Binfort
Well-Known Member
Hallo,
wir haben bei uns in der Firma einen OpenVPN Server eingerichtet und wollen nun so aus dem Internet sicher in unser Firmennetz gelangen.
Dazu hatten wir eine OpenVPN Server-Client Testumgebung aufgebaut um die Konfiguration, nicht zuletzt mit Hilfe von BSD-Foren.de , zu erarbeiten.
Der Tunnel funktionierte im LAN ganz vorzüglich und wir haben den OpenVPN Server auf einem OpenBSD Server eingerichtet, welcher später über eine feste IP im www zu erreichen ist. (natürlich mit "packetfilter" Firewall)
Und jetzt das Problem:
Solange wir uns mit dem VPNServer aus dem Netzwerk (über einen Hub an welchem auch das Kabel zum Router, und dann ins www, hängt) den Tunnel aufbauen funktioniert alles bestens, www Anfragen werden gleich vom Server aus ins Internet geleitet, nicht über den Firmenproxy, und Anfragen ins Firmennetz funktionieren auch allerbestens (Surfen auf den Intranetseiten, Zugriff auf Ressourcen und Mailverkehr über den Mailserver).
Wenn wir aber den Tunnel aus dem I-Net heraus aufbauen, wird die Verbindung zwar hergestellt, aber es läßt sich kein Server erreichen, keine www Anfrage wird weitergeleitet, nichteinmal die virtuelle IP des OpenVPN Servers läßt sich anpingen (verwunderlich weil der Tunnel aufgebaut wurde).
Wir vermuten das es mit dem MTU Wert, und evtl. mit der Fragmentgröße zusammenhängt. Im Moment ist am Server ein MTU von 1500 eingestellt (vorher 1492) und eine Fragmentgröße von 1300. Im LAN gab es mit beiden Einstellungen keine Probleme.
Gleichzeitig haben wir mit TCPDump auf tun_0 den ankommenden Netzwerkverkehr belauscht, beim Tunnel aus dem LAN wurde alles geloggt, aber beim Tunnel aus dem www kam gar nichts!!!
Kurz noch die Anbindung der Firma ans www: der VPNServer hat ne öffentliche IP und ist erst über einen Cisco-Router mit einem .x25 Connector verbunden, von dort gelangen wir über eine auf 2MBit gebündelte ISDN Leitung und der Gegenstelle beim Provider ins Internet.
Weiß manchmal jemand mit welcher MTU-Größe wir in dieser aussergewöhnlichen Konfiguartion arbeiten können, oder gibt es Erfahrungsberichte anderer User, welche mit OpenVPN das www tunneln?
Nochmal zum mitmeißeln der Tunnel funktionierte bestens, daher sehe ich keinen Grund hier ne Konfigurationsdatei zu posten, sollte doch jemand darauf bestehen, läßt sich das natürlich arrangieren aber wie gesagt: der Tunnel funzt (in der Theorie)
wir haben bei uns in der Firma einen OpenVPN Server eingerichtet und wollen nun so aus dem Internet sicher in unser Firmennetz gelangen.
Dazu hatten wir eine OpenVPN Server-Client Testumgebung aufgebaut um die Konfiguration, nicht zuletzt mit Hilfe von BSD-Foren.de , zu erarbeiten.
Der Tunnel funktionierte im LAN ganz vorzüglich und wir haben den OpenVPN Server auf einem OpenBSD Server eingerichtet, welcher später über eine feste IP im www zu erreichen ist. (natürlich mit "packetfilter" Firewall)
Und jetzt das Problem:
Solange wir uns mit dem VPNServer aus dem Netzwerk (über einen Hub an welchem auch das Kabel zum Router, und dann ins www, hängt) den Tunnel aufbauen funktioniert alles bestens, www Anfragen werden gleich vom Server aus ins Internet geleitet, nicht über den Firmenproxy, und Anfragen ins Firmennetz funktionieren auch allerbestens (Surfen auf den Intranetseiten, Zugriff auf Ressourcen und Mailverkehr über den Mailserver).
Wenn wir aber den Tunnel aus dem I-Net heraus aufbauen, wird die Verbindung zwar hergestellt, aber es läßt sich kein Server erreichen, keine www Anfrage wird weitergeleitet, nichteinmal die virtuelle IP des OpenVPN Servers läßt sich anpingen (verwunderlich weil der Tunnel aufgebaut wurde).
Wir vermuten das es mit dem MTU Wert, und evtl. mit der Fragmentgröße zusammenhängt. Im Moment ist am Server ein MTU von 1500 eingestellt (vorher 1492) und eine Fragmentgröße von 1300. Im LAN gab es mit beiden Einstellungen keine Probleme.
Gleichzeitig haben wir mit TCPDump auf tun_0 den ankommenden Netzwerkverkehr belauscht, beim Tunnel aus dem LAN wurde alles geloggt, aber beim Tunnel aus dem www kam gar nichts!!!
Kurz noch die Anbindung der Firma ans www: der VPNServer hat ne öffentliche IP und ist erst über einen Cisco-Router mit einem .x25 Connector verbunden, von dort gelangen wir über eine auf 2MBit gebündelte ISDN Leitung und der Gegenstelle beim Provider ins Internet.
Weiß manchmal jemand mit welcher MTU-Größe wir in dieser aussergewöhnlichen Konfiguartion arbeiten können, oder gibt es Erfahrungsberichte anderer User, welche mit OpenVPN das www tunneln?
Nochmal zum mitmeißeln der Tunnel funktionierte bestens, daher sehe ich keinen Grund hier ne Konfigurationsdatei zu posten, sollte doch jemand darauf bestehen, läßt sich das natürlich arrangieren aber wie gesagt: der Tunnel funzt (in der Theorie)