ipfire via OpenVPN nicht erreichbar

Das schwierige Thema VPN!
Post Reply
fow0ryl
Posts: 23
Joined: November 30th, 2015, 3:26 pm
Location: GF

ipfire via OpenVPN nicht erreichbar

Post by fow0ryl » October 20th, 2019, 10:13 pm

Hallo,

ich betreibe ipfire bei einem Bekannten, der rund 200km von mir entfernt wohnt. ipfire läuft virtualisiert in einer XEN Umgebung, die aus 2 Servern besteht. Jeder XEN Server hat je eine Netzwerkkarte im roten Netz, an dem eine Fritz!Box hängt, über die das Internet bereitgestellt wird und eine Netzwerkkarte, über die das interne, grüne Netz bereitgestellt wird.

Das ipfire ist eingerichtet und läßt sich auch problemlos per OpenVPN erreichen. Man kann es im laufenden Betrieb von einen Server auf den anderen verlagern. Alles Bestens.

Kritisch sind jedoch immer Änderungen am ipfire selbst. Wenn ich mir dabei die OpenVPN Verbindung zerschieße, kann ich nichts mehr konfigurieren, da ich das remote System nicht mehr erreichen kann.
Daher hatte ich die Idee einfach ein zweites, minimales ipfire als Rettungssystem mit anderen IP Adressen und OpenVPN Ports aufzusetzen, das dann neben dem eigentlichen System parallel mitläuft. In der Fritzbox sind 2 dazu passende Portforwardings eingetragen.
Dabei taucht folgender für mich unerklärlicher Effekt auf.

Melde ich mich per OpenVPN am ipfire-Master an, kann ich vom Client aus alle Geräte mit Ausnahme des ipfire-Rescue im remoten Netz erreichen.
Auch beide XEN Server sind problemlos zu erreichen.
Melde ich mich auf der Konsole des ipfire-Master an, kann ich von dort aus das ipfire-Rescue anpingen, oder per ssh erreichen.

Wenn ich die OpenVPN Verbindung über das ipfire-Rescue herstelle ist es genau anders herum.
Das jeweils andere ipfire System ist vom Client aus nicht zu erreichen.
Ein Ping läuft auf einen Timeout, ein Tracert endet immer am OpenVPN Interface des OpenVPN Servers. Dann gibt es Timeouts.

Ich verstehe nicht, warum ich alle remoten Geräte sehen kann, nur das ipfire nicht ...

Gruß
Henning

56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

Re: ipfire via OpenVPN nicht erreichbar

Post by 56kbit » October 28th, 2019, 11:33 pm

Hi.

Habe gerade mal versucht mitzudenken - irgendwie fehlen mir Infos oder wären zu überprüfen.
kann ich von dort aus das ipfire-Rescue anpingen, oder per ssh erreichen.
Wenn ich die OpenVPN Verbindung über das ipfire-Rescue herstelle ist es genau anders herum.
Das jeweils andere ipfire System ist vom Client aus nicht zu erreichen.
^^Dies widerspricht sich z.B. - oder ist nicht ganz vollständig. Ein Ping oder SSH ist Erreichbarkeit.
Daher schreit dies förmlich nach einer kleinen Tabelle oder Liste: WAS ist von WO WIE erreichabr oder NICHT erreichbar ...

"Nur" erste Fragen, ich vermute sonst wird hier kaum jemand helfen können:
  • Welche Netze gibt es?
  • Welche IP-Adressen nutzt man wofür?
  • Welcher Zugriff von extern, intern, Port Forwarding, Ping (was intern scheinbar geht), SSH connect ...
  • Gibt es FW-Restriktionen?
Erste Gedanken:
1. Ich mal mir bei so etwas immer einen Netzplan, Fokus auf externe und interne Adressen, rot, grün, blau - lila, rosa Interfaces - gern auch gelb mit Punkten ...

2.Jede FW hat mindestens 2 IP-Adressen
3. Das Routing und erlaubte Zielnetze werden somit wichtig - genauso wie die Wahl der Ziel-Adressen .
4. Wenn - und nur wenn - die Konfiguration der 2 IPFires Rot und grün im selben Subnetz haben ist der Zugriff von IPFire zu IPfire über das "grüne" Interface im ersten Schritt wohl logisch & möglich , dazu gehört auch die Nutzung der internen Adressen. Nutzt man die externen bekommt man eher keinen Zugriff ;)
ergo: die IPFires müssen mindestens 4 IP-Adressen haben von denen 2 jeweils in identischen Subnetzen sein müssen:
- 2x identische Netze da beide an der Fritzbox hängen, das Fritzboxnetz, nennen wir es rot oder Transportnetz.
- 2x identische Netze da beide aufeinander zugreifen sollen, nennen wir es grün oder "intern"
5. Neben Routing und IPs wird auch das Firewallsetting relevant sein und wäre zu prüfen

...

ich tippe ja auf verwechselte Adressen intern und extern bei Adressierung;-)

fredym
Posts: 536
Joined: November 14th, 2016, 2:45 pm

Re: ipfire via OpenVPN nicht erreichbar

Post by fredym » October 31st, 2019, 3:53 pm

Hallo,
und einen kleinen Nachtrag:

du kannst auch mehrrerere verschiedene(!) (Client)Remoteeinträge machen, wenn einer nicht geht, probiert der openVPN-Client den nächsten solange, bis eine Verbindung zustande kommt !
Setze also z.B. deine openVPN-Server mit jeweils identischen Zertifikatseinträgen auf (Kopieren geht).
Hatten wir eine Zeit lang wegen "wackeliger Providerleitungen" in Betrieb ... DSL und Kabel und im Fehlerfall hat sich der Client eben auf den nächsten erreichbaren Zugang verbunden .. von einem Standort hatten wir immer 2 Tunnel laufen (nach Hause) weil der Client dort nur über UMTS/LTE kam - also einen zweiten Weg ("Wartungshintertür") laufen lassen ...statt 750km fahren ;-).. hat eigentlich über Jahre funktioniert und man konnte auf diesem Weg auch gut umkonfigurieren im Betrieb. (na ja.. erst denken dann handeln... damit man sich nicht "aussperrt" ;-) )

Fred

Post Reply