michl16
Goto Top

Dachte OpenVPN ist besser als das Windows Boardwerkzeug. Aber so langsam ändere ich meine Meinung

Hallo

Das Windows VPN funktionierte bei mir jahrelang problemlos. Nachdem es jedoch in letzter Zeit nach einem zufälligen Zeitintervall die Verbindung verliert, habe ich OpenVPN jetzt mal ausprobiert.
Die Einrichtung ist zwar etwas aufwändiger, doch wenn es dafür sicherer ist kann man darüber weg sehen.

Also ich spreche hier von der Installation von einem Windows Client und einem Windows Server (kein built-in Router support oder ähnliches, wie z.B. in DD-WRT)

Einmal kann keine Route auf den richtigen TAP-Netzwerkadapter hinzugefügt werden (hier half bei mir auch nur diesen zu entfernen und wieder neu hinzuzufügen). Aber das Problem ist auch bereits in anderen Threads beklagt. Daraus ist auch meine Lösung.

Jetzt komme ich zwar durch den Tunnel via ping (10.19.15.1). Aber mehr auch nicht. Windows Server reagiert auf ping nicht (also dessen IP Adresse), noch klappt \\server im explorer.
Also irgendwie finde ich die Software auch sehr fragil. :/
Aber ich hatte schon mehrmals eine aktive/funktionierende Verbindung aufgebaut die letzten Tage und an der OpenVPN config wurde nichts mehr verändert. Selbst der Server wurde zwischenzeitlich mal neu gestartet.

Sehe jetzt eigentlich keine Fehler. Ihr?


back-to-topServer

back-to-topKonfiguration
#################################################
# OpenVPN (MvA-Networks Conf)
# VPN Server Configuration
#
# Copyright 2006-2019 (04.09.2019) www.mva.ch
# MvA Internet Services GmbH
#################################################

local 192.168.1.3
port 1194
proto udp
dev tun
cipher BF-CBC

# ----------------------------------------------
# Zertifikate
# ----------------------------------------------

dh "C:\\Programme\\OpenVPN\\server-keys\\dh2048.pem"
ca "C:\\Programme\\OpenVPN\\server-keys\\ca.crt"
cert "C:\\Programme\\OpenVPN\\server-keys\\Server.crt"
key "C:\\Programme\\OpenVPN\\server-keys\\Server.key"

# ----------------------------------------------
# TLS
# ----------------------------------------------

tls-server
tls-auth "C:\\Programme\\OpenVPN\\server-keys\\ta.key" 0

# ----------------------------------------------
# Server-Setup
# ----------------------------------------------

server 10.19.15.0 255.255.255.0
ifconfig-pool-persist "C:\\Programme\\OpenVPN\\ipp.txt"
client-to-client

# ----------------------------------------------
# Client-Settings (inkl Special Dir)Files
# ----------------------------------------------

client-config-dir "C:\\Programme\\OpenVPN\\ccd"
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.3"

# ----------------------------------------------
# Defaults
# ----------------------------------------------

keepalive 10 120
# compress lz4
persist-key
persist-tun

# ----------------------------------------------
# Logging
# ----------------------------------------------

status "C:\\Programme\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Programme\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Programme\\OpenVPN\\log\\openvpn.log"
verb 3
back-to-topVor Start von OpenVPN
back-to-topRoutingtabelle (route print)
IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.1.7      192.168.1.3     15
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.0.0    255.255.252.0   Auf Verbindung       192.168.1.3    266
      192.168.1.3  255.255.255.255   Auf Verbindung       192.168.1.3    266
    192.168.3.255  255.255.255.255   Auf Verbindung       192.168.1.3    266
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung       192.168.1.3    266
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung       192.168.1.3    266
===========================================================================

back-to-topOpenVPN im Idle-Zustand (wartend auf Verbindung)
back-to-topRoutingtabelle (route print)
IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.1.7      192.168.1.3     15
       10.19.15.0    255.255.255.0       10.19.15.2      192.168.1.3     11
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      169.254.0.0      255.255.0.0   Auf Verbindung     169.254.61.33    266
    169.254.61.33  255.255.255.255   Auf Verbindung     169.254.61.33    266
  169.254.255.255  255.255.255.255   Auf Verbindung     169.254.61.33    266
      192.168.0.0    255.255.252.0   Auf Verbindung       192.168.1.3    266
      192.168.1.3  255.255.255.255   Auf Verbindung       192.168.1.3    266
    192.168.3.255  255.255.255.255   Auf Verbindung       192.168.1.3    266
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung       192.168.1.3    266
        224.0.0.0        240.0.0.0   Auf Verbindung     169.254.61.33    266
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung       192.168.1.3    266
  255.255.255.255  255.255.255.255   Auf Verbindung     169.254.61.33    266
===========================================================================

back-to-topOpenVPN-Log
Wed Oct 16 17:24:30 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 25 2019
Wed Oct 16 17:24:30 2019 Windows version 6.1 (Windows 7) 64bit
Wed Oct 16 17:24:30 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Wed Oct 16 17:24:30 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Oct 16 17:24:30 2019 Need hold release from management interface, waiting...
Wed Oct 16 17:24:31 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Oct 16 17:24:31 2019 MANAGEMENT: CMD 'state on'
Wed Oct 16 17:24:31 2019 MANAGEMENT: CMD 'log all on'
Wed Oct 16 17:24:31 2019 MANAGEMENT: CMD 'echo all on'
Wed Oct 16 17:24:31 2019 MANAGEMENT: CMD 'bytecount 5'
Wed Oct 16 17:24:31 2019 MANAGEMENT: CMD 'hold off'
Wed Oct 16 17:24:31 2019 MANAGEMENT: CMD 'hold release'
Wed Oct 16 17:24:31 2019 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Wed Oct 16 17:24:31 2019 Diffie-Hellman initialized with 2048 bit key
Wed Oct 16 17:24:31 2019 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 16 17:24:31 2019 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 16 17:24:31 2019 interactive service msg_channel=0
Wed Oct 16 17:24:31 2019 ROUTE_GATEWAY 192.168.1.7/255.255.252.0 I=13 HWADDR=d8:cb:8a:c7:49:1b
Wed Oct 16 17:24:31 2019 open_tun
Wed Oct 16 17:24:31 2019 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\{127D521F-141B-41B6-A3CB-1F06A9B22C8E}.tap
Wed Oct 16 17:24:31 2019 TAP-Windows Driver Version 9.23 
Wed Oct 16 17:24:31 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.19.15.1/255.255.255.252 on interface {127D521F-141B-41B6-A3CB-1F06A9B22C8E} [DHCP-serv: 10.19.15.2, lease-time: 31536000]
Wed Oct 16 17:24:31 2019 Sleeping for 10 seconds...
Wed Oct 16 17:24:41 2019 Successful ARP Flush on interface [17] {127D521F-141B-41B6-A3CB-1F06A9B22C8E}
Wed Oct 16 17:24:41 2019 MANAGEMENT: >STATE:1571239481,ASSIGN_IP,,10.19.15.1,,,,
Wed Oct 16 17:24:41 2019 MANAGEMENT: >STATE:1571239481,ADD_ROUTES,,,,,,
Wed Oct 16 17:24:41 2019 C:\Windows\system32\route.exe ADD 10.19.15.0 MASK 255.255.255.0 10.19.15.2
Wed Oct 16 17:24:41 2019 Warning: route gateway is not reachable on any active network adapters: 10.19.15.2
Wed Oct 16 17:24:41 2019 Route addition via IPAPI failed [adaptive]
Wed Oct 16 17:24:41 2019 Route addition fallback to route.exe
Wed Oct 16 17:24:41 2019 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Wed Oct 16 17:24:41 2019 Could not determine IPv4/IPv6 protocol. Using AF_INET
Wed Oct 16 17:24:41 2019 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Oct 16 17:24:41 2019 UDPv4 link local (bound): [AF_INET]192.168.1.3:1194
Wed Oct 16 17:24:41 2019 UDPv4 link remote: [AF_UNSPEC]
Wed Oct 16 17:24:41 2019 MULTI: multi_init called, r=256 v=256
Wed Oct 16 17:24:41 2019 IFCONFIG POOL: base=10.19.15.4 size=62, ipv6=0
Wed Oct 16 17:24:41 2019 ifconfig_pool_read(), in='dd-wrt,10.19.15.4', TODO: IPv6
Wed Oct 16 17:24:41 2019 succeeded -> ifconfig_pool_set()
Wed Oct 16 17:24:41 2019 IFCONFIG POOL LIST
Wed Oct 16 17:24:41 2019 dd-wrt,10.19.15.4
Wed Oct 16 17:24:41 2019 Initialization Sequence Completed
Wed Oct 16 17:24:41 2019 MANAGEMENT: >STATE:1571239481,CONNECTED,SUCCESS,10.19.15.1,,,192.168.1.3,1194

back-to-topNachdem Client verbunden ist (tunnel steht)
back-to-topRoutingtabelle (route print)
IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.1.7      192.168.1.3     15
       10.19.15.0    255.255.255.0       10.19.15.2      192.168.1.3     11
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      169.254.0.0      255.255.0.0   Auf Verbindung     169.254.61.33    266
    169.254.61.33  255.255.255.255   Auf Verbindung     169.254.61.33    266
  169.254.255.255  255.255.255.255   Auf Verbindung     169.254.61.33    266
      192.168.0.0    255.255.252.0   Auf Verbindung       192.168.1.3    266
      192.168.1.3  255.255.255.255   Auf Verbindung       192.168.1.3    266
    192.168.3.255  255.255.255.255   Auf Verbindung       192.168.1.3    266
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung       192.168.1.3    266
        224.0.0.0        240.0.0.0   Auf Verbindung     169.254.61.33    266
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung       192.168.1.3    266
  255.255.255.255  255.255.255.255   Auf Verbindung     169.254.61.33    266
===========================================================================

back-to-topOpenVPN-Log
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 TLS: Initial packet from [AF_INET]84.169.196.175:56292, sid=a6023d7f 6a508a99
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 VERIFY OK: depth=1, C=DE, ST=BW, L=...
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 VERIFY OK: depth=0, C=DE, ST=BW, L=....
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_VER=2.4.7
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_PLAT=win
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_PROTO=2
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_NCP=2
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_LZ4=1
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_LZ4v2=1
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_LZO=1
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_COMP_STUB=1
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_COMP_STUBv2=1
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_TCPNL=1
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_GUI_VER=OpenVPN_GUI_11
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 [dd-wrt] Peer Connection Initiated with [AF_INET]84.169.196.175:56292
Wed Oct 16 17:30:04 2019 dd-wrt/84.169.196.175:56292 MULTI_sva: pool returned IPv4=10.19.15.6, IPv6=(Not enabled)
Wed Oct 16 17:30:04 2019 dd-wrt/84.169.196.175:56292 MULTI: Learn: 10.19.15.6 -> dd-wrt/84.169.196.175:56292
Wed Oct 16 17:30:04 2019 dd-wrt/84.169.196.175:56292 MULTI: primary virtual IP for dd-wrt/84.169.196.175:56292: 10.19.15.6
Wed Oct 16 17:30:05 2019 dd-wrt/84.169.196.175:56292 PUSH: Received control message: 'PUSH_REQUEST'
Wed Oct 16 17:30:05 2019 dd-wrt/84.169.196.175:56292 SENT CONTROL [dd-wrt]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,dhcp-option DNS 192.168.1.3,route 10.19.15.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.19.15.6 10.19.15.5,peer-id 0,cipher AES-256-GCM' (status=1)
Wed Oct 16 17:30:05 2019 dd-wrt/84.169.196.175:56292 Data Channel: using negotiated cipher 'AES-256-GCM'
Wed Oct 16 17:30:05 2019 dd-wrt/84.169.196.175:56292 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Oct 16 17:30:05 2019 dd-wrt/84.169.196.175:56292 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

back-to-topClient

back-to-topKonfiguration
##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server.     #
#                                            #
# This configuration can be used by multiple #
# clients, however each client should have   #
# its own cert and key files.                #
#                                            #
# On Windows, you might want to rename this  #
# file so it has a .ovpn extension           #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one.  On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
dev-node OpenVPN_tun

# Are we connecting to a TCP or
# UDP server?  Use the same setting as
# on the server.
;proto tcp
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote sabo-gs.freeddns.org 1194
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing.  Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server.  Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here.  See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets.  Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\dd-wrt.crt"
key "C:\\Program Files\\OpenVPN\\config\\dd-wrt.key"

# Verify server certificate by checking that the
# certicate has the correct key usage set.
# This is an important precaution to protect against
# a potential attack discussed here:
#  http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the keyUsage set to
#   digitalSignature, keyEncipherment
# and the extendedKeyUsage to
#   serverAuth
# EasyRSA can do this for you.
remote-cert-tls server

# If a tls-auth key is used on the server
# then every client must also have the key.
tls-client
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
# Note that v2.4 client/server will automatically
# negotiate AES-256-GCM in TLS mode.
# See also the ncp-cipher option in the manpage
cipher BF-CBC

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
#comp-lzo

# Set log file verbosity.
verb 3

# Silence repeating messages
;mute 20

tun-mtu 1500
back-to-topVor Start von OpenVPN
back-to-topRoutingtabelle (route print)
IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.107     25
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      169.254.0.0      255.255.0.0   Auf Verbindung    169.254.90.142    281
   169.254.90.142  255.255.255.255   Auf Verbindung    169.254.90.142    281
  169.254.255.255  255.255.255.255   Auf Verbindung    169.254.90.142    281
      192.168.2.0    255.255.255.0   Auf Verbindung     192.168.2.107    281
    192.168.2.107  255.255.255.255   Auf Verbindung     192.168.2.107    281
    192.168.2.255  255.255.255.255   Auf Verbindung     192.168.2.107    281
     192.168.56.0    255.255.255.0   Auf Verbindung      192.168.56.1    281
     192.168.56.1  255.255.255.255   Auf Verbindung      192.168.56.1    281
   192.168.56.255  255.255.255.255   Auf Verbindung      192.168.56.1    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.56.1    281
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.2.107    281
        224.0.0.0        240.0.0.0   Auf Verbindung    169.254.90.142    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.56.1    281
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.2.107    281
  255.255.255.255  255.255.255.255   Auf Verbindung    169.254.90.142    281
===========================================================================
back-to-topNachdem Client verbunden ist
back-to-topRoutingtabelle (route print)
IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.2.1    192.168.2.107     25
       10.19.15.0    255.255.255.0       10.19.15.5       10.19.15.6    281
       10.19.15.4  255.255.255.252   Auf Verbindung        10.19.15.6    281
       10.19.15.6  255.255.255.255   Auf Verbindung        10.19.15.6    281
       10.19.15.7  255.255.255.255   Auf Verbindung        10.19.15.6    281
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      169.254.0.0      255.255.0.0   Auf Verbindung    169.254.90.142    281
   169.254.90.142  255.255.255.255   Auf Verbindung    169.254.90.142    281
  169.254.255.255  255.255.255.255   Auf Verbindung    169.254.90.142    281
      192.168.1.0    255.255.255.0       10.19.15.5       10.19.15.6    281
      192.168.2.0    255.255.255.0   Auf Verbindung     192.168.2.107    281
    192.168.2.107  255.255.255.255   Auf Verbindung     192.168.2.107    281
    192.168.2.255  255.255.255.255   Auf Verbindung     192.168.2.107    281
     192.168.56.0    255.255.255.0   Auf Verbindung      192.168.56.1    281
     192.168.56.1  255.255.255.255   Auf Verbindung      192.168.56.1    281
   192.168.56.255  255.255.255.255   Auf Verbindung      192.168.56.1    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.56.1    281
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.2.107    281
        224.0.0.0        240.0.0.0   Auf Verbindung        10.19.15.6    281
        224.0.0.0        240.0.0.0   Auf Verbindung    169.254.90.142    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.56.1    281
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.2.107    281
  255.255.255.255  255.255.255.255   Auf Verbindung        10.19.15.6    281
  255.255.255.255  255.255.255.255   Auf Verbindung    169.254.90.142    281
===========================================================================


back-to-topOpenVPN-Log
Wed Oct 16 17:41:01 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 25 2019
Wed Oct 16 17:41:01 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Oct 16 17:41:01 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Wed Oct 16 17:41:01 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Oct 16 17:41:01 2019 Need hold release from management interface, waiting...
Wed Oct 16 17:41:01 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Oct 16 17:41:01 2019 MANAGEMENT: CMD 'state on'
Wed Oct 16 17:41:01 2019 MANAGEMENT: CMD 'log all on'
Wed Oct 16 17:41:01 2019 MANAGEMENT: CMD 'echo all on'
Wed Oct 16 17:41:01 2019 MANAGEMENT: CMD 'bytecount 5'
Wed Oct 16 17:41:01 2019 MANAGEMENT: CMD 'hold off'
Wed Oct 16 17:41:01 2019 MANAGEMENT: CMD 'hold release'
Wed Oct 16 17:41:01 2019 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 16 17:41:01 2019 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 16 17:41:01 2019 MANAGEMENT: >STATE:1571240461,RESOLVE,,,,,,
Wed Oct 16 17:41:01 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]77.185.6.246:1194
Wed Oct 16 17:41:01 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Oct 16 17:41:01 2019 UDP link local: (not bound)
Wed Oct 16 17:41:01 2019 UDP link remote: [AF_INET]77.185.6.246:1194
Wed Oct 16 17:41:01 2019 MANAGEMENT: >STATE:1571240461,WAIT,,,,,,
Wed Oct 16 17:41:01 2019 MANAGEMENT: >STATE:1571240461,AUTH,,,,,,
Wed Oct 16 17:41:01 2019 TLS: Initial packet from [AF_INET]77.185.6.246:1194, sid=633234cc c9d047ce
Wed Oct 16 17:41:02 2019 VERIFY OK: depth=1, C=DE, ST=BW, L=...
Wed Oct 16 17:41:02 2019 VERIFY KU OK
Wed Oct 16 17:41:02 2019 Validating certificate extended key usage
Wed Oct 16 17:41:02 2019 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Wed Oct 16 17:41:02 2019 VERIFY EKU OK
Wed Oct 16 17:41:02 2019 VERIFY OK: depth=0, C=DE, ST=BW, L=...
Wed Oct 16 17:41:02 2019 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Wed Oct 16 17:41:02 2019 [vpn.sgs.local] Peer Connection Initiated with [AF_INET]77.185.6.246:1194
Wed Oct 16 17:41:03 2019 MANAGEMENT: >STATE:1571240463,GET_CONFIG,,,,,,
Wed Oct 16 17:41:03 2019 SENT CONTROL [vpn.sgs.local]: 'PUSH_REQUEST' (status=1)
Wed Oct 16 17:41:03 2019 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,dhcp-option DNS 192.168.1.3,route 10.19.15.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.19.15.6 10.19.15.5,peer-id 1,cipher AES-256-GCM'
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: timers and/or timeouts modified
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: --ifconfig/up options modified
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: route options modified
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: peer-id set
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: adjusting link_mtu to 1624
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: data channel crypto options modified
Wed Oct 16 17:41:03 2019 Data Channel: using negotiated cipher 'AES-256-GCM'
Wed Oct 16 17:41:03 2019 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Oct 16 17:41:03 2019 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Oct 16 17:41:03 2019 interactive service msg_channel=836
Wed Oct 16 17:41:03 2019 ROUTE_GATEWAY 192.168.2.1/255.255.255.0 I=11 HWADDR=e4:e7:49:50:ed:5a
Wed Oct 16 17:41:03 2019 open_tun
Wed Oct 16 17:41:03 2019 TAP-WIN32 device [OpenVPN_tun] opened: \\.\Global\{81BFF696-82E9-47AC-B23F-8C02C74DC01F}.tap
Wed Oct 16 17:41:03 2019 TAP-Windows Driver Version 9.23 
Wed Oct 16 17:41:03 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.19.15.6/255.255.255.252 on interface {81BFF696-82E9-47AC-B23F-8C02C74DC01F} [DHCP-serv: 10.19.15.5, lease-time: 31536000]
Wed Oct 16 17:41:03 2019 Successful ARP Flush on interface [27] {81BFF696-82E9-47AC-B23F-8C02C74DC01F}
Wed Oct 16 17:41:03 2019 MANAGEMENT: >STATE:1571240463,ASSIGN_IP,,10.19.15.6,,,,
Wed Oct 16 17:41:08 2019 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Wed Oct 16 17:41:08 2019 MANAGEMENT: >STATE:1571240468,ADD_ROUTES,,,,,,
Wed Oct 16 17:41:08 2019 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.19.15.5
Wed Oct 16 17:41:08 2019 Route addition via service succeeded
Wed Oct 16 17:41:08 2019 C:\WINDOWS\system32\route.exe ADD 10.19.15.0 MASK 255.255.255.0 10.19.15.5
Wed Oct 16 17:41:08 2019 Route addition via service succeeded
Wed Oct 16 17:41:08 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Oct 16 17:41:08 2019 Initialization Sequence Completed
Wed Oct 16 17:41:08 2019 MANAGEMENT: >STATE:1571240468,CONNECTED,SUCCESS,10.19.15.6,77.185.6.246,1194,,

Content-ID: 505345

Url: https://administrator.de/contentid/505345

Ausgedruckt am: 22.11.2024 um 01:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 16.10.2019 um 18:07:41 Uhr
Goto Top
Moin,

Hast Du die Windiws-Firewall geprüft und korrekt eingestellt?

lks
Michl16
Michl16 16.10.2019 um 18:14:58 Uhr
Goto Top
Wie gesagt, es hat ja schon funktioniert. Daher könnte man die Windows-Firewall oder Port-Weiterleitungen der Router ausschließen.
Aber bevor ich zu voreilig sage, dass es nicht an der Firewall liegen kann, habe ich sie nun extra nochmals schnell ausgeschalten um wirklich sicher zu gehen. Aber wie erwartet, lag es daran nicht.
Michl16
Michl16 16.10.2019 aktualisiert um 18:29:38 Uhr
Goto Top
Muss wohl definitiv am Server-Seite liegen, denn von einem anderem Client funktioniert der ping auch nicht
Lochkartenstanzer
Lochkartenstanzer 16.10.2019 um 18:25:28 Uhr
Goto Top
Was sagt wireshark?

lks
aqui
aqui 16.10.2019 aktualisiert um 18:48:41 Uhr
Goto Top
Dachte OpenVPN ist besser
Wie ist denn "besser" zu definieren ?? Wie immer eine nichtssagende relative Aussage. In der IT sollte man auch nicht denken sondern besser immer nachdenken. face-wink
Aus Sicht der Performance, des Durchsatzes und der Sicherheit besteht da kein wesentlicher Unterschied zwischen den VPN Protokollen. Wobei die Sicherheit IMMER vom verwendeten Schlüssel Algorithmus abhängig ist und niemals per se vom verwendeten VPN Protokoll !! Logisch und sagt einem schon der gesunde IT Verstand.
Aus Sicht des Customizing gibt es aber schon Unterschiede. Da bietet OpenVPN erheblich mehr Optionen als die bordeigenen VPNs von Windows. Aber auch mit den bordeigenen Protokollen wie IPsec oder L2TP bieten Firewall oder Router Implementationen mehr Optionen.
Windows Server reagiert auf ping nicht (also dessen IP Adresse),
Das ist auch kein Wunder denn wie Kollege LKS oben schon richtig bemerkt ist seit Längerem ICMP generell per Default gesperrt in der Windows Firewall. (Ping nutzt das ICMP Protokoll !)
Ohne das man das also nicht explizit in der bordeigenen Firewall freigibt scheitert ein Ping auf Windows Komponenten grundsätzlich.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Das Zweite ist die Art des Netzwerkes. Winblows nutzt eine Netzwerk Autoerkennung des Adapters. Diese scheitert aber am virtuellen TAP Adapter von OpenVPN grundsätzlich, da hier das Gateway fehlt. Mit der Folge das die Firewall das Netzwerk dann als öffentlich deklariert und hier mit der loklaen Firewall dann komplett dichtmacht.
Auch das muss man in der Firewall Einstellung dann erstmal auf Privat ändern um nicht an noch strikteren lokalen Firewall Regeln zu scheitern.
Einmal kann keine Route auf den richtigen TAP-Netzwerkadapter hinzugefügt werden
Das mag daran liegen das OVPN nicht im Administrator Mode ausgeführt wird. Nur dann lassen sich Routen hinzufügen.
Desweiteren ist es kontraproduktiv den Server im alten /30er Subnet Mode laufen zu lassen wie man es an der Log Message IP/netmask of 10.19.15.6/255.255.255.252 ja sieht. Besser ist hier der modernere Mode subnet und das sollte man mit dem Push Kommado auch automatisch an die Clients pushen.

Allesamt aber OVPN Binsenweisheiten die man aber als kundiger Netzwerk Admin kennt oder kennen sollte und die man ganz besonders unter Winblows als Allererstes nach dem OVPN Setup korrigiert.
Ein Linux OVPN Server ist hier weitaus einfacher zu handhaben, das aber nur nebenbei.

Generell gesehen ist es auch immer ein sehr schlechtes Design einen VPN Tunnel auf einem Server im lokalen LAN zu terminieren. Ausnahme der Server macht rein nur VPN. Aber auch dann...
Erstmal weil es ein Server ist ! An ein so zentrales Element in einem Netzwerk gehört niemals ein VPN Tunnelendpunkt hin. Aus guten Gründen ganz besonders bei einem Windows OS. Sowas terminiert man immer in der Peripherie auf Router oder Firewall.
Zweitens weil man ein Loch in den Internet Router oder Firewall bohren muss um ungeschützten Internet Traffic ins lokale LAN zu schleusen.
Ein Unding heutzutage aus Sicherheits Sicht und eher ein Zeichen schlechten Security KnowHows oder mangelndem Sicherheitsbewusstseins sofern dies ein Firmensetup ist.
Vor dem Hintergrund ist das obige Szenario also trotz dieser harten Worte immer zu sehen, denn es ist für ein verlässliches Design schlicht und einfach unsaubere Bastelei.

Für ein zielgerichtetes Troubleshooting in dem o.a. Design fehlt leider wie immer bei OVPN das Allerwichtigste und das ist die Server und die Client Konfig Datei.
Ohne diese zu sehen kann man hier auch nur wieder einmal die berühmte Kristallkugel bemühen...aber nundenn.
Michl16
Michl16 16.10.2019 um 18:46:00 Uhr
Goto Top
OpenVPN-Datenpakete habe ich noch nie mit Wireshark analysiert (Wireshark selbst natürlich schon verwendet).
Tipps auf was man da achten muss oder wie die Filter da idealerweise aussehen?

Aber da dies ein Produktivserver ist, mache ich da morgen erst mal ein Image bevor ich sowas wie Wireshark installiere *g*
aqui
aqui 16.10.2019 aktualisiert um 18:52:15 Uhr
Goto Top
OpenVPN-Datenpakete habe ich noch nie mit Wireshark analysiert
Zwar traurig, muss man aber auch nicht, da man durch die Verschlüsselung eh nichts "sehen" kann vom Inhalt außer Absender- und Ziel IP und den Port (UDP 1194)
Kannst du dir also sparen.
Und wenn überhaupt, dann konfigurierst du am LAN Switch einen Mirrorport (Spiegel- oder SPAN Port) zum OVPN Server Port wo du dessen Traffic hinspiegelst und misst mit dem Wireshark Laptop dort. Doch niemals auf dem Server selbst !
Zeigt leider auch etwas KnowHow Defizit im Netzwerkbereich... face-sad
Michl16
Michl16 16.10.2019 aktualisiert um 19:40:24 Uhr
Goto Top
Wie ist denn "besser" zu definieren ??
Wie Du bereits vielleicht richtig besser formuliert hast: es ist bei den Konfigurationsmöglichkeiten zumindest etwas besser und somit vielleicht im allgemeinen etwas "professioneller". Aber es war auch etwas absichtlich provokativ geschrieben, da die ersten Antworten ja gewöhnlich eh die sind, dass Windows(-technologien) ja nichts taugen können, da von Microsoft! *g*

(Ping nutzt das ICMP Protokoll !)
Ohne das man das also nicht explizit in der bordeigenen Firewall freigibt scheitert ein Ping auf Windows Komponenten grundsätzlich.
Danke für die Aufklärung, doch wenn ich das nicht wüsste, dann hätte es auch noch nie einen Tunnelaufbau gegeben und hätte Antworten des pings gesehen.

Allesamt aber OVPN Binsenweisheiten die man aber als kundiger Netzwerk Admin kennt oder kennen sollte und die man ganz besonders unter Winblows als Allererstes nach dem OVPN Setup korrigiert.
Ähh - habe ich nicht oben geschrieben, dass ich mich neu mit OpenVPN rumschlage und davor kein Bedarf war!?? Aber danke für den Tipp.
PS: Denke Dein Wissen und Erfahrungen hast Dir auch nicht über Nacht angeeignet

Das mag daran liegen das OVPN nicht im Administrator Mode ausgeführt wird.
Eigentlich läuft es unter einem Administrator-Account. Dennoch vergisst man dadurch die Applikation trotzdem nochmals als "Als Administrator" zu starten. Da es ja nicht das selbe ist, was ich eigentlich weiss. Aber ändern tut sich an der Sache trotzdem nichts.

Generell gesehen ist es auch immer ein sehr schlechtes Design einen VPN Tunnel auf einem Server im lokalen LAN zu terminieren.
War eigentlich auch nicht als Dauerlösung angedacht, sondern erst mal sicherzustellen, dass alles prinzipiell funktioniert. Wie Du schon an den Zertifikaten oben siehst, sollte dieses dann für den Router (dd-wrt) verwendet werden. Aber auch hier könnte ich anfangen, was ist ein "schlechtes Design". Es ist nicht schlechter als Microsofts Lösung, die den traffic auch in den rest des Netzwerks durchlassen. Und ob der traffic jetzt vom Router kommt oder von einem Computer....

Zwar traurig
Und wieder merkt man Deine Überheblichkeit :P
Als wenn Du in allen Bereichen der IT fit wärst.

da man durch die Verschlüsselung eh nichts "sehen" kann
Aus diesem Grunde habe ich nämlich gefragt, weil ich soweit auch gedacht habe, dass spätestens wenn SSL steht sowieso nur noch eine Stream-Suppe gewesen wäre. Andererseits hätte man für die Fehlersuche SSL auch temporär ausschalten können.

Zeigt leider auch etwas KnowHow Defizit im Netzwerkbereich
Stimmt. Bin ja auch nur ein "dummer" Softwareentwickler :P
141358
141358 16.10.2019 aktualisiert um 20:27:53 Uhr
Goto Top
Also irgendwie finde ich die Software auch sehr fragil. :/

Kann ich nicht nachvollziehen. Hab mehrere OpenVPN Server erfolgreich betrieben. Egal ob Windows, Linux oder Unix. Die OpenVPN Software läuft stabil. Aber du kannst auch gerne eine andere VPN Software verwenden, die das OpenVPN Protokoll unterstützt z.B. Viscosity.

Aber auch hier könnte ich anfangen, was ist ein "schlechtes Design". Es ist nicht schlechter als Microsofts Lösung, die den traffic auch in den rest des Netzwerks durchlassen. Und ob der traffic jetzt vom Router kommt oder von einem Computer....

Hat doch @aqui geschrieben. Es geht um den generellen Aufbau. Dabei spielt es keine Rolle ob Windows, Linux Client/Server oder welches VPN Protokoll. So baust du dir ein Loch in dein Netz. Einen VPN Tunnel (egal ob Site to Site oder Remote Access) sollte man immer auf der Firewall oder Router machen und dann den Zugriff mit ACLs bestimmen.

Andererseits hätte man für die Fehlersuche SSL auch temporär ausschalten können.

IMHO kann man SSL nicht abschalten. Braucht man aber auch nicht. Einfach mal Wireshark mitscheiden lassen, ob überhaupt Pakete darüber verschickt werden bzw. bei der Gegenstelle ankommen.

Die Einrichtung ist zwar etwas aufwändiger, doch wenn es dafür sicherer ist kann man darüber weg sehen.

IPSec und andere VPN Protokolle sind genauso sicher - wenn man diese korrekt konfiguriert. Da ist eigentlich der Vorteil von OpenVPN. Die Konfiguration ist einfacher als bei IPsec. Auch kann man dort nichts falsches konfigurieren. Im schlimmsten Fall funktioniert halt der Tunnel nicht, wie es bei dir der Fall ist. Aufwendiger aufgrund der Default Konfiguration und den Easy-RSA Skripten auch nicht. Eigentlich sogar das Gegenteil.