PPTP VPN mit DD-WRT: Kein Routing zwischen lokalem IP-Range und VPN IP-Range

RaistlinMajere · 29.11.2009, 17:38

Ich habe auf meinem Linksys WRT54GL DD-WRT raufgespielt um mir damit einen PPTP VPN-Server aufzusetzen.

An und für sich keine große Sache, die Verbindung von Clients klappt auch (getestet mit Yesss), nur scheint kein Routing zwischen dem IP-Range, den ich für die VPN-Clients vergeben habe und dem meines lokalen Netzwerks stattzufinden.

Dies sind meine Einstellungen in DD-WRT bei Services->VPN->PPTP Server:

PPTP Server: Enable
Broadcast support: Enable
Force MPPE Encryption: Enable
Server IP: 10.0.0.135, dies ist die IP, die der Linksys in meinem lokalen Netzwerk (10.0.0.0) hat.
Client IP(s): 172.28.254.1-20 (halt irgendwas exotisches, damit es hoffentlich keine Probleme mit dem Fremdnetz gibt)
CHAP-Secrets: Hier ist ein User angegeben, mit dem ich mich auch erfolgreich anmelden kann.
Radius: Disable

Der Client ist der von WinXP Pro, das Hakerl bei "Use default gateway on remote network" habe ich entfernt.

Ich bin eigentlich davon ausgegangen daß bei der Angabe des VPN IP-Ranges ein Routing zwischen diesem und dem Heimnetzwerk stattfindet. Dies dürfte allerdings nicht der Fall sein.

Ich habe mal testhalber für die VPN-Clients einen IP-Range aus dem lokalen Netzwerk angegeben (10.0.0.100-110), wenn ich mich dann verbinde klappt alles. Es dürfte also wie gesagt ein Routingproblem sein.

Unter Setup-Advanced Routing gibt es den Punkt "Operating Mode", wo ich gerne auf "Router" umstellen würde (soll man auch in meinem Fall, da der Linksys ja nicht für die Internetverbindung nach draußen verantwortlich ist).

Nur sobald ich irgendwas auf der Seite ändere öffnet sich eine komplett leere Seite im Browser namens apply.cgi - mehr tut sich nicht. Wenn ich dann zurück gehe sehe ich, daß keine Einstellungen übernommen wurden.
Ist das ein Bug in der Firmware (DD-WRT v24-sp2)? Gibts eine Möglichkeit, wie ich den Operating Mode sonst wie umstellen kann?

ANOther · 29.11.2009, 18:00

ich denke mich zu erinnern, dass schon so mancher probleme mit yesss-vpns hatte...
vlt liegst einfach an yesss?
(reine vermutung)

RaistlinMajere · 29.11.2009, 18:04

Zitat:

Zitat von RaistlinMajere

Unter Setup-Advanced Routing gibt es den Punkt "Operating Mode", wo ich gerne auf "Router" umstellen würde (soll man auch in meinem Fall, da der Linksys ja nicht für die Internetverbindung nach draußen verantwortlich ist).

Nur sobald ich irgendwas auf der Seite ändere öffnet sich eine komplett leere Seite im Browser namens apply.cgi - mehr tut sich nicht. Wenn ich dann zurück gehe sehe ich, daß keine Einstellungen übernommen wurden.
Ist das ein Bug in der Firmware (DD-WRT v24-sp2)? Gibts eine Möglichkeit, wie ich den Operating Mode sonst wie umstellen kann?

Ook, das wäre mal gelöst. War ein problem mit FF, IE hat kein Problem, so daß ich den Status von "Gateway" auf "Router" geändert habe.

Trotzdem funzt das Routing noch nicht.

Another: Glaube ich nicht. Wenn ich für die Clients einen IP-Range aus meinem lokalen Netzwerk angebe gehts ja wunderbar. Nur da findet eben kein Routing statt, was ich aber gerne hätte, da mein lokales Netz 10.0.0.0 verwendet - so wie viele andere eben auch (was dann ein Problem wäre, sobald ich mich in so einem Netz nach Hause verbinden will).

Ein Problem ist halt auch noch, daß ich nicht weiß, was ich bei Server IP bei den VPN-Einstellungen eingeben soll. Die tatsächliche IP, die der Linksys in meinem Heimnetzwerk hat (also 10.0.0.135) oder eine aus dem VPN-Range? Ich habe dazu z.B. diese Anleitung gefunden, die sich nur leider in dem Punkt selbst widerspricht. Einerseits sagt sie, daß die VPN-Adressen einen eigenen Range verwenden sollen (was eh klar ist, damits keine Konflikte gibt), andererseits soll bei der Server-IP die IP-Adresse aus dem lokalen Netzwerk angegeben werden - welche aber laut Korrektur des eh schon falschen Screenshot aus demselben Range ist wie die der VPN-Clients!
Ich vermute daß auch die Korrektur falsch ist und der Range tatsächlich 192.168.10.1-20 sein soll.

Habe jetzt jedenfalls als Server IP 10.0.0.135 eingetragen. Interessanterweise lässt sich diese IP auch über einen VPN-Client mit einer 172er-Adresse pingen. Allerdings nur diese eine, keine andere aus 10.0.0.0.

ZombyKillah · 29.11.2009, 19:00

Weiß dein Client, dass er das Netzwerk 10.0.0.x auf der anderen Seite des VPN Netzwerkes findet?

Beispiel:
local network:
10.0.0.n/24
Server: 10.0.0.135

Auf dem Server wird ein Netzwerkdevice angelegt, welches ebenfalls eine IP bekommen kann.
Beispiel:
Network: 10.0.0.135/24
VPN: 10.0.0.135/16
Durch das Setzen der Netmask 255.255.0.0 werden alle anderen 10.0.x.n Netzwerke über das VPN gesucht.
Durch diese Einstellung würde der Client ebenfalls den Adressbereich 10.0.x.n
für die VPN Verbindung bekommen und alle Adressen in diesen Bereich dort suchen.

Wenn du allerdings eine Adresse aus dem Bereich: 172.16.0.0 – 172.31.255.255 für das VPN verwenden willst, muss der Client seine Routing table ebenfalls so anpassen, dass er weiß, dass ein 10.0.0.n Netzwerk auf dem anderen Ende der VPN zu finden ist.

Einfach zu testen, ob dass wirklich das Problem ist, ist indem man beim VPN Client einstellt, dass der gesamte netzwerktraffic über die VPN Verbindung geschickt wird.

However, wenn die Adressen im "VPN" Server Netzwerk gleich sind, wie die des "lokalen" Netzwerkes des Clients wirst du immer Probleme haben.

Die Einstellung, welche ich empfehlen würde:
Serverbereich festlegen ... z.B.: 10.0.0.1 - 10.0.0.16
Drüber den VPN Bereich ... z.B.: 10.0.0.17 - 10.0.0.32
Dann den DHCP beginnend bei ... 10.0.0.33

RaistlinMajere · 01.12.2009, 20:18

Zitat:

Zitat von ZombyKillah

Wenn du allerdings eine Adresse aus dem Bereich: 172.16.0.0 – 172.31.255.255 für das VPN verwenden willst, muss der Client seine Routing table ebenfalls so anpassen, dass er weiß, dass ein 10.0.0.n Netzwerk auf dem anderen Ende der VPN zu finden ist.

wieso? ist es nicht aufgabe des routers, auf dem der VPN-server läuft, zwischen den beiden netzwerken hin- und herzurouten?

Zitat:

Einfach zu testen, ob dass wirklich das Problem ist, ist indem man beim VPN Client einstellt, dass der gesamte netzwerktraffic über die VPN Verbindung geschickt wird.

das sollte ja eigentlich durch diese einstellung passieren (dieser guide befasst sich leider nur mit der vergabe von VPN-clientadressen aus demselben netz wie dem heimnetzwerk, da gibts dann schnell ein problem wenn man nicht von haus aus im heimnetzwerk einen exotischeren IP-range verwendet), wenn man sie (wie es bei windows default ist) aktiviert lässt, oder? denn dann verwendet die VPN-verbindung das default gateway des heimnetzwerks (also wo der VPN-server läuft), sprich alles geht über dieses gateway und nichts über das des hotel-netzes, in dem man sich z.b. befindet.

wenn ich diese einstellung aktiviert lasse bekomme ich als default gateway aber genau die IP zugewiesen, die ich dem VPN-server im VPN-range zugewiesen habe. und das sollte ja eigentlich auch passen, denn so wie ich das verstehe befindet sich ja an dieser adresse das VPN-interface des routers, der nun in das heimnetz 10.0.0.0 routen soll (und es offenbar nicht tut, sonst hätte ich ja das problem nicht). oder hab ich da was nicht verstanden?
als subnet mask bekomme ich dabei komischerweise 255.255.255.255, wieso ist das so? damit wird ja nur der eine client angesprochen, ist aber dann nicht teil eines netzwerks, oder?

Zitat:

However, wenn die Adressen im "VPN" Server Netzwerk gleich sind, wie die des "lokalen" Netzwerkes des Clients wirst du immer Probleme haben.

Die Einstellung, welche ich empfehlen würde:
Serverbereich festlegen ... z.B.: 10.0.0.1 - 10.0.0.16
Drüber den VPN Bereich ... z.B.: 10.0.0.17 - 10.0.0.32
Dann den DHCP beginnend bei ... 10.0.0.33

das obere ist mir schon klar, aber dann verstehe ich nicht wieso du diese einstellungen empfiehlst. immerhin kanns ja sein, daß ein hotel sein netzwerk mit 10.0.0.0 betreibt, da habe ich dann sofort ein problem bei diesen adressen, wenn mein VPN-server daheim mir so eine adresse zuweist und mir sein default gateway bekannt gibt, dessen adresse sich aber auch im hotel-netzwerk befindet. das gibt dann eine kollision.

ZombyKillah · 01.12.2009, 20:52

Der Router kann nur Verbindungen Routen, die er auch erhält.
In Wirklichkeit hat jeder Computer eine Routing-Table in welcher drinnen steht, welches Netzwerk er über welches Gerät (WLAN, LAN, VPN, etc.) erreicht.

Alle nicht "direkt" erreichbaren Adressen werden über den default Gateway geschickt, welcher dann wissen muss wohin er das Packet routet.

Soweit ich pptp vpns beobachten konnte, nimmt der Computer an, dass es sich um ein 255.255.255.0 Netzwerk handelt, obwohl er 255.255.255.255 hinschreibt ... warum weiß ich nicht.
Als Gateway muss er die Adresse des PPTP Interfaces hinschreiben.

Wie siehts mit der iptalbes Konfiguration aus?
Kann es sein, dass dort die aufgebauten pptp Verbindungen noch blockiert werden.
Habe bei meinen folgende Seite verwendet (war aber white russian)
http://nuwiki.openwrt.org/oldwiki/PPTPDHowto

Such dir einen Adressbereich aus ... das Problem, dass ein Hotel den gleichen Adressbereich verwenden könnte hast du in jeden Bereich.
Ich gebe zu, dass die gebräuchlichsten meines Wissens: 10.0.0.n, 10.127.n.n, 192.168.0.n, 192.168.1.n sind.

RaistlinMajere · 01.12.2009, 21:59

Zitat:

Zitat von ZombyKillah

Such dir einen Adressbereich aus ... das Problem, dass ein Hotel den gleichen Adressbereich verwenden könnte hast du in jeden Bereich.
Ich gebe zu, dass die gebräuchlichsten meines Wissens: 10.0.0.n, 10.127.n.n, 192.168.0.n, 192.168.1.n sind.

naja, wenn ich einen adressbereich aus meinem heimnetzwerk nehme gehts ja eh, aber genau das wollte ich ja nicht tun, um eben so einen möglichen konflikt zu vermeiden.

ich will mal schildern, was ich vor hatte:

bei mir daheim und bei meinen eltern läuft jeweils derselbe telekom-router mit einer IP 10.0.0.138. diese ist unabänderlich (ich habs mal probiert, daraufhin mußte ich den router resetten), ein manko der firmware und aktuellere gibts leider keine, daher muß man damit wohl leben.

nun möchte ich beizeiten von meinen eltern per VPN auf mein heimnetzwerk zugreifen. problem ist, daß sobald die verbindung steht, ich zwar von daheim eine 10.0.0.x-adresse bekomme, diese aber gleichzeitig aus dem bereich des netzwerks meiner eltern ist.
um dieser bekannten problematik zu entkommen dachte ich mir, daß ich für die VPN-verbindung einfach ein anderes netz wähle (möglichst exotisch), damit eben sowas nicht passiert. der router sollte, so wie ich die arbeitsweise eines routers verstanden habe, in der lage sein, zwischen 2 interfaces in unterschiedlichen netzen routen können, immerhin macht das ja die aufgabe eines routers aus.

und genau das hat eben nicht funktioniert. du meinst also daß ich da grundsätzlich falsch gedacht habe und der VPN-adressbereich sowieso aus demselben netz wie das heimnetzwerk sein MUSS? aber was, wenn ich im router eine entsprechende regel hätte, die besagt, das traffic vom einen netz ins andere netz durchgelassen werden soll?

superuser · 02.12.2009, 09:04

Hallo
könntest ja mal posten was bei offenem vpn route print so ausspuckt

lg

RaistlinMajere · 02.12.2009, 10:28

Zitat:

Zitat von superuser

bei offenem vpn

was meinst du damit? soll ich das dann vom client aus ausführen?

superuser · 02.12.2009, 10:31

Hallo,

yep vom clien bidde vor und nach öffnen des vpn

route print

lg

29.11.2009, 17:38	#1
RaistlinMajere Inventar Registriert seit: 06.04.2001 Alter: 44 Beiträge: 2.343	PPTP VPN mit DD-WRT: Kein Routing zwischen lokalem IP-Range und VPN IP-Range Ich habe auf meinem Linksys WRT54GL DD-WRT raufgespielt um mir damit einen PPTP VPN-Server aufzusetzen. An und für sich keine große Sache, die Verbindung von Clients klappt auch (getestet mit Yesss), nur scheint kein Routing zwischen dem IP-Range, den ich für die VPN-Clients vergeben habe und dem meines lokalen Netzwerks stattzufinden. Dies sind meine Einstellungen in DD-WRT bei Services->VPN->PPTP Server: PPTP Server: Enable Broadcast support: Enable Force MPPE Encryption: Enable Server IP: 10.0.0.135, dies ist die IP, die der Linksys in meinem lokalen Netzwerk (10.0.0.0) hat. Client IP(s): 172.28.254.1-20 (halt irgendwas exotisches, damit es hoffentlich keine Probleme mit dem Fremdnetz gibt) CHAP-Secrets: Hier ist ein User angegeben, mit dem ich mich auch erfolgreich anmelden kann. Radius: Disable Der Client ist der von WinXP Pro, das Hakerl bei "Use default gateway on remote network" habe ich entfernt. Ich bin eigentlich davon ausgegangen daß bei der Angabe des VPN IP-Ranges ein Routing zwischen diesem und dem Heimnetzwerk stattfindet. Dies dürfte allerdings nicht der Fall sein. Ich habe mal testhalber für die VPN-Clients einen IP-Range aus dem lokalen Netzwerk angegeben (10.0.0.100-110), wenn ich mich dann verbinde klappt alles. Es dürfte also wie gesagt ein Routingproblem sein. Unter Setup-Advanced Routing gibt es den Punkt "Operating Mode", wo ich gerne auf "Router" umstellen würde (soll man auch in meinem Fall, da der Linksys ja nicht für die Internetverbindung nach draußen verantwortlich ist). Nur sobald ich irgendwas auf der Seite ändere öffnet sich eine komplett leere Seite im Browser namens apply.cgi - mehr tut sich nicht. Wenn ich dann zurück gehe sehe ich, daß keine Einstellungen übernommen wurden. Ist das ein Bug in der Firmware (DD-WRT v24-sp2)? Gibts eine Möglichkeit, wie ich den Operating Mode sonst wie umstellen kann? ____________________________________ "Life is like a box of rockets," said the Marine. "You never know what you´re gonna ret." Then he pulled the trigger of his BFG9000.

29.11.2009, 18:00	#2
ANOther Hero Registriert seit: 01.07.2008 Beiträge: 958	ich denke mich zu erinnern, dass schon so mancher probleme mit yesss-vpns hatte... vlt liegst einfach an yesss? (reine vermutung) ____________________________________ Wenn der letzte Baum gerodet, der letzte Fluß vergiftet, der letzte Fisch gefangen ist, fressen wir die Vegetarier...

29.11.2009, 19:00	#4
ZombyKillah Trashtroll Registriert seit: 19.10.2008 Ort: far away but still in austria Beiträge: 1.194 Mein Computer	Weiß dein Client, dass er das Netzwerk 10.0.0.x auf der anderen Seite des VPN Netzwerkes findet? Beispiel: local network: 10.0.0.n/24 Server: 10.0.0.135 Auf dem Server wird ein Netzwerkdevice angelegt, welches ebenfalls eine IP bekommen kann. Beispiel: Network: 10.0.0.135/24 VPN: 10.0.0.135/16 Durch das Setzen der Netmask 255.255.0.0 werden alle anderen 10.0.x.n Netzwerke über das VPN gesucht. Durch diese Einstellung würde der Client ebenfalls den Adressbereich 10.0.x.n für die VPN Verbindung bekommen und alle Adressen in diesen Bereich dort suchen. Wenn du allerdings eine Adresse aus dem Bereich: 172.16.0.0 – 172.31.255.255 für das VPN verwenden willst, muss der Client seine Routing table ebenfalls so anpassen, dass er weiß, dass ein 10.0.0.n Netzwerk auf dem anderen Ende der VPN zu finden ist. Einfach zu testen, ob dass wirklich das Problem ist, ist indem man beim VPN Client einstellt, dass der gesamte netzwerktraffic über die VPN Verbindung geschickt wird. However, wenn die Adressen im "VPN" Server Netzwerk gleich sind, wie die des "lokalen" Netzwerkes des Clients wirst du immer Probleme haben. Die Einstellung, welche ich empfehlen würde: Serverbereich festlegen ... z.B.: 10.0.0.1 - 10.0.0.16 Drüber den VPN Bereich ... z.B.: 10.0.0.17 - 10.0.0.32 Dann den DHCP beginnend bei ... 10.0.0.33 ____________________________________ It's more fun to write crap that nothing! Just kidding. Ich bin für kreative Rechtschreibung, da kann man keine Fehler machen

01.12.2009, 20:52	#6
ZombyKillah Trashtroll Registriert seit: 19.10.2008 Ort: far away but still in austria Beiträge: 1.194 Mein Computer	Der Router kann nur Verbindungen Routen, die er auch erhält. In Wirklichkeit hat jeder Computer eine Routing-Table in welcher drinnen steht, welches Netzwerk er über welches Gerät (WLAN, LAN, VPN, etc.) erreicht. Alle nicht "direkt" erreichbaren Adressen werden über den default Gateway geschickt, welcher dann wissen muss wohin er das Packet routet. Soweit ich pptp vpns beobachten konnte, nimmt der Computer an, dass es sich um ein 255.255.255.0 Netzwerk handelt, obwohl er 255.255.255.255 hinschreibt ... warum weiß ich nicht. Als Gateway muss er die Adresse des PPTP Interfaces hinschreiben. Wie siehts mit der iptalbes Konfiguration aus? Kann es sein, dass dort die aufgebauten pptp Verbindungen noch blockiert werden. Habe bei meinen folgende Seite verwendet (war aber white russian) http://nuwiki.openwrt.org/oldwiki/PPTPDHowto Such dir einen Adressbereich aus ... das Problem, dass ein Hotel den gleichen Adressbereich verwenden könnte hast du in jeden Bereich. Ich gebe zu, dass die gebräuchlichsten meines Wissens: 10.0.0.n, 10.127.n.n, 192.168.0.n, 192.168.1.n sind. ____________________________________ It's more fun to write crap that nothing! Just kidding. Ich bin für kreative Rechtschreibung, da kann man keine Fehler machen

02.12.2009, 09:04	#8
superuser Veteran Registriert seit: 20.01.2004 Alter: 57 Beiträge: 421 Mein Computer	Hallo könntest ja mal posten was bei offenem vpn route print so ausspuckt lg

02.12.2009, 10:31	#10
superuser Veteran Registriert seit: 20.01.2004 Alter: 57 Beiträge: 421 Mein Computer	Hallo, yep vom clien bidde vor und nach öffnen des vpn route print lg

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)