chewee
Goto Top

Kriege keine VPN Verbindung hin

Hallöle,

wie der Titel verrät, brauch ich ein bisschen Hilfe.

Zu meiner Umgebung :
Ich habe einen Windows Server 2008 R2 x64 mit der IP 192.168.1.11 und da habe ich openVPN 2.3.4 x64 installiert.
Der Server ist auch ein DHCP und DNS Server.

Meine Server Konfiguration ist diese

port 1194
proto udp
mode server
tls-server
dev tun
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.254
cert SRV1.crt
ca ca.crt
key SRV1.key
dh dh1024.pem
ifconfig-pool-persist ipp.txt
keepalive 10 120
auth SHA1
comp-lzo
persist-tun
persist-key
verb 3

Die Client Konfiguration sieht so aus

client
dev tun
proto udp
remote 95.91.241.32 1194
ca ca.crt
cert XC-PC.crt
key XC-PC.key
nobind
comp-lzo
persist-key
persist-tun
verb 3

Ich habe dann über CMD zuerst die beiden Befehle
- vars.bat
- clean-all.bat
ausgeführt und danach die Zertifikate und Keys für Server und Client erstellt
- build-ca.bat
- build-dh.bat
- build-key-server.bat SRV1
- build-key.bat XC-PC
bei den Abfragen habe ich schon vieles ausprobiert.
Mal die gleichen Angaben mal verschiedene...

Dann habe ich das CA-Zertifikat, XC-PC Zertifikat und die Schlüssel Datei auf den Client in den config Ordner geschoben.
Testweise habe ich die Windows Firewall auf beiden Systemen deaktiviert.
Ich habe ein hitron Modem von Kabel Deutschland mit einer festen IP Adresse und dadran habe ich ein Access Point von D-Link.

Der Client geht dann mit einem Surf Stick ins Internet.
Ich habe es auch schon bei meinen Eltern versucht dort ist eine FritzBox also 192.168.178.x (bei mir zu hause habe ich das 192.168.1.x Netz)

Im Bild sieht man dann was ich dann zu sehen bekomme
Ich hoffe ich habe jetzt an alles gedacht, falls nicht dann einfach fragen

Content-ID: 250279

Url: https://administrator.de/contentid/250279

Ausgedruckt am: 05.11.2024 um 16:11 Uhr

orcape
orcape 27.09.2014 um 07:05:31 Uhr
Goto Top
Hi,
Ich habe ein hitron Modem von Kabel Deutschland
..nur Modembetrieb, oder Router ?
.... und dadran habe ich ein Access Point von D-Link.
Typ ?...kannst Du den eventuell als Router betreiben, mit DD-WRT flashen und dort den OpenVPN-Server betreiben ?
Wäre sinnvoller.
Logs und Routingtabellen wären mal interessant.
Der Client geht dann mit einem Surf Stick ins Internet.
..beim OVPN-Client machbar, könnte aber Probleme machen, wenn Du versuchst den OVPN_Server zu pingen.
Im Bild sieht man dann was ich dann zu sehen bekomme
..wäre schön, wenn wir das auch sehen könnten..face-wink

Gruß orcape
broecker
broecker 27.09.2014 um 08:05:57 Uhr
Goto Top
Moin,
wie schon orcape geschrieben hat, fehlt doch noch manches, das Thema ist "eigentlich" über die Suche hier auch schon in allen Details ergründet,
hier kann es aber schon auf dem ersten Blick an den verwendeten Tunneladressen liegen:
10.x.x.x verwendet auch 1und1 - zumindest manchmal - als Adressbereich für die Sticks,
(also bekommen viele Sticks und Handys anders als DSL "üblich" heutzutage keine öffentlichen IPs (V4) mehr zugewiesen, sondern nur private)
z.B. 172.16.0.0 als Tunnelnetz verwenden und dann nochmal...
zu kontrollieren und entdecken mit "route print" bei Windows
HG
Mark
orcape
orcape 27.09.2014 aktualisiert um 09:17:39 Uhr
Goto Top
Zitat von @broecker:
hier kann es aber schon auf dem ersten Blick an den verwendeten Tunneladressen liegen:
10.x.x.x verwendet auch 1und1 - zumindest manchmal - als Adressbereich für die Sticks,
...die fahren aber in der Regel eine /30 er Netzmaske und die IP´ s sehen auch nicht nach 10.0.0.0 aus, also eher unwahrscheinlich das Du mit 10.0.0.0/24 ins Gehege kommst.
Zumindest habe ich das auch so laufen, ohne das es Problemen gibt.
Die Ursache liegt beim TO definitiv wo anders. Leider sind die geposteten Infos noch etwas dürftig..face-wink
Gruß orcape
aqui
aqui 27.09.2014 aktualisiert um 11:24:01 Uhr
Goto Top
Halte dich an das Tutorial hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Die Konfig Schritte sind absolut identisch für dich, da bei OVPN es nicht Plattform abhängig ist !
Bei Windows sind die gefährlichsten Fallstricke:
  • Firewall Profil des OVPN tap Interfaces !!
  • Routing RAS aktivieren
Ersteres ist meist das Problem !

2 gravierende Probleme bzw. Fehler bei dir:
1.) Du schreibst der Server hat die IP 192.168.1.11. Der Client connected aber auf die 95.91.241.32. Das lässt klar vermuten das du einen NAT Internet Router zwischen dem Internet und deinem remoten Client hast !!
Frage:
  • Die IP 95.91.241.32 ist die WAN Port IP des Routers ?
  • Hast du dort ein Port Forwarding von eingehend UDP 1194 auf die Server IP 192.168.11.1 eingetragen !!

2.)
Wo ist dein push route 192.168.1.11 255.255.255.0 Kommando in der Server Konfig ?? Siehe Tutorial oben !!
Ohne die Route für den Client hat der keinen Zugriff auf das remote lokale LAN !!

Lies dir also das obige Tutorial genau durch dort stehen alle relevanten Schritte zum OVPN Erfolg !
chewee
chewee 27.09.2014 um 11:35:59 Uhr
Goto Top
Hey erstmal Danke für die schnellen Antworten.

zu orcape:
Das Modem läuft nur im Modem Betrieb und der Access Point ist halt von D-Link mit der Bezeichnung DAP-2553.
Soweit ich das rausgelesen habe geht das DD-WRT leider nicht auf diesem Gerät.
Eigentlich hatte ich in dem Reiter "Bilder" ein Screenshot hinzugefügt...
Hier mal der Link dazu
http://oi58.tinypic.com/2hhp3me.jpg

zu broecker:
Ich habe schon ein paar Stunden bzw Tage vor google verbracht um rauszufinden warum das nicht läuft.
Doch egal was ich dazu gefunden habe, es war nie die Lösung für mein Problem dabei.
Daher nochmals die Fragestellung.

So und zu aqui:
Ja die 95... ist meine WAN Adresse des Modems kein Router
Daher auch keine Portweiterleitung.
Vorher hatte ich da noch einen Wlan Router anstelle des Access Point dran.
Da habe ich dann auch den Port 1194 an den Server ....1.11 weitergeleitet.
Soll ich anstelle der WAN IP etwa meine Lokale Server IP angeben?
Dann würde ich nämlich nicht verstehen wie da eine Verbindung über das Internet zu stande kommt
aqui
aqui 27.09.2014 aktualisiert um 12:03:21 Uhr
Goto Top
Ja die 95... ist meine WAN Adresse des Modems kein Router
Sorry, aber das ist technischer Blödsinn und weisst du vermutlich auch selber ?!
Ein Modem ist immer ein rein passiver Medienwandler von DSL Framing auf Ethernet und ein reines Modem nimmt niemals am IP Forwarding oder Routing Teil.
Folglich hat ein Modem auch niemals eine gültige IP Adresse.
Technisch ist diese Aussage also völliger Unsinn, sorry.
Daher auch keine Portweiterleitung.
Klar, denn auf einem Modem ohne jegliche IP Adressen kann man dann auch logischerweise niemals ein Port Forwarding machen !!
Entweder hast du hiermal wieder die typische Begriffsverwechslung Modem / Router gemacht oder Router mit integriertem DSL Modem usw. oder du hast dein Netzwerk Szenario im Thread falsch beschrieben face-sad
Aussagen wie
Das Modem läuft nur im Modem Betrieb
Sind technischer Unsinn denn so mit einem reinen nur Modem könntest du ja gar kein NAT realisieren, es sei denn dein Server hängt direkt am Modem dran und du hast den Server direkt im Internet exponiert mit dem Modem.
Sowas macht aber kein normaler Mensch mehr wenn ihm Sicherheit in seinem Netz wichtig ist. Schon gar nicht macht man dasmit einem Winblows OS. Hier wäre also sinnvoll mal zu erfahren WIE du die Internet Anbindung technisch wirklich realisiert hast ?!

Irgendwo MUSS aber dein NAT Router sein der die öffentliche 95er IP auf dein internes Netz 192.168.1.0 /24 per IP Adress Translation (NAT) umsetzt. Oder eben der Serverport direkt was wir aber mal alle nicht hoffen hier...
Hier musst du zwingend ein Port Forwarding machen, damit die NAT Firewall den eingehenden UDP 1194 Traffic auf den OVPN Server weiterleitet.
Logisch denn sonst würde der OVPN Server den Client Traffic niemals zu Gesucht bekommen, denn ohne diesen PFW Eintrag im NAT Router bleibt eingehender UDP 1194 Traffic an der NAT Firewall hängen wie es auch bei Firewalls ins Internet so üblich ist.
Fazit: Ohne PFW auf dem NAT Router (nicht Modem !) also kein funktionierendes VPN !
Siehe auch OVPN Tutorial oben Kapitel " OVPN Server hinter NAT Router !"
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Es sind also weiterhin 2 Punkte weiter offen:

Wichtig auch: WAS steht in deinem OVPN Server oder Client Log !!!
Diese messages würden uns das Troubleshooting für dich zusätzlich sehr erleichtern !
108012
108012 27.09.2014 um 13:00:33 Uhr
Goto Top
Hallo,

Ich habe ein hitron Modem von Kabel Deutschland mit einer festen IP Adresse und
dadran habe ich ein Access Point von D-Link.
Sag uns mal bitte die vollständige Beschreibung von dem Hitron!
Hersteller / Name / Modell / Modellbezeichnung
Als Beispiel: AVM Fritz!Box Fon WLAN 7490

Der Client geht dann mit einem Surf Stick ins Internet.
Ist mit dem Internetzugang überhaupt VPN möglich?

Ich habe es auch schon bei meinen Eltern versucht dort ist eine FritzBox also
192.168.178.x (bei mir zu hause habe ich das 192.168.1.x Netz)
Und die Fehlermeldung dazu?

- Kabel Deutschland hat Probleme mit einigen VPN Methoden
- Ist das überhaupt eine statische IP oder wechselt die nur selten?
- Ist das nun ein Modem oder ein Router der NAT macht von Kabel Deutschland?
- Ist bei dem Mobilen ISP von wo der USB Stick her ist ein Transfernetz dazwischen oder nicht?

Kläre das doch erst einmal ab.

Gruß
Dobby
chewee
chewee 27.09.2014 um 13:44:35 Uhr
Goto Top
Sorry Mein Fehler...
Wenn mir Kabel Deutschland ein Modem verkauft, dann gehe ich auch davon aus das das eins ist.
Es ist ein Hitron Kabel Modem CVE-30360 mit Routerfunktion.
Dort habe ich eine Weiterleitung aktiviert Port 1194 auf IP 192.168.1.11.

Ist mit dem Internetzugang überhaupt VPN möglich?

Die Frage verstehe ich nicht

Im Client log steht folgendes drin

Sat Sep 27 13:38:28 2014 OpenVPN 2.3.4 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 7 2014
Sat Sep 27 13:38:28 2014 library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.05
Sat Sep 27 13:38:28 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Sep 27 13:38:28 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Sep 27 13:38:28 2014 UDPv4 link local: [undef]
Sat Sep 27 13:38:28 2014 UDPv4 link remote: [AF_INET]95.91.241.32:1194

Die IP ist eine feste Adresse... Es sei denn KD ändert die Adressen alle paar Monate...
und ob da ein Tranfernetz dazwischen weiß ich nicht. Ehrlichgesagt weiß ich nichtmal was du damit meinst.
108012
108012 27.09.2014 um 14:11:20 Uhr
Goto Top
Hallo nochmal,

Wenn mir Kabel Deutschland ein Modem verkauft, dann gehe ich auch
davon aus das das eins ist.
Wenn ich alles glaube was mir die Werbung verspricht, bin ich trotz alle dem
selber schuld, oder?

Es ist ein Hitron Kabel Modem CVE-30360 mit Routerfunktion.
Und genau das haben wir uns schon alle gedacht! Das mit dem, es ist nur ein Modem
hören wir hier im Forum gut und gerne einmal die Woche!!

Ist mit dem Internetzugang überhaupt VPN möglich?
Die Frage verstehe ich nicht
- Man kann Ports sperren die für ein VPN Nötig sind
- Man kann Protokolle sperren die für ein VPN nötig sind.
- Man kann ein Transfernetz dazwischen haben das eigene private IP Adressen benutzt
und dann ist auch ein VPN nicht mehr möglich oder aber man hat ein so genanntes Carrier
grade NAT
auf Seiten des mobil ISPs was ein VPN unmöglich macht.
- Man kann auch DSLlight oder wie es sonst auch heißt einen IPv4/IPv6 Dual Stack
haben der ein VPN unmöglich macht.

Kurz um, es wäre schon schön zu wissen welcher mobil ISP das ist und was für ein Vertrag,
denn VPN wird meist nur möglich bei den Bussiness Verträgen, zumindest, bei einigen mobil
ISPs, damit sie den Kunden dann die wesentlich teureren Verträge aufdrängen können.

Und dann können wir uns hier einen Wolf raten und es wird nichts mit dem VPN!

Die IP ist eine feste Adresse... Es sei denn KD ändert die Adressen alle paar Monate...
Es gibt zwei Varianten bei Kabel Deutschland und sie werden oftmals aus Unwissenheit
eben miteinander verwechselt;
- Eine öffentliche IP die wirklich statisch ist
- Und eine IP die nur ab und an wechselt, aber sie wechselt.

und ob da ein Tranfernetz dazwischen weiß ich nicht. Ehrlichgesagt weiß ich nichtmal
was du damit meinst.
Das ist dann ein extra Netz des Providers zwischen Dir und dem Internet mit privaten IP
Adressen die nicht im Internet routbar sind und somit auch keine VPN Verbindung zustande
kommen kann. Einige mobil ISPs unterdrücken aus den weiter oben genannten Gründen auch
gerne das Zustandekommen von VPN Verbindungen und da sollte man schon vorher wissen
was das denn nun für ein Vertrag ist.

Gruß
Dobby
chewee
chewee 27.09.2014 um 14:36:35 Uhr
Goto Top
Wenn ich alles glaube was mir die Werbung verspricht, bin ich trotz alle dem
selber schuld, oder?

okay anders ausgedrückt. Wenn das Ding Hitron Kabel Modem heißt, dann gehe ich davon aus ... face-smile

Den Stick nutze ich nicht mehr... Stattdessen habe ich die SIM Karte in ein Handy gepackt(HTC One V) und nutze das als Hotspot.
Der Vertrag ist von o2 und nennt sich o2 Go...

Soll ich jetzt in der client.ovpn bei dem Eintrag "remote" die Lokale IP des Servers nehmen (192.168.1.11) oder die WAN IP 95.91.241.32 ?
broecker
broecker 27.09.2014 um 14:57:47 Uhr
Goto Top
muß wohl die WAN-IP sein, denn sonst würde der Weg dahin ja (z.B.) durch einen VPN-Tunnel gehen... face-smile
chewee
chewee 27.09.2014 um 19:08:48 Uhr
Goto Top
Zitat von @broecker:

muß wohl die WAN-IP sein, denn sonst würde der Weg dahin ja (z.B.) durch einen VPN-Tunnel gehen... face-smile

Also die habe ich beide ausprobiert... leider ohne Erfolg
broecker
broecker 27.09.2014 um 19:30:38 Uhr
Goto Top
Du solltest ein paar der Fragen der anderen beantworten, sonst verliert man die Freude...
- beim Port-Weiterleiten im Router bedacht, daß UDP 1194 weitergeleitet werden muß? (Voreinstellung der FW häufig TCP)
- ich glaube immer noch an 10.x.x.x - s.o. - welcher ISP ist es, welche öffentliche IP bekommst Du beim UMTS/GRS-Stick?
- Fehlermeldungen des Clients wurden noch nicht gezeigt, die Meldungen oben sind regulär - ggf. bis zum ersten Time-Out
- sonst einfach nochmal alles von vorne mit dem Skript von aqui machen!
HG
Mark
orcape
orcape 27.09.2014 um 21:04:20 Uhr
Goto Top
Laut Deinen Logs liegt hier ein Zertifikatsfehler vor...
Sat Sep 27 13:38:28 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net
/howto.html#mitm for more info.
Du solltest das mal etwas unter die Lupe nehmen...
cert SRV1.crt
ca ca.crt
key SRV1.key
Gruß orcape
broecker
broecker 27.09.2014 aktualisiert um 21:42:20 Uhr
Goto Top
@orcape: nein, er hat nur keine Überprüfung des Servers ausgewählt und das ist so erlaubt,
er würde auch mit einem MITM sprechen und erst dessen nachfolgendem "falschen" (nicht mit dem privaten Schlüssel verschlüsselten) Sitzungsschlüssel abweisen;
verify-x509-name "MeinServer.dyndns.org" name
wäre eine verstärkte Überprüfung, die man aber nicht in allen Szenarien durchführen kann (z.B. bei DynDNS und mehren ADSL/UMTS-Zugängen)
Ich denke, im Log fehlt der Time-Out und die Wiederholung dieser Sequenz und der Fehler liegt im nicht Erreichen des Servers
- ping wäre knifflig, man könnte einen einfacheren Test-Dienst aufsetzen - oder halt Fragen beantworten face-sad
HG
Mark
chewee
chewee 27.09.2014 um 23:52:57 Uhr
Goto Top
Zitat von @broecker:


- beim Port-Weiterleiten im Router bedacht, daß UDP 1194 weitergeleitet werden muß? (Voreinstellung der FW häufig
TCP)

Ja habe ich.

- ich glaube immer noch an 10.x.x.x - s.o. - welcher ISP ist es, welche öffentliche IP bekommst Du beim UMTS/GRS-Stick?

Der Provider ist o2 was ich aber schon geschrieben hatte.
wenn ich den Surf Stick dran habe dann kriege ich diese öffentliche IP : 82.113.106.189 und die private IP ist : 10.34.31.189
und wenn ich die SIM in mein HTC packe kriege ich diese öffentliche IP : 89.204.139.160 und privat : 192.168.1.101

- Fehlermeldungen des Clients wurden noch nicht gezeigt, die Meldungen oben sind regulär - ggf. bis zum ersten Time-Out

Sat Sep 27 13:38:28 2014 OpenVPN 2.3.4 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 7 2014
Sat Sep 27 13:38:28 2014 library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.05
Sat Sep 27 13:38:28 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Sep 27 13:38:28 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Sep 27 13:38:28 2014 UDPv4 link local: [undef]
Sat Sep 27 13:38:28 2014 UDPv4 link remote: [AF_INET]95.91.241.32:1194
Sat Sep 27 13:39:28 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Sep 27 13:39:28 2014 TLS Error: TLS handshake failed
Sat Sep 27 13:39:28 2014 SIGUSR1[soft,tls-error] received, process restarting
Sat Sep 27 13:39:28 2014 Restart pause, 2 second(s)
Sat Sep 27 13:39:30 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Sep 27 13:39:30 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Sep 27 13:39:30 2014 UDPv4 link local: [undef]
Sat Sep 27 13:39:30 2014 UDPv4 link remote: [AF_INET]95.91.241.32:1194
Sat Sep 27 13:40:30 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Sep 27 13:40:30 2014 TLS Error: TLS handshake failed
Sat Sep 27 13:40:30 2014 SIGUSR1[soft,tls-error] received, process restarting
Sat Sep 27 13:40:30 2014 Restart pause, 2 second(s)
Sat Sep 27 13:40:32 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Sep 27 13:40:32 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Sep 27 13:40:32 2014 UDPv4 link local: [undef]
Sat Sep 27 13:40:32 2014 UDPv4 link remote: [AF_INET]95.91.241.32:1194
Sat Sep 27 13:47:30 2014 [UNDEF] Inactivity timeout (--ping-restart), restarting
Sat Sep 27 13:47:30 2014 SIGUSR1[soft,ping-restart] received, process restarting
Sat Sep 27 13:47:30 2014 Restart pause, 2 second(s)
Sat Sep 27 13:47:32 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Sep 27 13:47:32 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Sep 27 13:47:32 2014 UDPv4 link local: [undef]
Sat Sep 27 13:47:32 2014 UDPv4 link remote: [AF_INET]95.91.241.32:1194
Sat Sep 27 13:48:32 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Sep 27 13:48:32 2014 TLS Error: TLS handshake failed
Sat Sep 27 13:48:32 2014 SIGUSR1[soft,tls-error] received, process restarting
Sat Sep 27 13:48:32 2014 Restart pause, 2 second(s)
Sat Sep 27 13:48:34 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sat Sep 27 13:48:34 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Sep 27 13:48:34 2014 UDPv4 link local: [undef]
Sat Sep 27 13:48:34 2014 UDPv4 link remote: [AF_INET]95.91.241.32:1194
Sat Sep 27 13:49:34 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Sep 27 13:49:34 2014 TLS Error: TLS handshake failed
Sat Sep 27 13:49:34 2014 SIGUSR1[soft,tls-error] received, process restarting
Sat Sep 27 13:49:34 2014 Restart pause, 2 second(s)
orcape
orcape 28.09.2014 um 08:54:48 Uhr
Goto Top
Das passiert wenn man nur einen Teil der Logs zu sehen bekommt.
Hier liegt eindeutig ein TLS-Fehler vor....
Sat Sep 27 13:49:34 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sat Sep 27 13:49:34 2014 TLS Error: TLS handshake failed
Zertifikate prüfen, Fehler beim kopieren auf den Client etc.....
Gruß orcape
broecker
broecker 28.09.2014 um 09:22:01 Uhr
Goto Top
@orcape: sorry, falsch, wie darin schon steht, der Client versucht 60 Sekunden lang den Handshake, nur deshalb sagt er "TLS Error", tritt auf, wenn keine Kommunikation zustande kommt, d.h. IP falsch/Port falsch/FW/...

Surfstick: 10.34.31.189 mit welcher Subnetzmaske? bei 255.0.0.0 wäre der Fehler klar: Du verwendest 10.0.0.x als Tunnelnetz - einfach 'mal gegen 172.16.x.x -z.B. Netzmaske 255.255.255.0 austauschen
Handy: Darf das Handy zu Port 1194 raustelefonieren? oder blockiert hier ein Zwangsproxy?
mit nmap könnte man das Ziel abfragen, stellt man proto auf tcp (und FW entsprechend) könnte man den Verbindungsaufbau auch mit telnet schon prüfen...

HG
Mark
orcape
orcape 28.09.2014 um 10:32:20 Uhr
Goto Top
tritt auf, wenn keine Kommunikation zustande kommt, d.h. IP falsch/Port falsch/FW/...
..ja schon klar, tritt aber auch auf, wenn beim kopieren der Keys was daneben gegangen ist. Den Fall hatte ich auch schon.
Abzuklären wäre vom TO, egal ob Handy oder Stick, was der Provider als IP/Netzmaske verwendet.
Das er NAPT macht, ist wohl so gut wie sicher, das ist aber auf OpenVPN-Clientseite nicht das Problem.
Leider hat der TO bis jetzt zwar die IP´ s gepostet, Config-Änderung, wie Sie von @aqui vorgeschlagen wurden, entweder noch nicht umgesetzt oder das zumindest noch nicht gepostet.
Wäre auch interessant wie die aktuelle Config nun aussieht, wenn er denn überhaupt etwas geändert hat.
Gruß orcape
chewee
chewee 28.09.2014 um 16:02:51 Uhr
Goto Top
jetztige Server Konfiguration :
port 1194
proto udp
mode server
tls-server
dev tun
ifconfig 172.16.0.100 255.255.255.0
ifconfig-pool 172.16.0.101 172.16.0.200
cert SRV1.crt
ca ca.crt
key SRV1.key
dh dh1024.pem
push route 192.168.1.11 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
auth SHA1
comp-lzo
persist-tun
persist-key
verb 3


aqui´s Links führen zu Seiten die mir sagen wie ich die Windows Firewall konfigurieren muss...
Nur hab ich auf allen Systemen testweise die Win-FW´s ausgeschaltet und nichmal da kommt ne Verbindung zu stande.

Subnetz vom Surf Stick ist 255.255.255.255 Gateway 0.0.0.0
Ich weiß nicht wie man prüft ob das Handy den Port blockiert...


Die Keys habe ich schon auf unterschiedliche Weise kopiert.. USB / Netzwerk / E-Mail
Immer das gleiche
broecker
broecker 28.09.2014 um 16:31:55 Uhr
Goto Top
Moin,
das Subnetz vom Surf-Stick ist für PPPoE (oder ein anderes Basisprotokoll) gedacht, also nur eine 1-zu-1-Verbindung zum nächsten Server, damit wird auch das von draußen prüfen schwierig.
Ich würde jetzt auf TCP umstellen UND auf Port 443 beim Server, damit würde man ggf. ISP-Proxy-Server austricksen und mit dem TCP besser testen können.
TCP ist für OVPN generell nicht empfohlen, weil die Gesamt-Performance bei (überwiegend) gekapselten TCP-Traffic unnötig schlechter ist, aber ggü. nichts natürlich ok, TCP 443 wäre normalerweise das Ansprechen von HTTPS-Servern, d.h. ohne extra Aufwand könnte man dann selbst nicht mehr einen öffentlichen Web-Server betreiben, für's Eingrenzen m.E. auch völlig ok.
(gleich noch PM)
HG
Mark
aqui
aqui 29.09.2014 aktualisiert um 10:21:49 Uhr
Goto Top
Subnetz vom Surf Stick ist 255.255.255.255 Gateway 0.0.0.0
Das ist natürlich technischer Unsinn aber ein ipconfig -all mit aktivem eingewählten Surfstick wäre mal interessant um mal zu checken WAS für einen IP Adresse du vom Mobilfunk Provider bekommen hast ??
Wenn du Pech hast ist das ein billiger NUR Surf Account mit privaten RFC 1918 IPs und zentralem Provider NAT der zusätzlich noch über einen Zwangsproxy geht....dann siehts natürlich Böse aus mit deinem VPN ?!
chewee
chewee 29.09.2014 um 10:24:39 Uhr
Goto Top
Zitat von @aqui:

> Subnetz vom Surf Stick ist 255.255.255.255 Gateway 0.0.0.0
Das ist natürlich technischer Unsinn ...

Warum soll das Unsinn sein? Es steht genau so da!

2ede12bbe2b8cb21c07edf2e09d3f5fa
broecker
broecker 29.09.2014 um 10:46:55 Uhr
Goto Top
... und plötzlich steht da auch ppp, WINS ist auch sehr schön,
172.16.x.x macht da zum Ausweichen Sinn, meine Vorstellung jetzt alles als HTTPS auszugeben wäre vielleicht verfolgbar?
HG
Mark
chewee
chewee 29.09.2014 um 12:46:25 Uhr
Goto Top
Wenn ich es mit TCP und port 443 versuche steht folgendes im log

Mon Sep 29 12:26:13 2014 OpenVPN 2.3.4 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Aug 7 2014
Mon Sep 29 12:26:13 2014 library versions: OpenSSL 1.0.1i 6 Aug 2014, LZO 2.05
Mon Sep 29 12:26:13 2014 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Sep 29 12:26:14 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Mon Sep 29 12:26:14 2014 Attempting to establish TCP connection with [AF_INET]95.91.210.244:443
Mon Sep 29 12:26:35 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
Mon Sep 29 12:27:01 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
Mon Sep 29 12:27:27 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
Mon Sep 29 12:27:53 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
Mon Sep 29 12:28:19 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
Mon Sep 29 12:28:45 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
Mon Sep 29 12:29:11 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
Mon Sep 29 12:29:37 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
Mon Sep 29 12:30:42 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: Software caused connection abort (WSAECONNABORTED)
Mon Sep 29 12:30:47 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: No Route to Host (WSAEHOSTUNREACH)
Mon Sep 29 12:30:52 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: No Route to Host (WSAEHOSTUNREACH)
Mon Sep 29 12:30:57 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: No Route to Host (WSAEHOSTUNREACH)
Mon Sep 29 12:31:02 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: No Route to Host (WSAEHOSTUNREACH)
Mon Sep 29 12:31:07 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: No Route to Host (WSAEHOSTUNREACH)
Mon Sep 29 12:31:33 2014 TCP: connect to [AF_INET]95.91.210.244:443 failed, will try again in 5 seconds: Connection timed out (WSAETIMEDOUT)
broecker
broecker 29.09.2014 um 12:59:14 Uhr
Goto Top
das ist auch am Server und in der Firewall entsprechend geändert? (Port, Protokoll, Weiterleitung in FW)
Meldung ist nun ja gerade anders, wobei auch das am "Transparenten Proxy" liegen könnte...
HG
Mark Bröcker
chewee
chewee 29.09.2014 um 13:22:07 Uhr
Goto Top
Ja habe ich auch entsprechend in der FW und am Server geändert
broecker
broecker 29.09.2014 um 13:28:47 Uhr
Goto Top
tja, dann noch mal als SIM probieren (auch bei Android/iphone gibts einen OVPN-Client) oder bei den Eltern,
ich denke das es am Provider und dessen Unterdrückung liegt und die Konfiguration jetzt im Grunde richtig ist,
nachzuvollziehen wäre das am Ehesten mit Wireshark, was sicher den Aufwand sprengt.
HG
Mark
chewee
chewee 29.09.2014 um 14:16:42 Uhr
Goto Top
So habe das ganze jetzt nochmal mit dem Hotspot/SIM ausprobiert und immernoch keine Verbindung.
Ich werde es morgen nochmal bei meinen Eltern versuchen und gebe dann rückmeldung
aqui
aqui 29.09.2014 aktualisiert um 14:32:37 Uhr
Goto Top
Warum soll das Unsinn sein? Es steht genau so da!
Das ist technischer Unsinn, weil die IP Adresse ja dort steht nämlich 10.158.66.22 /32 !!!
Das das ein PPP Protokoll ist (Vermutlich wohl PPTP) ist das klar das es dann mit einer 32 Bit Maske arbeitet und damit ist einen Gateway IP dann logischerweise überflüssig. Du solltest mal etwas mehr Grundlagen zur Materie lesen, sorry.
Zu PPTP solltest du übrigens immer noch das hier lesen:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Na ja und im Forums Tutorial
VPNs einrichten mit PPTP
und
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
steht alles Wissenswerte dazu...

Nur soviel:
Im obigen Tutorial hast du ja gesehen das du bei PPTP durch die Verwendeng des GRE Protokolls (IP Protokoll Nummer 47, kein TCP oder UDP 47 !) immer ein Port Forwarding eintragen musst um vom Server eingehende GRE Tunnel zuzulassen am Client.
Passiert das nicht schlägt der PPTP VPN Versuch fehl.
In öffentlichen Hostspots z.B. oder bei Mobilfunk Verbindungen wo der Provider intern private RFC 1918 IP Adressen benutzt (10er, 172er, 192.168er) und mit zentralisiertem NAT arbeitet schlägt ein PPTP basiertes VPN dann sofort fehl ! Siehe dazu auch:
VPN über webn walk Stick IV nicht mehr möglich
Ist die 10er IP oben also ein Hotspot mit fehlendem GRE Forwarding oder ein Mobilfunk Providernetz müssen wir hier gar nicht mehr weitermachen, denn damit ist PPTP dann unmöglich geworden.
Da musst du dann auf ein SSL basiertes VPN ausweichen....oder den Mobilaccount wechseln auf eine öffentliche IP.
chewee
chewee 30.09.2014 um 19:50:01 Uhr
Goto Top
Zitat von @aqui:

> Warum soll das Unsinn sein? Es steht genau so da!
Das ist technischer Unsinn, weil die IP Adresse ja dort steht nämlich 10.158.66.22 /32 !!!

Das mag alles sein aber die Frage war ja welche Subnetzmaske dieser Stick hat.

Ist die 10er IP oben also ein Hotspot mit fehlendem GRE Forwarding oder ein Mobilfunk Providernetz müssen wir hier gar nicht
mehr weitermachen, denn damit ist PPTP dann unmöglich geworden.

Ok aber jetzt habe ich das heute nochmal bei meiner Mutter (192.168.178.x) probiert... das hat leider immernoch nicht geklappt.

Wäre vielleicht jemand bereit sich das ganze mal über TeamViewer anzusehen?
aqui
aqui 01.10.2014 um 09:14:04 Uhr
Goto Top
Das mag alles sein aber die Frage war ja welche Subnetzmaske dieser Stick hat.
Darüber läuft ja ein PPP Protokoll folglich hast du immer einen 32 Bit Maske da PPP wie der Name es schon sagt !
(192.168.178.x) probiert... das hat leider immernoch nicht geklappt.
Fehlt vermutlich auch dort das GRE Forwarding auf dem Router oder hast du das im Port Forwarding entsprechend eingestellt ??
Kein GRE Port Forwarding = kein VPN...ganz einfach.
Lies dir bitte DAS hier:
VPNs einrichten mit PPTP
Da steht ganz genau drin WIE das GRE Forwarding bei PPTP einzurichten ist !
chewee
chewee 01.10.2014 um 13:00:15 Uhr
Goto Top
Zitat von @aqui:
Da steht ganz genau drin WIE das GRE Forwarding bei PPTP einzurichten ist !

Ich kann da nur TCP oder UDP aussuchen

GRE ist garnicht mit bei.
ca0747fc86c52cbb65d95cae0720ba25
aqui
aqui 01.10.2014 aktualisiert um 13:21:49 Uhr
Goto Top
Uhhh, da hast du dann ein Problem....aber nur mit dem GUI face-wink
GRE ist kein TCP oder UDP sondern ein eigenes IP Protokoll (47).
Du kannst das aber immer über den Shell Zugriff (SSH Zugang) im DD-WRT manuell machen.
VPN=<VPN-Server-IP> 
iptables -t nat -I PREROUTING -d `nvram get wan_ipaddr` -p 47 -j DNAT --to $VPN 
iptables -I FORWARD -d $VPN -p 47 -j ACCEPT 
Guckst du hier:
http://www.dd-wrt.com/phpBB2/viewtopic.php?p=552447
chewee
chewee 01.10.2014 um 15:14:36 Uhr
Goto Top
Zitat von @aqui:
Du kannst das aber immer über den Shell Zugriff (SSH Zugang) im DD-WRT manuell machen.

Die DD-WRT Firmware läuft bei meinen Geräten nicht...

Hab hier noch ein Cisco EPC 3212 Modem was scheinbar wirklich ein Modem ist denn im Webinterface kann ich nichts einstellen.
Da stehen nur Infos.

Leider brauche ich Zugangsdaten die mir per Post zugeschickt werden.

Ich melde mich dann nochmal in ein paar Tagen wenn ich das ausprobieren konnte.
aqui
aqui 01.10.2014 um 15:51:27 Uhr
Goto Top
Die DD-WRT Firmware läuft bei meinen Geräten nicht...
Oooops, sorry aber dein Screenshot sah oben genau wie ein DD-WRT GUI aus. Falsch gedacht...sorry.
Was ist das denn für einen Gurke ??
Ggf. reicht es wenn man TCP 1723 forwardet, denn billige Konsumer Systeme "denken" dann oft das es PPTP ist und forwarden GRE stillschweigend mit...
Ggf. reicht es also einfach TCP 1723 den Controll Port von PPTP zu forwarden.

Ansonsten warten wir mal auf die Daten die da kommen sollen face-wink
chewee
chewee 01.10.2014 um 16:00:59 Uhr
Goto Top
Zitat von @aqui:
Was ist das denn für einen Gurke ??

Die Gurke nennt sich Hitron CVE-30360 face-smile

Ggf. reicht es also einfach TCP 1723 den Controll Port von PPTP zu forwarden.

Das werde ich gleich mal testen...

Ansonsten warten wir mal auf die Daten die da kommen sollen face-wink

Genau ;)
aqui
aqui 01.10.2014 aktualisiert um 16:13:20 Uhr
Goto Top
Die Gurke nennt sich Hitron CVE-30360
Igitt...hört sich nach Provider Zwangsrouter an da irgendwie ne NoName Marke als was bekanntes von den üblichen Verdächtigen.
chewee
chewee 01.10.2014 um 16:31:36 Uhr
Goto Top
Ja denke ich auch.
Hab ja wie gesagt noch ein Cisco Modem was ich zu meinem ersten Kabel Deutschland Internet Vertrag gekriegt habe.
Aber wenn ich dann den Browser auf mache und irgendeine Seite aufrufe, lande ich auf einer Kabel Deutschland Seite die Zugangsdaten verlangt.
Ich würde sagen weil da jetzt ein "fremd Gerät" dran hängt...
aqui
aqui 01.10.2014 um 19:28:29 Uhr
Goto Top
Na ja die Zugangsdaten bekommst du ja. Dann kannst du ja wieder alles anschliessen. Die haben vermutlich die Mac Adresse des Endgerätes registriert.
Pfiffigere Systeme wie OpenWRT, DD-WRT und auch die pfSense und andere haben aber eine customizebare Mac Adresse auf dem WAN Port so das man da jede beliebige einstellen kann. Natürlich auch die aktuell registrierte face-wink
chewee
chewee 13.10.2014 um 19:58:58 Uhr
Goto Top
Soooo, hat ja lange gedauert aber ich habe jetzt die Zugagsdaten und konnte den Router in den Bridge-Mode versetzten.
Somit ist es jetzt wirklich ein reines Modem...

Ich habe es jetzt versucht aber scheinbar klappt das nicht mit dem Mobilen Surf Stick...
Also probier ich das nochmal bei meiner Mutter.
aqui
aqui 20.10.2014, aktualisiert am 21.10.2014 um 09:58:52 Uhr
Goto Top
Wenn du mit dem Surf Stick einen billigen nur Surf Account hast und dort RFC 1918 private IPs vom Provider bekommst wird das auch nie klappen. Siehe hier:
VPN über webn walk Stick IV nicht mehr möglich
chewee
chewee 20.10.2014 aktualisiert um 22:17:52 Uhr
Goto Top
So ich nochmal mit neuen Sorgen...

Hab jetzt eine VPN Verbindung von meiner Mutter zu mir hingekriegt aber ich kann da weder mein Router über die Adresse 10.10.10.10(Webinterface) noch meinen Server (auf dem die Software läuft) über die Adresse 10.10.10.11(RDP) erreichen.
Auch wenn ich in dem virtuellen Netz die Adresse 10.8.0.5 anpinge kommt "Zeitüberschreitung bei Anwendung"

hier mal ein ipconfig Ausschnitt

Ethernet-Adapter VPN:

Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : fe80::997e:4aba:b230:1378%24
IPv4-Adresse . . . . . . . . . . : 10.8.0.6
Subnetzmaske . . . . . . . . . . : 255.255.255.252
Standardgateway . . . . . . . . . : 10.8.0.5

nochmal kurz zur Konfiguration

Bei mir:
Win Server 2008r2(10.10.10.11) mit opnerVPN Software
UDP Port 1723 auf Server weitergeleitet
Firewall auf Client und Server Seite ausgeschaltet

Bei meiner Mutter:
Fritzbox in standard Konfiguration also 192.168.178.x

hier noch die client.ovpn und server.ovpn

cb8c38efeb399a8a9c9c8f094e65cc0d
0b968cdf3badcf4a968ffbe22eb94614
das push Route habe ich heute mal ausprobiert aber vorher hat es auch nicht geklappt
aqui
aqui 21.10.2014 um 10:04:38 Uhr
Goto Top
Du solltest hier mal eine kurze Topologie Skizze mit den verwendeten IP Adressen und verbundenen IP Netzen posten um dein Setup genau zu verstehen.
Irgendwo fehlt bei dir vermutlich eine statische Route !
Was immer gehen muss: Du musst bei korrekt aufgebautem VPN Tunnel immer die interne OVPN Server IP pingen können.
Klappt das nicht ist auch dein VPN Tunnel nicht aufgebaut. Hier hilft dann immer ein Blick ins Client Log wo der Fehler ist.
route print zeigt dir bei aktivem VPN Client auch immer an wie die internen IP Adressen und Routings aussehen.
Checke das genau.
orcape
orcape 21.10.2014 aktualisiert um 19:24:16 Uhr
Goto Top
Du solltest hier mal eine kurze Topologie Skizze mit den verwendeten IP Adressen und verbundenen IP Netzen posten um dein Setup genau zu verstehen.
...das würde ich auch so sehen.
Auch durch das ständige ändern der äusseren Bedingungen, wird eine Hilfe auch nicht gerade einfacher.
Wenn zwischen Mutti und Dir der Tunnel steht, sollte die OVPN Server-IP 10.8.0.1 und die Client-IP 10.8.0.2 sein, da Du keinen Multiclienttunnel hast.
Deshalb ist der Servereintrag "client-to-client" auch kontraproduktiv.
Das Ergebnis sind dann folgende Client-IP´s.....
Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : fe80::997e:4aba:b230:1378%24
IPv4-Adresse . . . . . . . . . . : 10.8.0.6
Subnetzmaske . . . . . . . . . . : 255.255.255.252
Standardgateway . . . . . . . . . : 10.8.0.5
und führt wahrscheinlich zu Deinen Routing-Problemen.
Im weiteren solltest Du mal korrigieren, das dieser Thread gelöst ist...face-wink
Gruß orcape
chewee
chewee 21.10.2014 aktualisiert um 21:47:46 Uhr
Goto Top
Ich habe noch nie so eine Skizze gemacht ....

Router---------------------------Server
10.10.10.10--------------------10.10.10.11

Internet

FritzBox--------------------------Client
192.168.178.1------------------192.168.178.x
(VPN Adresse------------------(VPN Adresse
10.8.0.5)-------------------------10.8.0.6)
aqui
aqui 22.10.2014 aktualisiert um 10:00:40 Uhr
Goto Top
Ich habe noch nie so eine Skizze gemacht ....
Hier findest du Beispiele wie man es macht:
Kopplung von 2 Routern am DSL Port

Bitte benutze wenigstens die Code Tags oder stelle über die Bilder Upload Funktion des Forums hier eine Skizze rein !!
Anhand der obigen Liste kann man wie du dir ja selber denken kannst nicht das geringste erkennen face-sad
chewee
chewee 22.10.2014 um 11:39:39 Uhr
Goto Top
wie gesagt hab sowas noch nie gemacht und da wird sicher einiges falsch sein...

ff34b5965b00d1be6892a1d8d057b5f7
aqui
aqui 22.10.2014 aktualisiert um 11:56:02 Uhr
Goto Top
wie gesagt hab sowas noch nie gemacht und da wird sicher einiges falsch sein...
Nein, sieht sehr gut aus und hast du perfekt gemacht fürs erste Mal !
Noch 3 sehr wichtige Fragen bevor wir ins Eingemachte gehen:
  • Ist das "Modem" wirklich nur ein reines Modem oder ein NAT Router ? Laut deiner zeichnung mit dem 192.168.100er Netz ist eher zu vermuten das es KEIN nur Modem ist sondern als NAT Router arbeitet ?!
  • WIE lautet das IP Netz zwischen dem "Modem" und dem 10.10.10.10er Router, vermutlich 192.168.100.1, richtig ? Wie ist die IP des 10er Routers in diesem Segment ??
  • WO genau rennt dein OVPN Server ?? Auf dem 10.10.10.10 /24 Router oder auf dem 10.10.10.11er Server ?
chewee
chewee 22.10.2014 um 12:13:47 Uhr
Goto Top
Zitat von @aqui:

Nein, sieht sehr gut aus und hast du perfekt gemacht fürs erste Mal !
Danke

Noch 3 sehr wichtige Fragen bevor wir ins Eingemachte gehen:
  • Ist das "Modem" wirklich nur ein reines Modem oder ein NAT Router ? Laut deiner zeichnung mit dem 192.168.100er Netz
Das ist ein Kabel Modem von Kabel Deutschland und nennt sich Hitron CVE-30360.
Durch den Bridge Modus soll das ding als reines Modem funktionieren.
Ich kann auch nur noch 1 LAN Port(von 4) nutzen...

* WIE lautet das IP Netz zwischen dem "Modem" und dem 10.10.10.10er Router, vermutlich 192.168.100.1, richtig ?
Also mit der 192.168.100.1 erreiche ich die Weboberfläche des Modems... da kann ich aber nichts mehr einstellen(seit umstellung auf Bridge-Mode)

Wie ist
die IP des 10er Routers in diesem Segment ??
Die Frage versteh ich nicht... 10.10.10.10 ?
* WO genau rennt dein OVPN Server ?? Auf dem 10.10.10.10 /24 Router oder auf dem 10.10.10.11er Server ?

Auf dem 10.10.10.11 Server
aqui
aqui 22.10.2014 um 19:36:46 Uhr
Goto Top
Das ist ein Kabel Modem von Kabel Deutschland und nennt sich Hitron CVE-30360.
Durch den Bridge Modus soll das ding als reines Modem funktionieren.
Soll ??? Oder tut es das auch wirklich ??
Wenn dem so ist und das wirklich nur ein reines Modem ist dann MUSS am Modem Port des 10.10.10.10er Routers die öffentliche Provider IP anliegen !!!
Ist das der Fall ??
Wenn ja arbeitet das Teil wirklich als Modem ! Wenn nein und dort eine private RFC 1918 IP Adresse anliegt am Router dann arbeitet das Ding de facto NICHT als Modem sondern als NAT Router und du hast dann eine Router Kaskade wie sie hier in der Alternative 2 beschrieben ist:
Kopplung von 2 Routern am DSL Port
Das musst du wirklich wasserdicht klären sonst drehen wir uns hier im Kreis !!
Also mit der 192.168.100.1 erreiche ich die Weboberfläche des Modems... da kann ich aber nichts mehr einstellen(seit umstellung auf Bridge-Mode)
OK, das ist klar, denn das ist die Managemt IP des Modems (wenn es denn als solches arbeitet ?).
Relevant ist daher dann einzig und allein die Router IP an dem Segment wo das Modem dran ist...sihe oben.
Die Frage versteh ich nicht... 10.10.10.10 ?
Der Router hat ja logischerweise 2 Interfaces !! Eins ist das IP Segment mit dem Server das ja die 10.10.10.0 /24 hat..klar.
Knackpunkt ist aber das Router Interface mit dem Modem !!!
Wie lautet die IP hier ??
chewee
chewee 23.10.2014 um 12:23:56 Uhr
Goto Top
Zitat von @aqui:

Wenn dem so ist und das wirklich nur ein reines Modem ist dann MUSS am Modem Port des 10.10.10.10er Routers die öffentliche
Provider IP anliegen !!!
Ist das der Fall ??

Ja, am WAN Port des Routers ist meine Öffentliche IP die grade 37.5.21.x lautet

Wie lautet die IP hier ??

siehe oben
aqui
aqui 24.10.2014 aktualisiert um 21:25:42 Uhr
Goto Top
OK, (Kabel Deutschland, Berlin face-wink ) das klärt die Sache und die Lösung ist dann kinderleicht !
Wenn du PPTP dort als VPN Protokoll auf dem Client benutzt, dann musst du lediglich die folgenden Ports an dem 10.10.10.10er Router im Port Frowarding auf die lokale Server IP eintragen:
  • TCP 1723
  • GRE Protokoll mit der IP Nummer 47 (Achtung: Kein TCP oder UDP 47 ! GRE ist ein eigenes IP Protokoll !)
Wichtig ist hier das BEIDE Komponenten geworwardet werden !!
Meist hapert es am GRE das das vergessen wird einzutragen. Siehe dieses Tutorial wo das beschrieben ist:
VPNs einrichten mit PPTP
(Kapitel: Server hinter NAT Firewall)
Installiert dir im Zweifel einen kostenlosen Wireshark Paket Sniffer und checke wenn du mit dem Client eine PPTP Verbindung aufbauen willst das diese Pakete auch wirklich an den Server geforwardet werden !!

Wenn du OpenVPN als VPN Prokoll benutzt und den OVPN Standatd Port benutzt musst du lediglich UDP 1194 auf den Server forwarden !

Das ist alles ! Damit sollte das sofort zum Fliegen kommen !
chewee
chewee 25.10.2014 um 21:30:15 Uhr
Goto Top
Zitat von @aqui:

OK, (Kabel Deutschland, Berlin face-wink )
Jaa wie konntest du das wissen?

* GRE Protokoll mit der IP Nummer 47 (Achtung: Kein TCP oder UDP 47 ! GRE ist ein eigenes IP Protokoll !)
Hab leider einen TP-Link TL-WR740N und in diesem kann ich wenn ich Portweiterleite nur das TCP, UDP oder beider Protokolle nutzen...

Hab ich da jetzt den schwarzen Peter gezogen und muss erst mal Geld in ein ordentlichen Router investieren?
aqui
aqui 25.10.2014 aktualisiert um 22:26:30 Uhr
Goto Top
Ganz einfach....gib die IP bei http://www.utrace.de ein face-wink
Mit dem schwarzen Peter kann das sein. Oft forwarden diese Billigrouter aber auch automatisch GRE sobald TCP 1723 konfiguriert ist.
Das musst du probieren ! Im Zweifel mit dem Wireshatk checken.
Statt eines neuen Routers solltest du dann aber besser ein sichereres VPN Protokoll verwenden und z.B. OpenVPN auf dem Server installieren.
Dieses Forumstutorial beschreibt die Einrichtung:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das Setup von OpenVPN ist in allen Betriebssystemen gleich deshalb gilt das Tutorial nicht nur für Router sondern auch Winblows, Linux, OS-X usw.
OVPN ist ein SSL basiertes VPN da musst du dann nur UDP 1194 forwarden...
chewee
chewee 25.10.2014 um 23:02:22 Uhr
Goto Top
Zitat von @aqui:

Ganz einfach....gib die IP bei http://www.utrace.de ein face-wink
aaahh wieder was dazu gelernt :D

Statt eines neuen Routers solltest du dann aber besser ein sichereres VPN Protokoll verwenden und z.B. OpenVPN auf dem Server
installieren.

Das ist doch das was ich versuche. OpenVPN auf meinem Windows Server 2008r2.

Ich hab hier noch ne Fritzbox aber leider hat die nur 1 LAN Port und da ich davor das Modem von Kabel Deutschland nutzen muss, kann ich keine anderen Geräte wie meinen Server und meinen Desktop PC mit Lan versorgen. Ausser halt über Wlan aber ich habe nicht vor in mein Server und PC eine Wlan Karte einzubauen
orcape
orcape 26.10.2014 um 09:39:47 Uhr
Goto Top
Hab leider einen TP-Link TL-WR740N....
...und der lässt sich mit DD-WRT flashen.
Wenn das DD-WRT-Image für den TP-Link dann auch noch OpenVPN macht, kannst Du Dir die Klimmzüge mit Portforwarding und der OpenVPN-Server Installation auf dem Windows Server 2008r2 ersparen.
Ist sowieso allemal sinnvoller das auf dem Router zu machen.
Gruß orcape
aqui
aqui 26.10.2014 aktualisiert um 18:36:19 Uhr
Goto Top
Das ist doch das was ich versuche. OpenVPN auf meinem Windows Server 2008r2.
Oben redest du aber ganz klar von PPTP !!!! Ja was denn nun....?
Bitte entscheide dich mal, denn so macht das Troubleshooten hier keinen Spaß wenn du uns immer verar.... und von Thread zu Thread einmal von PPTP und einmal von OpenVPN als VPN Tunnelprotokoll sprichst face-sad
Beides sind vollkommen verschiedene Baustellen !!!

ne Fritzbox aber leider hat die nur 1 LAN Port und da ich davor das Modem von Kabel Deutschland nutzen muss, kann ich keine anderen Geräte wie meinen Server und meinen Desktop PC mit Lan versorgen
Doch ! Wenn du dir für 5 Euro noch einen kleinen Switch besorgst und den an den LAN Port anschliesst:
http://www.reichelt.de/Hubs-Switch/SWITCH-5PORT/3/index.html?&ACTIO ...
Also bitte einmal etwas intelligenter nachdenken....!!
chewee
chewee 26.10.2014 aktualisiert um 14:50:15 Uhr
Goto Top
Zitat von @orcape:

...und der lässt sich mit DD-WRT flashen.
Ach krass damit hätte ich jetzt nich gerechnet... Is ja nur son billig teil

Probier ich direkt mal aus

Zitat von @aqui:

> Das ist doch das was ich versuche. OpenVPN auf meinem Windows Server 2008r2.
Oben redest du aber ganz klar von PPTP !!!! Ja was denn nun....?
Also wenn man in meinen eröffnung Tread guckt dann steht da das ich mit einem Surfstick Mobil drauf zugreifen möchte...
Ich habe eigentlich nichts von pptp gesagt...

Doch ! Wenn du dir für 5 Euro noch einen kleinen Switch besorgst und den an den LAN Port anschliesst:

Ich habe einen Switch doch die Fritze hat wie ich schon gesagt habe nur 1 Lan anschluss über den sie dann Internet bekommt...
orcape
orcape 26.10.2014 aktualisiert um 15:22:07 Uhr
Goto Top
....wie ich schon gesagt habe nur 1 Lan anschluss....
..und daran kommt der Switch und verteilt das Internet auf 4 LAN Anschlüsse.
Versuch erst mal den TP-Link mit DD-WRT zu flashen und schau ob die Firmware überhaupt OpenVPN zulässt.
Gruß orcape
chewee
chewee 26.10.2014 um 15:32:43 Uhr
Goto Top
Zitat von @orcape:

..und daran kommt der Switch und verteilt das Internet auf 4 LAN Anschlüsse.
Nein, weil dieser Lan anschluss, mit dem Kabel das vom Modem kommt, belegt wird...

Versuch erst mal den TP-Link mit DD-WRT zu flashen und schau ob die Firmware überhaupt OpenVPN zulässt.

und ja hat geklappt. Damit beschäfte ich mich grade
broecker
broecker 26.10.2014 um 15:41:09 Uhr
Goto Top
ich kann den zunehmenden Zorn verstehen,
herausragende Begriffsstutzigkeit gepaart mit Lernvermeidung face-smile
mittlerweile sollten Begriffe: Router, Modem, Switch; private, öffentliche IPs klar sein,
sonst bitte bei Wikipedia einlesen und erst dann weiterfragen.
Wir erschließen uns anhand zufälliger Antwortbröckchen (IPs) jeweils Antworten auf andere Fragen,
bei konkreten Test-Anfragen wird die Umgebung willkürlich geändert, so wird das nichts.
HG
Mark
orcape
orcape 26.10.2014 um 15:59:48 Uhr
Goto Top
Nein, weil dieser Lan anschluss, mit dem Kabel das vom Modem kommt, belegt wird...
...dann ist das auch kein Router sondern ein WLAN-Accesspoint.
Bei Äusserungen wie...
Ich hab hier noch ne Fritzbox
...solltest Du zumindest noch die Typenbezeichnung posten.
Dein Thread ist mittlerweile Ellen lang und Du hast immer noch kein Ergebnis.
Dann braucht Du Dich nicht wundern, wenn solche Posts erscheinen....
herausragende Begriffsstutzigkeit gepaart mit Lernvermeidung face-smile
mittlerweile sollten Begriffe: Router, Modem, Switch; private, öffentliche IPs klar sein,
sonst bitte bei Wikipedia einlesen und erst dann weiterfragen.
Wir erschließen uns anhand zufälliger Antwortbröckchen (IPs) jeweils Antworten auf andere Fragen,
bei konkreten Test-Anfragen wird die Umgebung willkürlich geändert
Sorry, hier kann ich nur zustimmen...
so wird das nichts.....
Gruß orcape
chewee
chewee 26.10.2014 um 17:40:42 Uhr
Goto Top
Fritzbox Wlan 3131


Aber ich weiß ehrlich gesagt nicht was ihr wollt.
Das sich die Konfiguration ändert wenn´s nich funktioniert ist klar finde ich.
Und sonst habe ich nur meine Router IP von 192.168.1.10 in 10.10.10.10 geändert.
aqui
aqui 26.10.2014 aktualisiert um 18:35:06 Uhr
Goto Top
Ich habe eigentlich nichts von pptp gesagt...
OK, sorry das hatt ich dann missverstanden. Für OpenVPN reicht dann ganz simpel und einfach nur UDP 1194 auf die Server IP zu forwarden und gut iss !
Ich habe einen Switch doch die Fritze hat wie ich schon gesagt habe nur 1 Lan anschluss über den sie dann Internet bekommt...
Nein, weil dieser Lan anschluss, mit dem Kabel das vom Modem kommt, belegt wird...
Und ?? Wo ist das Problem auch das kann man mit einem Switch auf x Ports erweitern sofern man es denn braucht. Du brauchst das aber ja gar nicht. Es reicht also ein simpler Port vollkommen aus ! Soviel zum Thema "Begriffsstutzigkeit" face-sad

Kollege Orcape hat aber Recht. Wenn dein 10.10.10.10er Router ein Modell ist das du mit DD-WRT / OpenWRT flashen kannst dann kannst du dir die gesamte Frickelei und auch den Stromverschwender mit dem Server sparen und den OpenVPN Server gleich auf dem Router installieren, was dein Design und auch die Handhabung dann erheblich vereinfacht.
Wie das dann im Handumdrehen umzusetzen ist erklärt dir dieses Forumstutorial im Detail:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
orcape
orcape 26.10.2014 um 18:35:38 Uhr
Goto Top
Fritzbox Wlan 3131
..das ist eben das was gemeint war.
Die Fritte hat ein integriertes Modem und ist eben so als Router hinter dem Hiltron nicht mehr verwendbar, es sei denn, an einem Router im LAN als zusätzlicher Accesspoint.
Wenn diese Info´s nicht gleich kommen, dann läuft das ganze in die vollkommen falsche Richtung und Du erhältst dann Vorschläge, mit denen Du wiederum nichts anfangen kannst.
Das Ergebnis kannst Du dann an der Länge Deines immer noch nicht gelösten Threads erkennen.
Gruß orcape
aqui
aqui 26.10.2014 aktualisiert um 18:42:38 Uhr
Goto Top
@orcape
Laut Zeichnung ist der "10.10.10.10er Router" ja vermutlich ein Breitband Router ohne Modem, da er ja ein externes Modem daran betreibt. Mit einem Router der ein fest installiertes DSL Modem (oder sonstiges Modem) hätte wäre das ja so dann gar nicht möglich.
Die Tatsache das man auf dem Ding auch noch DD-WRT flashen kann bestärkt diese Vermutung eher das es ein breitband Router mit 2mal Ethernet Ports ist.
Sinnvoll wäre aber in der Tat er hätte mal in der Zeichnung Ross und Reiter sprich Hersteller und Modell genannt....na ja haken wir mal unter "Begriffsstutzigkeit" ab... face-sad
Für die FritzBox auf der Client Seite sind diese Dinge ja irrelevant da für die VPN Funktion nicht wichtig.
orcape
orcape 26.10.2014 um 19:06:38 Uhr
Goto Top
@aqui
Die Tatsache das man auf dem Ding auch noch DD-WRT flashen kann bestärkt diese Vermutung eher das es ein breitband Router mit 2mal Ethernet Ports ist.
...das ist ja wohl der oben genannte TP-Link TL-WR740N.
Mittlerweile ist der ganze Thread so unübersichtlich (weil lang) geworden, das man einfach mal was überlesen kann.
Lass den TO mal den Router flashen, mal sehen was dabei rauskommt.
Die Fritte sollte er erst mal beiseite legen, sonst wird das Tohuwabohu noch größer...face-wink
chewee
chewee 27.10.2014 um 18:30:52 Uhr
Goto Top
Aaaalsooo habe den TP-Link erfolgreich mit dd-wrt geflasht.
Leider hat der Router nur 4MB Flash und somit passt nur die normale Firmware ohne extra Programme drauf.
Hab dann openWRT versucht und auch da steht zu wenig Speicher zur Verfügung...

Nach ein bisschen googeln habe ich rausgefunden das es noch diese Trunk Images gibt beispielsweise ohne Weboberfläche...

Ich werde also versuchen mir ein eigenes Image zu bauen es flashen und mich dann nochmal melden
aqui
aqui 27.10.2014 um 18:43:33 Uhr
Goto Top
Leider hat der Router nur 4MB Flash und somit passt nur die normale Firmware ohne extra Programme drauf.
face-sad Dann musst du weiter mit dem zusätzlichen Server vorlieb nehmen....
Trunk Images gibt beispielsweise ohne Weboberfläche...
Ist dann aber ne Herausforderung sofern du Klicki Bunti Knecht sein solltest....
eigenes Image zu bauen es flashen und mich dann nochmal melden
Good luck...wir harren denn der (VPN) Dinge die da kommen sollen face-wink
orcape
orcape 27.10.2014 um 19:02:24 Uhr
Goto Top
Ich werde also versuchen mir ein eigenes Image zu bauen es flashen und mich dann nochmal melden
..als Alternative bei EBay einen WRT54 für 10-20 € ersteigern.
Der tut das geforderte allemal und den TP-Link in die "Tonne".face-wink
chewee
chewee 27.10.2014 aktualisiert um 20:13:03 Uhr
Goto Top
Zitat von @aqui:

face-sad Dann musst du weiter mit dem zusätzlichen Server vorlieb nehmen....

Ne hab was gefunden...
http://phobosk.wordpress.com/2012/10/21/how-to-turn-your-tp-link-tl-wrt ...

Ist dann aber ne Herausforderung sofern du Klicki Bunti Knecht sein solltest....

ne ne mit der Konsole / Terminal bin ich vertraut face-smile

Good luck...wir harren denn der (VPN) Dinge die da kommen sollen face-wink

Hab das Image erstellt und geflasht...
96KB noch frei
Siehe da ein neuer Reiter namens "openVPN" juhuu
Werde das jetzt mal einrichten
aqui
aqui 28.10.2014 um 09:31:26 Uhr
Goto Top
Klasse ! Na dann sind wir mal gespannt.... !