Guten Tag,

wir haben einen OpenVPN-Client, um damit in ein externes Firmennetz zu gelangen. Weiterhin sind unsere Clients und Server in getrennten VLANs untergebracht.

Wird der OpenVPN-Client gestartet, verlieren diese Clients die Verbindug ins Server-VLAN.

Wie lässt sich diese Verbindug wieder herstellen bzw. gar nicht erst verlieren?

Hallo,

ehrlich gesagt verstehe ich deine Erklärung nicht so ganz. Wo genau befindet sich der OpenVPN Client? Auf der Firewall oder auf einem Client in einem eurer VLANs? Am besten mal kurze eine kleine Topologie skizzieren.

Ansonsten hört sich das für mich so an, als würdet ihr den ganzen Traffic an den OpenVPN Server weiterleiten. Dazu einfach den Redirect Gateway Parameter aus der Server Config entfernen und somit einen Split Tunnel daraus machen.

Hier wäre es mal gut, wenn du uns mal die OVPN Server und Client Config postest.

MfG

Der VPN-Client ist auf einem PC installiert. Der befindet sich im VLAN 1. Unsere Server befinden sich im VLAN 2.

Der VPN-Client verbindet sich mit ExtLANx.

Auf den VPN-Server haben wir keinen Zugriff, der steht ja extern.

Wir müssen also den internen Verkehr vom VPN-Client fernhalten.

Ich bin nicht so der Netzwerkexperte, deswegen die umständliche Beschreibung.

Hallo,

Zitat

Auf den VPN-Server haben wir keinen Zugriff, der steht ja extern.

Dann musst du folgendes bei der Client Config anpassen:

https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway?__cf_chl_jschl_tk__=pmd_zz3oR6VIU9d_hsvkxLnZ71pYkziWgKgZ4LVAIRgbVF4-1633955215-0-gqNtZGzNAiWjcnBszQe9

Ggf. musst du noch zusätzliche Routen definieren, falls auf der Gegenseite mehrere Netzwerke gibt, die die Clients erreichen sollen.

MfG

Wo trage ich diese Optionen ein?

Ich habe im Programmordner eine ovpnconnector.cfg gefunden. Die ist leer. Und unter AppData/Roaming/... eine config.json, die nur eine riesenlange Zeile enthält.

 

Hallo,

bei OpenVPN müsste es für die Client Konfiguration eine .ovpn oder .conf Datei geben. 

Welchen OpenVPN Client benutzt du denn? Es gibt auch OpenVPN Clients wie z.B. der von Sparklabs, bei denen der OpenVPN Client sich um die Verwaltung der Konfigurationsdatei kümmert, d.h. die Änderung muss direkt in der Software durchgeführt werden.

MfG

Es handelt sich um OpenVPN Connect.

Es gibt eine "PC ***∕Dynamic [bundled].ovpn" im Nutzerprofil. Da stehen RSA-Signaturen und Zertifikate drin. Und Zeilen, die mit # beginnen sind Komentare, denke ich mal.

Ich habe Verschíedenes aus dem Beitrag eingetragen. Es hilft nichts.

Hallo,

hm okay. Magst du vielleicht mal die Client Config posten, wie sie derzeit ausschaut? Hast du auch ggf. mal ins OpenVPN Log geschaut, ob der Parameter auch wirklich greift?

Ansonsten stelle mal eine OpenVPN Verbindung her und poste die Ausgabe des folgenden CLI Befehls:

route print | more

Der Befehl zeigt dir die Routing Tabelle des Rechners an.

MfG

So, weiter geht's.

Wenn der Client im VLAN 2 bei den Servern ist, dann geht alles. Wechselt er wieder ins VLAN 1, wieder Trennung.

Im Anhang mal die "route print"-Ausgaben.

Das 10.x Netz ist das das Servernetz? Und die 192.168.x ist das Clientnetz?

Gibt es im internen Netzwerk eine Fireawall/ACLs die den Zugriff in das Servernetz regeln?

Meine Vermutung wäre, dass es dort keine Regel gibt die den Zugriff aus dem VPN in das Servernetz erlaubt. Da der VPN Client zusätzlich nur in das "Originalnetz" der Netzwerkkarte kommt, ist das Servernetz erreichbar wen der Client da auch mit drin ist.

Das 10.x-Netz ist das vom VPN-Client. Also muss das 10.x-Netz auch in das Servernetz über die Firewall dürfen?

vor 34 Minuten schrieb Narf!:

Das 10.x-Netz ist das vom VPN-Client. Also muss das 10.x-Netz auch in das Servernetz über die Firewall dürfen?

• Müssen? Nein.
• Wäre es hilfreich, wenn der Zugriff nötig wäre? Eindeutig ja.

Anderes Beispiel:

• Muss deine Freundin dir einen Schlüssel zu ihrer Wohnung geben? Nein.
• Ware es hilfreich, wenn du etwas für sie dort erledigen sollst und sie ist nicht da? Eindeutig ja.

Ich habe rumprobiert, aber es hilft nichts.

Wie muss der route.exe-Befehl aussehen?

Und ein weiterer Versuch:
route [-p] [Serverbereich-IP] MASK 255.255.255.0 [Client-Router]

Klappt trotzdem nicht. Und ist das nicht auch schon im ersten Eintrag (0.0.0.0) mit drin?

Kann man dem VPN-Client von unserer Seite her beibringen, dass er die Anfragen ins Server-Netz ignorieren bzw. durchlassen soll?

So, Zeit für Facepalm.

Nicht die Netzwerkverbindung ist getrennt, sondern nur die zum DNS.

Ich kann die IP im Serverbereich anpingen, aber eben nicht den Namen des Servers.

Wie bekomme ich jetzt den VPN-Client dazu, die DNS-Anfragen durchzulassen?

Ohne genauer hinzusehen mit deinen Buzzwords uas diesem und dem ersten Post:
https://openvpn.net/vpn-server-resources/troubleshooting-dns-resolution-problems/

https://serverfault.com/questions/718808/cannot-get-client-to-pass-dns-queries-through-openvpn-tunnel

https://security.stackexchange.com/questions/123764/how-are-dns-requests-sent-when-using-openvpn-are-they-encrypted

 

and many many more. Das Problem hatten wohl schon einige andere