Securepoint Support Forum

Hallo zusammen,

wo bisher meine OpenVPN Verbindungen problemlos funktionierten, werden
den Clients plötzlich keine Routes mehr mitgegeben.
Wo am Vormittag das Server Log noch Einträge wie diese enthielten (gekürzt):

... PUSH: Received control message: 'PUSH_REQUEST'
... SENT CONTROL [ovClient_XYZ1]: 'PUSH_REPLY,route 10.212.0.0 255.255.0.0,route 170.46.0.0 255.255.0.0, ... weitere Liste der vorhandenen durch FW-Regeln definierten Routes

steht nun nur noch folgendes im Log:

... PUSH: Received control message: 'PUSH_REQUEST'
... SENT CONTROL [ovClient_XYZ1]: 'PUSH_REPLY,route 0.0.0.0 0.0.0.0,route 172.25.76.1,topology net30,ping 10,ping-restart 120,ifconfig 172.25.76.2 172.25.76.1' (status=1)

Entsprechende Firewall-Regeln in die Zielnetze sind weiter vorhanden.
Weil ich damit früher schon Probleme hatte, sind auch keinerlei DROP Regeln in die Zielnetze definiert .
Die /etc/openvpn.conf wurde zwischenzeitlich nicht geändert und enthält
die Original-Zeile:

push "route ${ROUTING,listx}"

Der Tunnel wird vom Client erfolgreich aufgebaut. Aber Daten
kommen nicht durch den Tunnel.

Vielleicht weil am Client das Default-Gateway auf die Tunnel-Adresse des Servers
umgestellt wird?

Hallo,

die Route wird aus den Regeln -> Netzwerkobjekten ermittelt

Gibt es eine Regel in der Art

OpenVPN 192.168.250.0/24 -> Internet 0.0.0.0/0-> Any
oder
OpenVPN 192.168.250.0/24 -> Internal-Net 10.0.0.0/0 -> any

Wird eine default Route gepuscht. Das gleiche passiert auch wenn bei dem Benutzer in den Einstellungen der Haken bei "default route setzen" aktiv ist.

Danke,

das war das Problem.
Ich habe schon mal in einem anderen Thread meine kritische Meinung
zu diesem automatischen generieren der Client Routes geäußert.
Kann das denn nicht doch geändert werden?

Da ich meine Securepoint OpenVPN-Konfiguration eh schon angepasst habe, um
über Fritzbox mit OpenVPN kleinere Netze an die Securepoint anzubinden
(im Gegensatz zu Fritzbox mit ipsec funktioniert das nämlich problemlos ),
eine Frage:

Kann ich diesen Automatismus dadurch abschalten, daß ich im Template
/etc/openvpn.conf die Original-Zeile

push "route ${ROUTING,listx}"

durch etwas anderes geeignetes ersetze und wenn ja durch was?

Ich habe schon einmal probiert, einfach dort eine statische Route einzutragen:

z.B.
push "route aaa.bbb.ccc.0 255.255.255.0"

Das hat aber leider bei mir nicht funktioniert.

Danke!

Es war am Anfang so, dass man alle Routen manuell eintragen musste. Oh wie das Tränen (und damit auch Anrufe) gab. Also wurde das automatische Setzen der Routen eingebaut und in 99% der Fälle ist das auch sinnvoll und verursacht keine Probleme.
ist schon richtig. Sie müssen danach nur "update applications" ausführen und den OpenVPN-Dienst neustarten.