andreas377
Goto Top

Open VPN Server und virtueller XP Client nicht erreichbar

Hallo,

Ich bin schon einigen Anleitungen hier im Forum gefolgt, aber keine bringt mich richtig ans Ziel. Daher hier mal eine ausführliche Problembeschreibung.

Ich habe mir bei Strato einen Root Server (2008 Web Edition) gemietet mit 2 öffentlichen IP Adressen.
Auf diesem Server habe ich eine physikalische Netzwerkkarte zur Verfügung. Habe auf dem Server ein Vmware Workstation V9 laufen. Damit stelle ich einen virtuellen Gast (Windows XP Professional) zur Verfügung.

Der VPN Server selbst scheint zu laufen, bekomme einen Tunnel aufgebaut, aber erreiche nach Aufbau des Tunnels den Gast nicht. Weder per Ping noch über den DNS Namen. Folgende Infos zum System.

1. IP Adresse (Physikalischer Server) 85.214.226.xxx / 255.255.255.255
2. IP Adresse (für den Gast) 81.169.149.xxx /weiß nicht genau
Gateway für beide IP Adressen 85.214.192.xxx
DNS für beide IP Adressen 81.169.163.xxx

Keine Firewall aktiv und auch kein Router dazwischen wo ich eine Portweiterleitung einrichten könnte.

VPN Server hat die IP 192.168.150.1 welche auch nach dem Tunnelaufbau anpingbar ist.

Geht das überhaupt so wie ich mir das vorstelle?
Was muss ich in der Workstation eintragen?
Welche IP bekommt der Gast?

Server.ovpn
# Zertifikate
ca "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\ca.crt"  
cert "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\h2073xxx.crt"  
key "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\h2073xxx.key"  
dh "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"  

# Server und Netzwerk
local 85.214.226.xxx #LAN-Adresse des Servers
port 1194
proto udp
dev tun
server 192.168.150.0 255.255.255.0 #Subnetz
push "route 192.168.0.0 255.255.255.0"#vergebliche Versuche   
push "route 192.168.150.0 255.255.255.0" #hier auch  

ifconfig-pool-persist ipp.txt
comp-lzo
persist-key
persist-tun
keepalive 10 120
client-to-client

# Log
status "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn-status.log"   
log "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"   
log-append "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"   
verb 3

Client.ovpn
client
dev tun
proto udp
remote h2073xxx.stratoserver.net 1194
nobind
persist-key
persist-tun
ca "C:\\Program Files (x86)\\OpenVPN\\config\\ca.crt"   
cert "C:\\Program Files (x86)\\OpenVPN\\config\\Client.crt"   
key "C:\\Program Files (x86)\\OpenVPN\\config\\Client.key"   
pull
comp-lzo
verb 4
mute 20
float

Versuche das schon seit ein paar Wochen immer mal wieder hinzubekommen, aber es will einfach nicht klappen. Wo ist eventuell mein Denkfehler?

Vielen Dank für eure Hilfe.
Andreas

Content-ID: 192257

Url: https://administrator.de/contentid/192257

Ausgedruckt am: 14.11.2024 um 07:11 Uhr

Dani
Dani 05.10.2012 aktualisiert um 00:40:23 Uhr
Goto Top
Moin,
es sieht nach einem Netzwerk-Designfehler aus. Nach deiner Beschreibung müsstest du die VM auch so erreichen können im Internet. Vorraussetzung ist, dass die Netzwerkkarte der VM als "Bridged" konfiguriert ist. Da die Firewall auf den Gast deaktiviert (?) ist, solltest du diesen pingen können.

Ob du das so gewollt bezweifel ich, da du einen OpenVPN Server installiert hast.

Warum allerdings die erste IP-Adresse eine Host-Route ist, versteh ich nicht ganz. Denn die zweite IP-Adresse hat wohl ne größere Subnetzmaske. Woher hast du die IP-Konfiguration erhalten, von Strato?


Grüße,
Dani
Andreas377
Andreas377 05.10.2012 um 20:43:23 Uhr
Goto Top
Hallo Dani,

Ursprünglich wollte ich ja direkt aus dem Internet auf die virtuelle Maschine zugreifen, aber da dieses nur im "Bridged Modus" gehen würde musste ich aufgrund von Vorgaben seitens Strato darauf verzichten. Durch die virtuelle Maschine bekommt die virtuelle Netzwerkkarte eine individuelle MAC Adresse welche aber von Strato gesperrt wird. Mit MAC Spoofing geht es, habe ich schon ausprobiert ist aber halt nicht erlaubt. Daher der verzweifelte Versuch über VPN auf den Host und von dort auf den Client zu kommen. Nur wie ist hier das Problem.

Andreas
aqui
aqui 07.10.2012 um 14:58:56 Uhr
Goto Top
Was sagt ein "route print" auf dem Client bei aktivem VPN ?
Wenn die VM NIC im NAT Modus ist musst du auf der VM mit Port Forwarding arbeiten. Im Host Modus musst du Routing aktivieren auf dem Server dann.
Leider teilst du uns ja nicht mit welchen Modus du aktiviert hast face-sad
Andreas377
Andreas377 07.10.2012 um 17:26:18 Uhr
Goto Top
Hallo,

Genau das ist ja mein Problem, habe schon jeden Modus mit diversen Konstellationen getestet. Der Server ist eine 2008 Web Edition, bin mir nicht sicher wie ich dort das Routing aktivieren soll. Ausserdem bin ich mir nicht sicher wie ich die Schnittstellen auf dem HOST konfigurieren muss. Und wie ich die Netzwerkkarte in der VM konfigurieren muss. Geht es denn überhaupt so wie ich mir das vorstelle?

Hier mal meine Route:
Schnittstellenliste
 15...00 ff 88 38 79 61 ......TAP-Win32 Adapter V9
 13...00 1d 7d d9 43 28 ......Realtek PCIe GBE Family Controller
 25...00 50 56 c0 00 01 ......VMware Virtual Ethernet Adapter for VMnet1
 26...00 50 56 c0 00 08 ......VMware Virtual Ethernet Adapter for VMnet8
  1...........................Software Loopback Interface 1
 31...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
 14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 29...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3
 30...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.100.1  192.168.100.107    276
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.0.0    255.255.255.0    192.168.150.5    192.168.150.6     30
     192.168.11.0    255.255.255.0   Auf Verbindung      192.168.11.1    276
     192.168.11.1  255.255.255.255   Auf Verbindung      192.168.11.1    276
   192.168.11.255  255.255.255.255   Auf Verbindung      192.168.11.1    276
     192.168.40.0    255.255.255.0   Auf Verbindung      192.168.40.1    276
     192.168.40.1  255.255.255.255   Auf Verbindung      192.168.40.1    276
   192.168.40.255  255.255.255.255   Auf Verbindung      192.168.40.1    276
    192.168.100.0    255.255.255.0   Auf Verbindung   192.168.100.107    276
  192.168.100.107  255.255.255.255   Auf Verbindung   192.168.100.107    276
  192.168.100.255  255.255.255.255   Auf Verbindung   192.168.100.107    276
    192.168.150.0    255.255.255.0    192.168.150.5    192.168.150.6     30
    192.168.150.4  255.255.255.252   Auf Verbindung     192.168.150.6    286
    192.168.150.6  255.255.255.255   Auf Verbindung     192.168.150.6    286
    192.168.150.7  255.255.255.255   Auf Verbindung     192.168.150.6    286
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung   192.168.100.107    276
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.150.6    286
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.11.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.40.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung   192.168.100.107    276
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.150.6    286
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.11.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.40.1    276
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0    192.168.100.1  Standard
===========================================================================

LG
Andreas
aqui
aqui 07.10.2012 aktualisiert um 17:37:55 Uhr
Goto Top
OK, das sieht ja schon mal gut aus, denn du "siehst" ja alle Clients im internen OVPN Netz !
Die Konfig Zeile: "push "route 192.168.150.0 255.255.255.0" ist übrigens Blödsinn und die solltest du wieder entfernen. Das .150er Netz ist dein internes OVPN Netzwerk das der Client immer kennt, denn das tun Interface bekommt immer eine IP aus diesem Bereich ist also direkt am Client und Server dran.
Das muss also nicht mit push propagiert werden, das ist überflüssiger Unsinn.
Diesen route print Output wirst du also logischerweise auch bekommen ohne dieses Kommando.
Ggf. hilft dir dieses Tutorial noch mit Hintergrundinformationen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die OVPN Konfig ist unabhängig von der HW Plattform !
Wie du Routing im Winblows Server aktivierst sagt dir dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router -->"Routing aktivieren"
Per Default ist das IP Forwarding / Routing deaktiviert bei Winblows !
Andreas377
Andreas377 07.10.2012 aktualisiert um 23:16:18 Uhr
Goto Top
Hallo Aqui,

Ich habe nun in der Registry das IP Routing aktiviert. Auch mit dem ICS klappt es nicht.
Vielleicht können wir es hier Schritt für Schritt machen.

Die VM befindet sich nun im NAT Modus. Die Netzwerkkarte hat im Moment die IP 192.168.137.1. Die virtuelle Maschine bekommt die 192.168.137.128 zugewiesen. Kann ich nicht einfach der virtuellen Maschine eine IP aus dem 150 er Netz geben? Die ist doch dem Server und dem Client bekannt. Ich habe schon wieder nach dem aktivieren des IP Routing soviel ausprobiert das ich nun nicht mehr weiß was nun richtig ist. Welcher Gateway und welcher DNS Eintrag muss wo gemacht werden?

Wenn ich Dich richtig verstanden habe MUSS der Server (2008 Webedition) das Routing unterstützen.
Der VM Client kann den Hostnamen des Server auflösen und umgekehrt geht es auch.

LG
Andreas