HILFE: OpenVPN Server (auf Windows Server 2012) in Verbindung mit Asus-Router der VPN unterstützt (LAN to LAN) - Routing zu Asus-LAN IP funktioniert nicht !
Sehr geehrte Community,
mit meinem Projekt OpenVPN geht es nur sehr schleppend und mühselig voran, da es einfach sehr sehr viele Beschreibungen gibt, die in vielen Dingen wiedersprechen und nicht wirklich wie beschieben funktionieren.
Vor kurzen haben ich hier noch passende Router gesucht, die OpenVPN unterstützen. (die ich ebenfalls gleich auflisten werde) jetzt versuche ich vergebens auf den Router per (LAN IP) zu kommen.
Da ich weiß, wie lange es dauern kann, bis OpenVPN eingerichtet und sicher funktioniert, möchte ich im Zuge meiner Frage zu dem Routing-Problem auch auf die Möglichkeiten eingehen, was mit OpenVPN im Bezug auf Standort-Vernetzung mit geringen Kosten möglich ist.
Windows-Server 2012 (Datacenter)
Ethernet 1: IP:192.168.112.222
Ethernet 2: 172.17.1.1 (TAP-Windows Adapter V9)
und die Server.ovpn
Asus RT-AC68U Router der als OpenVPNClient aggiert.
WAN: 192.168.178.77 (vergibt eine FritzBox per DHCP)
LAN: 10.10.10.0 Subnetz: 255.255.255.0 Standard-Gateway: 10.10.10.1 DNS: 10.10.10.1
DHCP: 10.10.10.100 bis 10.10.10.199
Client.ovpn
Client-Verbindung zu OpenVPNServer - Erfolgreich
Der Router baut ohne Probleme die Verbindung zum OpenVPN Server auf. Sowohl der Server 192.168.112.222 (OpenVPN Windows Server 2012) als auch andere Server z.B. 192.168.112.230 (FileServer) lassen sich per RDP und per Datenexplorer öffnen. Somit ist der Weg von Client zu Server wie gewünscht vorhanden. Soweit alles super schon mal.
Aber ich möchte jetzt nur noch auf die LAN-IP Adressen des Asus_Routers und auf die angeschlossenen Geräte/PC´s zugreifen. Diese haben den IP-Adressenbereich 10.10.10.100 - 10.10.10.199
Subnet: 255.255.255.0 und den Gateway: 10.10.10.1 und DNS: 10.10.10.1
Ich kann von Standort A - Zentralle sei es vom Windows Server 2012 direkt oder auch vom PC im gleichen Netz die OpenVPN-IP 172.17.1.22 aufrufen und komme auf den entfernten Router / Asus-Weboberfläche auf Standort X.
Siehe nachfolgende Screens:
Screen von Windows Server 2012 wo der OpenVPNServer läuft
und
Screen von Client am Standort A - im selben Netz:
WENN DAS KLAPPT, BIN ICH HAPPY
Ich habe mehrere Sachen gelesen bezüglich iroute die ich jetzt auch schon getestet habe.
Jedoch weiss ich nicht so ganz genau, ob ich das mit der Datei richtig gemacht habe. Wichtig habe ich gelesen ist der Dateiname, der = CN=Common Name sein muss. Ob die Datei per Endung.ovpn in den speziellen Ordner gelegt werden muss, habe ich bis heute noch nicht konkrett lesen können.
Die entsprechenden Verknüpfung in der Server.ovpn für den Parameter: "Client-config-dir" für "iroute" habe ich hinzugefügt.
Aber irgendwie funktioniert es nicht !
Nachfolgend ein Screen des kompletten OpenVPNServer-Verzeichnis
Wenn ihr noch weitere Facts benötigt, bekommt ihr die ! Bitte melden....
VORAB Viele Dank fürs Lesen und der Hilfsbereitschaft !
Hier die Übersicht / Konstellation Grafisch
Ich will mit einem PC aus der Firma auf den IP-LAN-Adressenbereich des Asus-Router zugreifen.
Also z.B. per RDP auf 10.10.10.103
ohne hierfür den Port zu öffnen.
mit meinem Projekt OpenVPN geht es nur sehr schleppend und mühselig voran, da es einfach sehr sehr viele Beschreibungen gibt, die in vielen Dingen wiedersprechen und nicht wirklich wie beschieben funktionieren.
Vor kurzen haben ich hier noch passende Router gesucht, die OpenVPN unterstützen. (die ich ebenfalls gleich auflisten werde) jetzt versuche ich vergebens auf den Router per (LAN IP) zu kommen.
Da ich weiß, wie lange es dauern kann, bis OpenVPN eingerichtet und sicher funktioniert, möchte ich im Zuge meiner Frage zu dem Routing-Problem auch auf die Möglichkeiten eingehen, was mit OpenVPN im Bezug auf Standort-Vernetzung mit geringen Kosten möglich ist.
Aktueler Ausgangspunkt:
Da OpenVPN kostenlos und eine sichere Lösung ist ( wenn man sie richtig aufsetzt) benutzen wir seit 5 Jahren OpenVPN um unsere Außenstandorte/Homeoffices mit unserer Zentrale mittels TUNNEL zu verbinden. Bisher hatten wir OpenVPN auf LINUX ( also Linux-VM) laufen. Die Besonderheit lag zudem darin, dass die Außenstellen mit ihren PC/c / Clients nicht manuell mittels VPN-Client-Software eine Verbindung zum OpenVPN-Server aufbauen sollten, sondern, dass ein "VPN"-Router selbst und automatisch die VPN-Verbindung aufbaut und alle PC/Geräte (die mit diesem Router verbunden/angeschlossen sind), ins Firmennetzwerk routet bzw. die PC´s per Remote auf den Terminalserver (Standort A: Zentrale) und per Explorer auf den Datenserver (Standort A: Zentrale) drauf kommen. Zusätzlich wolle wir von Standort A auch auf alle Geräte/PCs von Standort X zugreifen. So können wir auch auf die dort per Netzwerk-Angeschlossenen Drucker zugreifen die mittels TA-Cockpit von der Zentrale (Standort A) aus überwacht werden der Tonerstand abgefragt wird und automatisch von TA (Triumph-Adler) ein neuer Toner an die dortig hinterlegte Adresse verschickt wird. Zudem kommen wir auch per RDP auf jeden PC um Sachen zu installieren.
Aktuelle VPN-Umgebung
Standort A: Zentrale (Hauptsitz der Firma, wo die komplette Netzwerk-Infrastruktur zur Verfügung steht und betrieben wird) - Firewall: Watchguard / Fireware XTM 515_v11.10.2
Serverseite: OpenVPN-Server (Linux)Standort X: Außenstellen / Home-Office Anbindung DSL/VDSL mit Fritzbox + zusätzlich VPN-Router (Aktuell von Netgear WNR3500L_v2 mit Firmware "Tomato Version 1.28 by shibby"
Clientseite : OpenVPN-CLient (über Router)Neue Ausgangspunkt:
OpenVPN Server (auf Linux) soll durch OpenVPN Server (auf Windows) ersetzt werden, weil entsprechendes Know-How mit der Verwaltung von Linux fehlt und nicht weiter erwünscht ist. Da die bisherigen eingesetzten Netgear-Router WNR3500L_v2 sich schwer / sehr eingeschränkt konfigurieren/verwalten lassen, hat man hier nach neuen Routern ausschau gehalten und hier ein geeignetes Modell gefunden: Asus RT-AC68U
Neue gewünschte VPN-Umgebung
Standort A: Zentrale (Hauptsitz der Firma, wo die komplette Netzwerk-Infrastruktur zur Verfügung steht und betrieben wird) - Firewall: Watchguard / Fireware XTM 515_v11.10.2
Serverseite: OpenVPN-Server (Windows)Standort X: Außenstellen / Home-Office Anbindung DSL/VDSL mit Fritzbox + zusätzlich VPN-Router ASUS RT-AC68U (der von Werkaus, OpenVPN als Client & Server fungiert)
Clientseite: OpenVPN-CLient (über Router)Server-Parameter | OpenVPN Server (auf Windows Server 2012)
Standort A:Windows-Server 2012 (Datacenter)
Ethernet 1: IP:192.168.112.222
Ethernet 2: 172.17.1.1 (TAP-Windows Adapter V9)
und die Server.ovpn
Client-Parameter:
Standort X: - Außenstellen/ Home-OfficeAsus RT-AC68U Router der als OpenVPNClient aggiert.
WAN: 192.168.178.77 (vergibt eine FritzBox per DHCP)
LAN: 10.10.10.0 Subnetz: 255.255.255.0 Standard-Gateway: 10.10.10.1 DNS: 10.10.10.1
DHCP: 10.10.10.100 bis 10.10.10.199
Client.ovpn
Client-Verbindung zu OpenVPNServer - Erfolgreich
Der Router baut ohne Probleme die Verbindung zum OpenVPN Server auf. Sowohl der Server 192.168.112.222 (OpenVPN Windows Server 2012) als auch andere Server z.B. 192.168.112.230 (FileServer) lassen sich per RDP und per Datenexplorer öffnen. Somit ist der Weg von Client zu Server wie gewünscht vorhanden. Soweit alles super schon mal.
Aber ich möchte jetzt nur noch auf die LAN-IP Adressen des Asus_Routers und auf die angeschlossenen Geräte/PC´s zugreifen. Diese haben den IP-Adressenbereich 10.10.10.100 - 10.10.10.199
Subnet: 255.255.255.0 und den Gateway: 10.10.10.1 und DNS: 10.10.10.1
Problembeschreibung
bevor ich das Problem beschreibe:Ich kann von Standort A - Zentralle sei es vom Windows Server 2012 direkt oder auch vom PC im gleichen Netz die OpenVPN-IP 172.17.1.22 aufrufen und komme auf den entfernten Router / Asus-Weboberfläche auf Standort X.
Siehe nachfolgende Screens:
Screen von Windows Server 2012 wo der OpenVPNServer läuft
und
Screen von Client am Standort A - im selben Netz:
Mein ZIEL
Ich möchte gerne die 10.10.10.1 (welche am Standort X das Asus-Webinterface aufruft) auch von Standort A aufrufen können.
Zudem befindet sich am Asus-Router per Netzwerkkabel ein PC mit der IP-Adresse 10.10.10.176 Siehe Screen - auch diesen PC würde ich gerne per RDP von Standort A aus erreichen.
PC der am Asus-Router angeschlossen ist: IP: 10.10.10.176
WENN DAS KLAPPT, BIN ICH HAPPY
Jetzt benötige ich eure HILFE !!!!
Wo ist mein Denkfehler ?Ich habe mehrere Sachen gelesen bezüglich iroute die ich jetzt auch schon getestet habe.
Jedoch weiss ich nicht so ganz genau, ob ich das mit der Datei richtig gemacht habe. Wichtig habe ich gelesen ist der Dateiname, der = CN=Common Name sein muss. Ob die Datei per Endung.ovpn in den speziellen Ordner gelegt werden muss, habe ich bis heute noch nicht konkrett lesen können.
Die entsprechenden Verknüpfung in der Server.ovpn für den Parameter: "Client-config-dir" für "iroute" habe ich hinzugefügt.
Aber irgendwie funktioniert es nicht !
Nachfolgend ein Screen des kompletten OpenVPNServer-Verzeichnis
HILFE
Wenn ihr noch weitere Facts benötigt, bekommt ihr die ! Bitte melden....
VORAB Viele Dank fürs Lesen und der Hilfsbereitschaft !
Ergänzung: (30.11.2015)
Hier die Übersicht / Konstellation Grafisch
Problem-Direkt:
Ich will mit einem PC aus der Firma auf den IP-LAN-Adressenbereich des Asus-Router zugreifen.
Also z.B. per RDP auf 10.10.10.103
ohne hierfür den Port zu öffnen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 289410
Url: https://administrator.de/forum/hilfe-openvpn-server-auf-windows-server-2012-in-verbindung-mit-asus-router-der-vpn-unterstuetzt-lan-to-lan-289410.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
8 Kommentare
Neuester Kommentar
Da ich weiß, wie lange es dauern kann, bis OpenVPN eingerichtet und sicher funktioniert,
Meinst du das negativ oder positiv ??OpenVPN ist wie Netzwerker wissen ein SSL basiertes VPN was damit sehr schnell und effizient eingerichtet werden kann.
Hält man sich z.B. an das hiesige OpenVPN Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
ist das auch für Laien in max. 30 Minuten erledigt.
Das Schöne und Positive an der OVPN Sache ist, das alle Konfiguration auf allen Hardware und OS Plattformen immer gleich ist, egal ob Winblows, Mac OS-X Linux oder was auch immer.
Wo also ist hier dein wirkliches Problem ??
Liest man sich deinen Hilfeschrei oben durch wird das schnell offensichtlich, denn das ist mangelndes Knowhow. Allein schon aus der Tatsache der dilettantischen Routerwahl wird das ersichtlich.
Von NetGear auf die höchst problematischen ASUS zu wechseln zeigt sehr wenig Fachkenntniss bei der Vorauswahl der HW mit der deine Lösung kinderleicht umzusetzen wäre.
Ausnahme wäre hier gewesen auf die ASUS Hardware die alternative Router Firmware DD-WRT zu flashen. Das hätte sehr vieles für dich und dein Vorhaben einfacher gemacht und dir den Einsatz eines Windows Server erspart.
Noch sinnvoller wäre der Einsatz einer VPN fähigen Firewall wie z.B. dieser hier gewesen aber diese Chance ist vertan worden.
Ebenso die hilflose Kapitulation vor Linux, das sich mit nur wenig Wissen ebenso einfach managen lässt über das GUI wie Windows zeigt ein übriges. Noch gar nicht mal geredet von Sicherheits und Kostenaspekten dieser Blödmarkt Billigrouter die normal im Firmenumfeld nichts zu suchen haben.
Mit solch extrem rudimentären Fachkenntnissen sich an so ein Projekt zu wagen ist schon recht sportlich aber eben auch nicht falsch wenn man denn willig ist Neues zu lernen.
Lamentieren, Produktschelte und jammern hilft also nicht unter diesen Voraussetzungen, denn OpenVPN ist auch auf Linux in so einer popeligen Standardkonfig wie die deiner millionenfach im Einsatz. Es liegt also de facto NICHT an der Technik !
Das solltest du also als erstes mal versuchen in den Griff zu bekommen oder dir kompetente Hilfe holen.
Zurück zu deinen Fragen...
Anhand deiner Beschreibung brauchst du also besser ein Klicki Bunti Interface was adäquat ist für Winblows User. Da fährst du dann mit einem fertigen Router oder Firewall erheblich besser die sowas schon gleich an Bord haben wie die Komponenten die oben im Tutorial beschrieben sind.
Das erleichtert die Einrichtung allemal aber OK...erstmal muss man dann mit der völlig oversizten Windows Lösung leben.
Fazit: Folge den Installationsschritten des obigen OVPN Tutorials !
Dort ist ganz genau beschrieben welche Schritte zur Einrichtung der Zertifikate usw. erforderlich sind.
Wichtig sind hier immer die Logs auf Server und Client Seite. Die sagen dir genau wo der Schuh drückt wenn es kneift.
Generell ist ein VPN Design mit VPN Servern (Tunnel Endpoints) die hinter NAT Routern liegen immer kontraproduktiv.
Ganz wichtige ToDos für dich in dem obigen Design die Server hinter der Router NAT Firewall zu betreiben ist:
- Port Forwarding einrichten auf dem ASUS Router der UDP 1194 (OVPN Default Port) auf die lokale LAN IP des OVPN Servers forwardet.
- Statische Route auf dem ASUS einrichten die das interne OVPN IP Netz auf die lokale LAN IP des Servers forwardet. (Zielnetz: 172.17.1.0, Maske: 255.255.255.0, Gateway: 192.168.x.y)
- Lokale Win Firewall des OVPN Win Servers muss angepasst werden auf ein richtiges Profil und das die IP Netze die über den Tunnel geroutet werden müssen an die Clients gepusht werden.
Deine besten Freunde sind dann wie immer Traceroute (tracert) und Pathping bzw. route print zum Troubleshooten.
Wenn trotz konsitenter Routing Tabelle zw. Client und Server nichts durch den Tunnel kommt ist so gut wie immer eine nicht angepasste lokale Firewall das Problem !
Bedenke immer das Clients mit einer 172.17.1er Absender IP in dein lokales 192.168.0.0 /23 er Netz ankommen und Endgeräte dort diese IPs per Default in der Firewall blocken da die Absender IP nicht aus dem lokalen Netz kommt.
Auch das musst du ganz besonders bei Winblows anpassen.
Wichtig für uns zur zielgerichteten Hilfe sind:
- Log Outputs Client und Server
- Traceroute Outputs
- An welchen Knoten klemmt es wenn es denn klemmt
- Routing Tabellen Client
- Netzwerk Topologie Zeichnung
Auf die Webconsole des Asus-Router komme ich mit 172.17.1.46 ebenfalls drauf. Der Asus-Router baut auch die Route zum Firmennetzwerk korrekt auf
Gut, das der OVPN Server den ASUS pingen kann und hoffentlich vice versa auch ist schonmal gut und zeigt das der SSL Tunnel sauber funktioniert. Generell rennt das also.Der Rest kann jetzt nur nioch ein Routing oder Firewall Problem sein.
- Wichtige Frage nochmal: kannst du das LAN Interface des ASUS 10.10.10.1 auch anpingen ?
- Wenn nein bis wohin geht ein Traceroute auf diese IP ?
- Kannst du über das GUI die Routing Tabelle des ASUS einsehen ?
Er (der ASUS Router) hat aktuell folgende IP: WAN: 10.255.0.46
Das stimmt aber NICHT mit deiner Zeichnung von oben überein ?! Dort ist die klassische FB IP 192.168.178.0 angegeben...Am Asus-Router häng an LAN-Port 1: ein Laptop mit der LAN-IP 10.10.10.176
Von Standort A aus möchte ich diesen per RDP aufrufen können. Aber selbst dass anbingen und tracert funktioneirt nicht.
Dir ist klar das der PC im Default das nicht zulässt !Von Standort A aus möchte ich diesen per RDP aufrufen können. Aber selbst dass anbingen und tracert funktioneirt nicht.
2 Gründe dafür:
- Die lokale Firewall des PC verhindert den RDP und ICMP Zugriff aus dem Fremdnetz Standort A per Default. Du musst hier zwingend die Firewall anpassen das das erlaubt ist aus dem Standort A Netz.
- ICMP ist im Default auf den PC deaktiviert (sofern es ein Winblows PC ist !) Zum Aktivieren siehe: http://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Leider geht mein Traceroute nirgendwo hin... was ich sehr komisch finde....
Zeigt das du ein Routing Problem hast !Er müsste doch aber mindestens den ersten Hop anzeigen sprich die Watchguard Firewall, denn die ist doch bei deinem Ping oder Traceroute Client als Default Gateway eingetragen, oder ?
Die muss Traceroute in jedem Falle zeigen !
Zudem hast du vergessen auf der Watchguard auch eine weitere statische Route für die 10er Netze am ASUS Standort einzutragen die dann über den OVPN Server gehen. Dort ist einzig nur das OVPN interne Netz als Route drin.
Dort fehlt ein:
ip route 10.10.10.0 255.255.255.0 Gateway: 192.168.112.222
Wenn es mehrere 10er Netze gibt an B die sich im 3ten Byte unterscheiden kannst du auch eine Summarization machen bei der Route:
ip route 10.10.0.0 255.255.0.0 Gateway: 192.168.112.222
Das routet dann alle 10.10.x.x Netze in den VPN Tunnel.
Ansonsten schickt die Watchguard diese Pakete zum Provider !
Beachte auch das dann ICMP an der Watchguard am LAN Port erlaubt sein muss, denn sonst ist klar das Traceroute nix anzeigt wenn die Watchguard das blockt !
Was mich auch ein bisschen irritiert ist die Ständige Route:
Ist das die Route Tabelle des Ping Clients ??192.168.112.1 ist ja richtig das ist die Watchguard und die dürfte da Default Gateway sein.
Die Default Route auf die 172er IP ist definitiv ein Fehler ! Wo kommt die her ?
Routingtabelle ASUS:
Wieso hast du die 2mal gepostet ???
Wie du selber sehen kannst fehlt in der Routing Tabelle das 192.168.112.0er Netzwerk vollständig !!!
Antwortpakete aus B gehen also direkt an den Provider und damit ins Nirwana statt in den VPN Tunnel.
Hast du im OVPN Server das
push "route 192.168.112.0 255.255.255.0"
Kommando vergessen ???
Solange dises netzwerk nicht auf den remoten Asus propagiert wird sollte dir doch klar sein das das niemals klappen kann, denn wenn der ASUS die Route in das Zielnetz nicht kennt wie dachtest du sollte das gehen ??
Checke also unbendingt die Server Konfig Datei des OVPN Servers an A !!! Da muss noch ein Fehler sein.
Leitfaden ist hier immer das hiesige OVPN Tutorial !