalls kommen die Pakete bis zum Ziel, aber mit der Source Adresse 192.168.1.x Das würde der Zielclient dann via seinen default GW beantworten, was nicht unbedingt die DS sein muss. Mal probiert auf dem Zielclient auch eine Route für das 192.168.1.0/24 via die OVPN IP der DS zu setzen?