Dachte OpenVPN ist besser als das Windows Boardwerkzeug. Aber so langsam ändere ich meine Meinung
Hallo
Das Windows VPN funktionierte bei mir jahrelang problemlos. Nachdem es jedoch in letzter Zeit nach einem zufälligen Zeitintervall die Verbindung verliert, habe ich OpenVPN jetzt mal ausprobiert.
Die Einrichtung ist zwar etwas aufwändiger, doch wenn es dafür sicherer ist kann man darüber weg sehen.
Also ich spreche hier von der Installation von einem Windows Client und einem Windows Server (kein built-in Router support oder ähnliches, wie z.B. in DD-WRT)
Einmal kann keine Route auf den richtigen TAP-Netzwerkadapter hinzugefügt werden (hier half bei mir auch nur diesen zu entfernen und wieder neu hinzuzufügen). Aber das Problem ist auch bereits in anderen Threads beklagt. Daraus ist auch meine Lösung.
Jetzt komme ich zwar durch den Tunnel via ping (10.19.15.1). Aber mehr auch nicht. Windows Server reagiert auf ping nicht (also dessen IP Adresse), noch klappt \\server im explorer.
Also irgendwie finde ich die Software auch sehr fragil. :/
Aber ich hatte schon mehrmals eine aktive/funktionierende Verbindung aufgebaut die letzten Tage und an der OpenVPN config wurde nichts mehr verändert. Selbst der Server wurde zwischenzeitlich mal neu gestartet.
Sehe jetzt eigentlich keine Fehler. Ihr?
Das Windows VPN funktionierte bei mir jahrelang problemlos. Nachdem es jedoch in letzter Zeit nach einem zufälligen Zeitintervall die Verbindung verliert, habe ich OpenVPN jetzt mal ausprobiert.
Die Einrichtung ist zwar etwas aufwändiger, doch wenn es dafür sicherer ist kann man darüber weg sehen.
Also ich spreche hier von der Installation von einem Windows Client und einem Windows Server (kein built-in Router support oder ähnliches, wie z.B. in DD-WRT)
Einmal kann keine Route auf den richtigen TAP-Netzwerkadapter hinzugefügt werden (hier half bei mir auch nur diesen zu entfernen und wieder neu hinzuzufügen). Aber das Problem ist auch bereits in anderen Threads beklagt. Daraus ist auch meine Lösung.
Jetzt komme ich zwar durch den Tunnel via ping (10.19.15.1). Aber mehr auch nicht. Windows Server reagiert auf ping nicht (also dessen IP Adresse), noch klappt \\server im explorer.
Also irgendwie finde ich die Software auch sehr fragil. :/
Aber ich hatte schon mehrmals eine aktive/funktionierende Verbindung aufgebaut die letzten Tage und an der OpenVPN config wurde nichts mehr verändert. Selbst der Server wurde zwischenzeitlich mal neu gestartet.
Sehe jetzt eigentlich keine Fehler. Ihr?
Inhaltsverzeichnis
Server
Konfiguration
#################################################
# OpenVPN (MvA-Networks Conf)
# VPN Server Configuration
#
# Copyright 2006-2019 (04.09.2019) www.mva.ch
# MvA Internet Services GmbH
#################################################
local 192.168.1.3
port 1194
proto udp
dev tun
cipher BF-CBC
# ----------------------------------------------
# Zertifikate
# ----------------------------------------------
dh "C:\\Programme\\OpenVPN\\server-keys\\dh2048.pem"
ca "C:\\Programme\\OpenVPN\\server-keys\\ca.crt"
cert "C:\\Programme\\OpenVPN\\server-keys\\Server.crt"
key "C:\\Programme\\OpenVPN\\server-keys\\Server.key"
# ----------------------------------------------
# TLS
# ----------------------------------------------
tls-server
tls-auth "C:\\Programme\\OpenVPN\\server-keys\\ta.key" 0
# ----------------------------------------------
# Server-Setup
# ----------------------------------------------
server 10.19.15.0 255.255.255.0
ifconfig-pool-persist "C:\\Programme\\OpenVPN\\ipp.txt"
client-to-client
# ----------------------------------------------
# Client-Settings (inkl Special Dir)Files
# ----------------------------------------------
client-config-dir "C:\\Programme\\OpenVPN\\ccd"
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.3"
# ----------------------------------------------
# Defaults
# ----------------------------------------------
keepalive 10 120
# compress lz4
persist-key
persist-tun
# ----------------------------------------------
# Logging
# ----------------------------------------------
status "C:\\Programme\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Programme\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Programme\\OpenVPN\\log\\openvpn.log"
verb 3
Vor Start von OpenVPN
Routingtabelle (route print)
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.1.7 192.168.1.3 15
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.0.0 255.255.252.0 Auf Verbindung 192.168.1.3 266
192.168.1.3 255.255.255.255 Auf Verbindung 192.168.1.3 266
192.168.3.255 255.255.255.255 Auf Verbindung 192.168.1.3 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.3 266
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.3 266
===========================================================================
OpenVPN im Idle-Zustand (wartend auf Verbindung)
Routingtabelle (route print)
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.1.7 192.168.1.3 15
10.19.15.0 255.255.255.0 10.19.15.2 192.168.1.3 11
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
169.254.0.0 255.255.0.0 Auf Verbindung 169.254.61.33 266
169.254.61.33 255.255.255.255 Auf Verbindung 169.254.61.33 266
169.254.255.255 255.255.255.255 Auf Verbindung 169.254.61.33 266
192.168.0.0 255.255.252.0 Auf Verbindung 192.168.1.3 266
192.168.1.3 255.255.255.255 Auf Verbindung 192.168.1.3 266
192.168.3.255 255.255.255.255 Auf Verbindung 192.168.1.3 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.3 266
224.0.0.0 240.0.0.0 Auf Verbindung 169.254.61.33 266
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.3 266
255.255.255.255 255.255.255.255 Auf Verbindung 169.254.61.33 266
===========================================================================
OpenVPN-Log
Wed Oct 16 17:24:30 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 25 2019
Wed Oct 16 17:24:30 2019 Windows version 6.1 (Windows 7) 64bit
Wed Oct 16 17:24:30 2019 library versions: OpenSSL 1.1.0j 20 Nov 2018, LZO 2.10
Wed Oct 16 17:24:30 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Oct 16 17:24:30 2019 Need hold release from management interface, waiting...
Wed Oct 16 17:24:31 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Oct 16 17:24:31 2019 MANAGEMENT: CMD 'state on'
Wed Oct 16 17:24:31 2019 MANAGEMENT: CMD 'log all on'
Wed Oct 16 17:24:31 2019 MANAGEMENT: CMD 'echo all on'
Wed Oct 16 17:24:31 2019 MANAGEMENT: CMD 'bytecount 5'
Wed Oct 16 17:24:31 2019 MANAGEMENT: CMD 'hold off'
Wed Oct 16 17:24:31 2019 MANAGEMENT: CMD 'hold release'
Wed Oct 16 17:24:31 2019 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Wed Oct 16 17:24:31 2019 Diffie-Hellman initialized with 2048 bit key
Wed Oct 16 17:24:31 2019 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 16 17:24:31 2019 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 16 17:24:31 2019 interactive service msg_channel=0
Wed Oct 16 17:24:31 2019 ROUTE_GATEWAY 192.168.1.7/255.255.252.0 I=13 HWADDR=d8:cb:8a:c7:49:1b
Wed Oct 16 17:24:31 2019 open_tun
Wed Oct 16 17:24:31 2019 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\{127D521F-141B-41B6-A3CB-1F06A9B22C8E}.tap
Wed Oct 16 17:24:31 2019 TAP-Windows Driver Version 9.23
Wed Oct 16 17:24:31 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.19.15.1/255.255.255.252 on interface {127D521F-141B-41B6-A3CB-1F06A9B22C8E} [DHCP-serv: 10.19.15.2, lease-time: 31536000]
Wed Oct 16 17:24:31 2019 Sleeping for 10 seconds...
Wed Oct 16 17:24:41 2019 Successful ARP Flush on interface [17] {127D521F-141B-41B6-A3CB-1F06A9B22C8E}
Wed Oct 16 17:24:41 2019 MANAGEMENT: >STATE:1571239481,ASSIGN_IP,,10.19.15.1,,,,
Wed Oct 16 17:24:41 2019 MANAGEMENT: >STATE:1571239481,ADD_ROUTES,,,,,,
Wed Oct 16 17:24:41 2019 C:\Windows\system32\route.exe ADD 10.19.15.0 MASK 255.255.255.0 10.19.15.2
Wed Oct 16 17:24:41 2019 Warning: route gateway is not reachable on any active network adapters: 10.19.15.2
Wed Oct 16 17:24:41 2019 Route addition via IPAPI failed [adaptive]
Wed Oct 16 17:24:41 2019 Route addition fallback to route.exe
Wed Oct 16 17:24:41 2019 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Wed Oct 16 17:24:41 2019 Could not determine IPv4/IPv6 protocol. Using AF_INET
Wed Oct 16 17:24:41 2019 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Oct 16 17:24:41 2019 UDPv4 link local (bound): [AF_INET]192.168.1.3:1194
Wed Oct 16 17:24:41 2019 UDPv4 link remote: [AF_UNSPEC]
Wed Oct 16 17:24:41 2019 MULTI: multi_init called, r=256 v=256
Wed Oct 16 17:24:41 2019 IFCONFIG POOL: base=10.19.15.4 size=62, ipv6=0
Wed Oct 16 17:24:41 2019 ifconfig_pool_read(), in='dd-wrt,10.19.15.4', TODO: IPv6
Wed Oct 16 17:24:41 2019 succeeded -> ifconfig_pool_set()
Wed Oct 16 17:24:41 2019 IFCONFIG POOL LIST
Wed Oct 16 17:24:41 2019 dd-wrt,10.19.15.4
Wed Oct 16 17:24:41 2019 Initialization Sequence Completed
Wed Oct 16 17:24:41 2019 MANAGEMENT: >STATE:1571239481,CONNECTED,SUCCESS,10.19.15.1,,,192.168.1.3,1194
Nachdem Client verbunden ist (tunnel steht)
Routingtabelle (route print)
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.1.7 192.168.1.3 15
10.19.15.0 255.255.255.0 10.19.15.2 192.168.1.3 11
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
169.254.0.0 255.255.0.0 Auf Verbindung 169.254.61.33 266
169.254.61.33 255.255.255.255 Auf Verbindung 169.254.61.33 266
169.254.255.255 255.255.255.255 Auf Verbindung 169.254.61.33 266
192.168.0.0 255.255.252.0 Auf Verbindung 192.168.1.3 266
192.168.1.3 255.255.255.255 Auf Verbindung 192.168.1.3 266
192.168.3.255 255.255.255.255 Auf Verbindung 192.168.1.3 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.3 266
224.0.0.0 240.0.0.0 Auf Verbindung 169.254.61.33 266
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.3 266
255.255.255.255 255.255.255.255 Auf Verbindung 169.254.61.33 266
===========================================================================
OpenVPN-Log
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 TLS: Initial packet from [AF_INET]84.169.196.175:56292, sid=a6023d7f 6a508a99
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 VERIFY OK: depth=1, C=DE, ST=BW, L=...
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 VERIFY OK: depth=0, C=DE, ST=BW, L=....
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_VER=2.4.7
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_PLAT=win
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_PROTO=2
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_NCP=2
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_LZ4=1
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_LZ4v2=1
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_LZO=1
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_COMP_STUB=1
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_COMP_STUBv2=1
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_TCPNL=1
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 peer info: IV_GUI_VER=OpenVPN_GUI_11
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Wed Oct 16 17:30:04 2019 84.169.196.175:56292 [dd-wrt] Peer Connection Initiated with [AF_INET]84.169.196.175:56292
Wed Oct 16 17:30:04 2019 dd-wrt/84.169.196.175:56292 MULTI_sva: pool returned IPv4=10.19.15.6, IPv6=(Not enabled)
Wed Oct 16 17:30:04 2019 dd-wrt/84.169.196.175:56292 MULTI: Learn: 10.19.15.6 -> dd-wrt/84.169.196.175:56292
Wed Oct 16 17:30:04 2019 dd-wrt/84.169.196.175:56292 MULTI: primary virtual IP for dd-wrt/84.169.196.175:56292: 10.19.15.6
Wed Oct 16 17:30:05 2019 dd-wrt/84.169.196.175:56292 PUSH: Received control message: 'PUSH_REQUEST'
Wed Oct 16 17:30:05 2019 dd-wrt/84.169.196.175:56292 SENT CONTROL [dd-wrt]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,dhcp-option DNS 192.168.1.3,route 10.19.15.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.19.15.6 10.19.15.5,peer-id 0,cipher AES-256-GCM' (status=1)
Wed Oct 16 17:30:05 2019 dd-wrt/84.169.196.175:56292 Data Channel: using negotiated cipher 'AES-256-GCM'
Wed Oct 16 17:30:05 2019 dd-wrt/84.169.196.175:56292 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Oct 16 17:30:05 2019 dd-wrt/84.169.196.175:56292 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Client
Konfiguration
##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server. #
# #
# This configuration can be used by multiple #
# clients, however each client should have #
# its own cert and key files. #
# #
# On Windows, you might want to rename this #
# file so it has a .ovpn extension #
##############################################
# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client
# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun
# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one. On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
dev-node OpenVPN_tun
# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
;proto tcp
proto udp
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote sabo-gs.freeddns.org 1194
;remote my-server-2 1194
# Choose a random host from the remote
# list for load-balancing. Otherwise
# try hosts in the order specified.
;remote-random
# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite
# Most clients don't need to bind to
# a specific local port number.
nobind
# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody
# Try to preserve some state across restarts.
persist-key
persist-tun
# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings
# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\dd-wrt.crt"
key "C:\\Program Files\\OpenVPN\\config\\dd-wrt.key"
# Verify server certificate by checking that the
# certicate has the correct key usage set.
# This is an important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the keyUsage set to
# digitalSignature, keyEncipherment
# and the extendedKeyUsage to
# serverAuth
# EasyRSA can do this for you.
remote-cert-tls server
# If a tls-auth key is used on the server
# then every client must also have the key.
tls-client
tls-auth "C:\\Program Files\\OpenVPN\\config\\ta.key" 1
# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
# Note that v2.4 client/server will automatically
# negotiate AES-256-GCM in TLS mode.
# See also the ncp-cipher option in the manpage
cipher BF-CBC
# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
#comp-lzo
# Set log file verbosity.
verb 3
# Silence repeating messages
;mute 20
tun-mtu 1500
Vor Start von OpenVPN
Routingtabelle (route print)
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.107 25
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
169.254.0.0 255.255.0.0 Auf Verbindung 169.254.90.142 281
169.254.90.142 255.255.255.255 Auf Verbindung 169.254.90.142 281
169.254.255.255 255.255.255.255 Auf Verbindung 169.254.90.142 281
192.168.2.0 255.255.255.0 Auf Verbindung 192.168.2.107 281
192.168.2.107 255.255.255.255 Auf Verbindung 192.168.2.107 281
192.168.2.255 255.255.255.255 Auf Verbindung 192.168.2.107 281
192.168.56.0 255.255.255.0 Auf Verbindung 192.168.56.1 281
192.168.56.1 255.255.255.255 Auf Verbindung 192.168.56.1 281
192.168.56.255 255.255.255.255 Auf Verbindung 192.168.56.1 281
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.56.1 281
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.2.107 281
224.0.0.0 240.0.0.0 Auf Verbindung 169.254.90.142 281
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.56.1 281
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.2.107 281
255.255.255.255 255.255.255.255 Auf Verbindung 169.254.90.142 281
===========================================================================
Nachdem Client verbunden ist
Routingtabelle (route print)
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.107 25
10.19.15.0 255.255.255.0 10.19.15.5 10.19.15.6 281
10.19.15.4 255.255.255.252 Auf Verbindung 10.19.15.6 281
10.19.15.6 255.255.255.255 Auf Verbindung 10.19.15.6 281
10.19.15.7 255.255.255.255 Auf Verbindung 10.19.15.6 281
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
169.254.0.0 255.255.0.0 Auf Verbindung 169.254.90.142 281
169.254.90.142 255.255.255.255 Auf Verbindung 169.254.90.142 281
169.254.255.255 255.255.255.255 Auf Verbindung 169.254.90.142 281
192.168.1.0 255.255.255.0 10.19.15.5 10.19.15.6 281
192.168.2.0 255.255.255.0 Auf Verbindung 192.168.2.107 281
192.168.2.107 255.255.255.255 Auf Verbindung 192.168.2.107 281
192.168.2.255 255.255.255.255 Auf Verbindung 192.168.2.107 281
192.168.56.0 255.255.255.0 Auf Verbindung 192.168.56.1 281
192.168.56.1 255.255.255.255 Auf Verbindung 192.168.56.1 281
192.168.56.255 255.255.255.255 Auf Verbindung 192.168.56.1 281
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.56.1 281
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.2.107 281
224.0.0.0 240.0.0.0 Auf Verbindung 10.19.15.6 281
224.0.0.0 240.0.0.0 Auf Verbindung 169.254.90.142 281
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.56.1 281
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.2.107 281
255.255.255.255 255.255.255.255 Auf Verbindung 10.19.15.6 281
255.255.255.255 255.255.255.255 Auf Verbindung 169.254.90.142 281
===========================================================================
OpenVPN-Log
Wed Oct 16 17:41:01 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 25 2019
Wed Oct 16 17:41:01 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Oct 16 17:41:01 2019 library versions: OpenSSL 1.1.0j 20 Nov 2018, LZO 2.10
Wed Oct 16 17:41:01 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Wed Oct 16 17:41:01 2019 Need hold release from management interface, waiting...
Wed Oct 16 17:41:01 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Wed Oct 16 17:41:01 2019 MANAGEMENT: CMD 'state on'
Wed Oct 16 17:41:01 2019 MANAGEMENT: CMD 'log all on'
Wed Oct 16 17:41:01 2019 MANAGEMENT: CMD 'echo all on'
Wed Oct 16 17:41:01 2019 MANAGEMENT: CMD 'bytecount 5'
Wed Oct 16 17:41:01 2019 MANAGEMENT: CMD 'hold off'
Wed Oct 16 17:41:01 2019 MANAGEMENT: CMD 'hold release'
Wed Oct 16 17:41:01 2019 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 16 17:41:01 2019 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Oct 16 17:41:01 2019 MANAGEMENT: >STATE:1571240461,RESOLVE,,,,,,
Wed Oct 16 17:41:01 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]77.185.6.246:1194
Wed Oct 16 17:41:01 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Wed Oct 16 17:41:01 2019 UDP link local: (not bound)
Wed Oct 16 17:41:01 2019 UDP link remote: [AF_INET]77.185.6.246:1194
Wed Oct 16 17:41:01 2019 MANAGEMENT: >STATE:1571240461,WAIT,,,,,,
Wed Oct 16 17:41:01 2019 MANAGEMENT: >STATE:1571240461,AUTH,,,,,,
Wed Oct 16 17:41:01 2019 TLS: Initial packet from [AF_INET]77.185.6.246:1194, sid=633234cc c9d047ce
Wed Oct 16 17:41:02 2019 VERIFY OK: depth=1, C=DE, ST=BW, L=...
Wed Oct 16 17:41:02 2019 VERIFY KU OK
Wed Oct 16 17:41:02 2019 Validating certificate extended key usage
Wed Oct 16 17:41:02 2019 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Wed Oct 16 17:41:02 2019 VERIFY EKU OK
Wed Oct 16 17:41:02 2019 VERIFY OK: depth=0, C=DE, ST=BW, L=...
Wed Oct 16 17:41:02 2019 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 4096 bit RSA
Wed Oct 16 17:41:02 2019 [vpn.sgs.local] Peer Connection Initiated with [AF_INET]77.185.6.246:1194
Wed Oct 16 17:41:03 2019 MANAGEMENT: >STATE:1571240463,GET_CONFIG,,,,,,
Wed Oct 16 17:41:03 2019 SENT CONTROL [vpn.sgs.local]: 'PUSH_REQUEST' (status=1)
Wed Oct 16 17:41:03 2019 PUSH: Received control message: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,dhcp-option DNS 192.168.1.3,route 10.19.15.0 255.255.255.0,topology net30,ping 10,ping-restart 120,ifconfig 10.19.15.6 10.19.15.5,peer-id 1,cipher AES-256-GCM'
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: timers and/or timeouts modified
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: --ifconfig/up options modified
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: route options modified
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: peer-id set
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: adjusting link_mtu to 1624
Wed Oct 16 17:41:03 2019 OPTIONS IMPORT: data channel crypto options modified
Wed Oct 16 17:41:03 2019 Data Channel: using negotiated cipher 'AES-256-GCM'
Wed Oct 16 17:41:03 2019 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Oct 16 17:41:03 2019 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Wed Oct 16 17:41:03 2019 interactive service msg_channel=836
Wed Oct 16 17:41:03 2019 ROUTE_GATEWAY 192.168.2.1/255.255.255.0 I=11 HWADDR=e4:e7:49:50:ed:5a
Wed Oct 16 17:41:03 2019 open_tun
Wed Oct 16 17:41:03 2019 TAP-WIN32 device [OpenVPN_tun] opened: \\.\Global\{81BFF696-82E9-47AC-B23F-8C02C74DC01F}.tap
Wed Oct 16 17:41:03 2019 TAP-Windows Driver Version 9.23
Wed Oct 16 17:41:03 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.19.15.6/255.255.255.252 on interface {81BFF696-82E9-47AC-B23F-8C02C74DC01F} [DHCP-serv: 10.19.15.5, lease-time: 31536000]
Wed Oct 16 17:41:03 2019 Successful ARP Flush on interface [27] {81BFF696-82E9-47AC-B23F-8C02C74DC01F}
Wed Oct 16 17:41:03 2019 MANAGEMENT: >STATE:1571240463,ASSIGN_IP,,10.19.15.6,,,,
Wed Oct 16 17:41:08 2019 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Wed Oct 16 17:41:08 2019 MANAGEMENT: >STATE:1571240468,ADD_ROUTES,,,,,,
Wed Oct 16 17:41:08 2019 C:\WINDOWS\system32\route.exe ADD 192.168.1.0 MASK 255.255.255.0 10.19.15.5
Wed Oct 16 17:41:08 2019 Route addition via service succeeded
Wed Oct 16 17:41:08 2019 C:\WINDOWS\system32\route.exe ADD 10.19.15.0 MASK 255.255.255.0 10.19.15.5
Wed Oct 16 17:41:08 2019 Route addition via service succeeded
Wed Oct 16 17:41:08 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Oct 16 17:41:08 2019 Initialization Sequence Completed
Wed Oct 16 17:41:08 2019 MANAGEMENT: >STATE:1571240468,CONNECTED,SUCCESS,10.19.15.6,77.185.6.246,1194,,
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 505345
Url: https://administrator.de/forum/dachte-openvpn-ist-besser-als-das-windows-boardwerkzeug-aber-so-langsam-aendere-ich-meine-meinung-505345.html
Ausgedruckt am: 24.12.2024 um 12:12 Uhr
9 Kommentare
Neuester Kommentar
Dachte OpenVPN ist besser
Wie ist denn "besser" zu definieren ?? Wie immer eine nichtssagende relative Aussage. In der IT sollte man auch nicht denken sondern besser immer nachdenken. Aus Sicht der Performance, des Durchsatzes und der Sicherheit besteht da kein wesentlicher Unterschied zwischen den VPN Protokollen. Wobei die Sicherheit IMMER vom verwendeten Schlüssel Algorithmus abhängig ist und niemals per se vom verwendeten VPN Protokoll !! Logisch und sagt einem schon der gesunde IT Verstand.
Aus Sicht des Customizing gibt es aber schon Unterschiede. Da bietet OpenVPN erheblich mehr Optionen als die bordeigenen VPNs von Windows. Aber auch mit den bordeigenen Protokollen wie IPsec oder L2TP bieten Firewall oder Router Implementationen mehr Optionen.
Windows Server reagiert auf ping nicht (also dessen IP Adresse),
Das ist auch kein Wunder denn wie Kollege LKS oben schon richtig bemerkt ist seit Längerem ICMP generell per Default gesperrt in der Windows Firewall. (Ping nutzt das ICMP Protokoll !)Ohne das man das also nicht explizit in der bordeigenen Firewall freigibt scheitert ein Ping auf Windows Komponenten grundsätzlich.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Das Zweite ist die Art des Netzwerkes. Winblows nutzt eine Netzwerk Autoerkennung des Adapters. Diese scheitert aber am virtuellen TAP Adapter von OpenVPN grundsätzlich, da hier das Gateway fehlt. Mit der Folge das die Firewall das Netzwerk dann als öffentlich deklariert und hier mit der loklaen Firewall dann komplett dichtmacht.
Auch das muss man in der Firewall Einstellung dann erstmal auf Privat ändern um nicht an noch strikteren lokalen Firewall Regeln zu scheitern.
Einmal kann keine Route auf den richtigen TAP-Netzwerkadapter hinzugefügt werden
Das mag daran liegen das OVPN nicht im Administrator Mode ausgeführt wird. Nur dann lassen sich Routen hinzufügen.Desweiteren ist es kontraproduktiv den Server im alten /30er Subnet Mode laufen zu lassen wie man es an der Log Message IP/netmask of 10.19.15.6/255.255.255.252 ja sieht. Besser ist hier der modernere Mode subnet und das sollte man mit dem Push Kommado auch automatisch an die Clients pushen.
Allesamt aber OVPN Binsenweisheiten die man aber als kundiger Netzwerk Admin kennt oder kennen sollte und die man ganz besonders unter Winblows als Allererstes nach dem OVPN Setup korrigiert.
Ein Linux OVPN Server ist hier weitaus einfacher zu handhaben, das aber nur nebenbei.
Generell gesehen ist es auch immer ein sehr schlechtes Design einen VPN Tunnel auf einem Server im lokalen LAN zu terminieren. Ausnahme der Server macht rein nur VPN. Aber auch dann...
Erstmal weil es ein Server ist ! An ein so zentrales Element in einem Netzwerk gehört niemals ein VPN Tunnelendpunkt hin. Aus guten Gründen ganz besonders bei einem Windows OS. Sowas terminiert man immer in der Peripherie auf Router oder Firewall.
Zweitens weil man ein Loch in den Internet Router oder Firewall bohren muss um ungeschützten Internet Traffic ins lokale LAN zu schleusen.
Ein Unding heutzutage aus Sicherheits Sicht und eher ein Zeichen schlechten Security KnowHows oder mangelndem Sicherheitsbewusstseins sofern dies ein Firmensetup ist.
Vor dem Hintergrund ist das obige Szenario also trotz dieser harten Worte immer zu sehen, denn es ist für ein verlässliches Design schlicht und einfach unsaubere Bastelei.
Für ein zielgerichtetes Troubleshooting in dem o.a. Design fehlt leider wie immer bei OVPN das Allerwichtigste und das ist die Server und die Client Konfig Datei.
Ohne diese zu sehen kann man hier auch nur wieder einmal die berühmte Kristallkugel bemühen...aber nundenn.
OpenVPN-Datenpakete habe ich noch nie mit Wireshark analysiert
Zwar traurig, muss man aber auch nicht, da man durch die Verschlüsselung eh nichts "sehen" kann vom Inhalt außer Absender- und Ziel IP und den Port (UDP 1194)Kannst du dir also sparen.
Und wenn überhaupt, dann konfigurierst du am LAN Switch einen Mirrorport (Spiegel- oder SPAN Port) zum OVPN Server Port wo du dessen Traffic hinspiegelst und misst mit dem Wireshark Laptop dort. Doch niemals auf dem Server selbst !
Zeigt leider auch etwas KnowHow Defizit im Netzwerkbereich...
Also irgendwie finde ich die Software auch sehr fragil. :/
Kann ich nicht nachvollziehen. Hab mehrere OpenVPN Server erfolgreich betrieben. Egal ob Windows, Linux oder Unix. Die OpenVPN Software läuft stabil. Aber du kannst auch gerne eine andere VPN Software verwenden, die das OpenVPN Protokoll unterstützt z.B. Viscosity.
Aber auch hier könnte ich anfangen, was ist ein "schlechtes Design". Es ist nicht schlechter als Microsofts Lösung, die den traffic auch in den rest des Netzwerks durchlassen. Und ob der traffic jetzt vom Router kommt oder von einem Computer....
Hat doch @aqui geschrieben. Es geht um den generellen Aufbau. Dabei spielt es keine Rolle ob Windows, Linux Client/Server oder welches VPN Protokoll. So baust du dir ein Loch in dein Netz. Einen VPN Tunnel (egal ob Site to Site oder Remote Access) sollte man immer auf der Firewall oder Router machen und dann den Zugriff mit ACLs bestimmen.
Andererseits hätte man für die Fehlersuche SSL auch temporär ausschalten können.
IMHO kann man SSL nicht abschalten. Braucht man aber auch nicht. Einfach mal Wireshark mitscheiden lassen, ob überhaupt Pakete darüber verschickt werden bzw. bei der Gegenstelle ankommen.
Die Einrichtung ist zwar etwas aufwändiger, doch wenn es dafür sicherer ist kann man darüber weg sehen.
IPSec und andere VPN Protokolle sind genauso sicher - wenn man diese korrekt konfiguriert. Da ist eigentlich der Vorteil von OpenVPN. Die Konfiguration ist einfacher als bei IPsec. Auch kann man dort nichts falsches konfigurieren. Im schlimmsten Fall funktioniert halt der Tunnel nicht, wie es bei dir der Fall ist. Aufwendiger aufgrund der Default Konfiguration und den Easy-RSA Skripten auch nicht. Eigentlich sogar das Gegenteil.