6
Open VPN Server und virtueller XP Client nicht erreichbar
Hallo,
Ich bin schon einigen Anleitungen hier im Forum gefolgt, aber keine bringt mich richtig ans Ziel. Daher hier mal eine ausführliche Problembeschreibung.
Ich habe mir bei Strato einen Root Server (2008 Web Edition) gemietet mit 2 öffentlichen IP Adressen.
Auf diesem Server habe ich eine physikalische Netzwerkkarte zur Verfügung. Habe auf dem Server ein Vmware Workstation V9 laufen. Damit stelle ich einen virtuellen Gast (Windows XP Professional) zur Verfügung.
Der VPN Server selbst scheint zu laufen, bekomme einen Tunnel aufgebaut, aber erreiche nach Aufbau des Tunnels den Gast nicht. Weder per Ping noch über den DNS Namen. Folgende Infos zum System.
1. IP Adresse (Physikalischer Server) 85.214.226.xxx / 255.255.255.255
2. IP Adresse (für den Gast) 81.169.149.xxx /weiß nicht genau
Gateway für beide IP Adressen 85.214.192.xxx
DNS für beide IP Adressen 81.169.163.xxx
Keine Firewall aktiv und auch kein Router dazwischen wo ich eine Portweiterleitung einrichten könnte.
VPN Server hat die IP 192.168.150.1 welche auch nach dem Tunnelaufbau anpingbar ist.
Geht das überhaupt so wie ich mir das vorstelle?
Was muss ich in der Workstation eintragen?
Welche IP bekommt der Gast?
Server.ovpn
Client.ovpn
Versuche das schon seit ein paar Wochen immer mal wieder hinzubekommen, aber es will einfach nicht klappen. Wo ist eventuell mein Denkfehler?
Vielen Dank für eure Hilfe.
Andreas
Ich bin schon einigen Anleitungen hier im Forum gefolgt, aber keine bringt mich richtig ans Ziel. Daher hier mal eine ausführliche Problembeschreibung.
Ich habe mir bei Strato einen Root Server (2008 Web Edition) gemietet mit 2 öffentlichen IP Adressen.
Auf diesem Server habe ich eine physikalische Netzwerkkarte zur Verfügung. Habe auf dem Server ein Vmware Workstation V9 laufen. Damit stelle ich einen virtuellen Gast (Windows XP Professional) zur Verfügung.
Der VPN Server selbst scheint zu laufen, bekomme einen Tunnel aufgebaut, aber erreiche nach Aufbau des Tunnels den Gast nicht. Weder per Ping noch über den DNS Namen. Folgende Infos zum System.
1. IP Adresse (Physikalischer Server) 85.214.226.xxx / 255.255.255.255
2. IP Adresse (für den Gast) 81.169.149.xxx /weiß nicht genau
Gateway für beide IP Adressen 85.214.192.xxx
DNS für beide IP Adressen 81.169.163.xxx
Keine Firewall aktiv und auch kein Router dazwischen wo ich eine Portweiterleitung einrichten könnte.
VPN Server hat die IP 192.168.150.1 welche auch nach dem Tunnelaufbau anpingbar ist.
Geht das überhaupt so wie ich mir das vorstelle?
Was muss ich in der Workstation eintragen?
Welche IP bekommt der Gast?
Server.ovpn
# Zertifikate
ca "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\h2073xxx.crt"
key "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\h2073xxx.key"
dh "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
# Server und Netzwerk
local 85.214.226.xxx #LAN-Adresse des Servers
port 1194
proto udp
dev tun
server 192.168.150.0 255.255.255.0 #Subnetz
push "route 192.168.0.0 255.255.255.0"#vergebliche Versuche
push "route 192.168.150.0 255.255.255.0" #hier auch
ifconfig-pool-persist ipp.txt
comp-lzo
persist-key
persist-tun
keepalive 10 120
client-to-client
# Log
status "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"
verb 3Client.ovpn
client
dev tun
proto udp
remote h2073xxx.stratoserver.net 1194
nobind
persist-key
persist-tun
ca "C:\\Program Files (x86)\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\config\\Client.crt"
key "C:\\Program Files (x86)\\OpenVPN\\config\\Client.key"
pull
comp-lzo
verb 4
mute 20
floatVersuche das schon seit ein paar Wochen immer mal wieder hinzubekommen, aber es will einfach nicht klappen. Wo ist eventuell mein Denkfehler?
Vielen Dank für eure Hilfe.
Andreas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 192257
Url: https://administrator.de/contentid/192257
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
es sieht nach einem Netzwerk-Designfehler aus. Nach deiner Beschreibung müsstest du die VM auch so erreichen können im Internet. Vorraussetzung ist, dass die Netzwerkkarte der VM als "Bridged" konfiguriert ist. Da die Firewall auf den Gast deaktiviert (?) ist, solltest du diesen pingen können.
Ob du das so gewollt bezweifel ich, da du einen OpenVPN Server installiert hast.
Warum allerdings die erste IP-Adresse eine Host-Route ist, versteh ich nicht ganz. Denn die zweite IP-Adresse hat wohl ne größere Subnetzmaske. Woher hast du die IP-Konfiguration erhalten, von Strato?
Grüße,
Dani
es sieht nach einem Netzwerk-Designfehler aus. Nach deiner Beschreibung müsstest du die VM auch so erreichen können im Internet. Vorraussetzung ist, dass die Netzwerkkarte der VM als "Bridged" konfiguriert ist. Da die Firewall auf den Gast deaktiviert (?) ist, solltest du diesen pingen können.
Ob du das so gewollt bezweifel ich, da du einen OpenVPN Server installiert hast.
Warum allerdings die erste IP-Adresse eine Host-Route ist, versteh ich nicht ganz. Denn die zweite IP-Adresse hat wohl ne größere Subnetzmaske. Woher hast du die IP-Konfiguration erhalten, von Strato?
Grüße,
Dani
Hallo Dani,
Ursprünglich wollte ich ja direkt aus dem Internet auf die virtuelle Maschine zugreifen, aber da dieses nur im "Bridged Modus" gehen würde musste ich aufgrund von Vorgaben seitens Strato darauf verzichten. Durch die virtuelle Maschine bekommt die virtuelle Netzwerkkarte eine individuelle MAC Adresse welche aber von Strato gesperrt wird. Mit MAC Spoofing geht es, habe ich schon ausprobiert ist aber halt nicht erlaubt. Daher der verzweifelte Versuch über VPN auf den Host und von dort auf den Client zu kommen. Nur wie ist hier das Problem.
Andreas
Ursprünglich wollte ich ja direkt aus dem Internet auf die virtuelle Maschine zugreifen, aber da dieses nur im "Bridged Modus" gehen würde musste ich aufgrund von Vorgaben seitens Strato darauf verzichten. Durch die virtuelle Maschine bekommt die virtuelle Netzwerkkarte eine individuelle MAC Adresse welche aber von Strato gesperrt wird. Mit MAC Spoofing geht es, habe ich schon ausprobiert ist aber halt nicht erlaubt. Daher der verzweifelte Versuch über VPN auf den Host und von dort auf den Client zu kommen. Nur wie ist hier das Problem.
Andreas
Was sagt ein "route print" auf dem Client bei aktivem VPN ?
Wenn die VM NIC im NAT Modus ist musst du auf der VM mit Port Forwarding arbeiten. Im Host Modus musst du Routing aktivieren auf dem Server dann.
Leider teilst du uns ja nicht mit welchen Modus du aktiviert hast
Wenn die VM NIC im NAT Modus ist musst du auf der VM mit Port Forwarding arbeiten. Im Host Modus musst du Routing aktivieren auf dem Server dann.
Leider teilst du uns ja nicht mit welchen Modus du aktiviert hast
Hallo,
Genau das ist ja mein Problem, habe schon jeden Modus mit diversen Konstellationen getestet. Der Server ist eine 2008 Web Edition, bin mir nicht sicher wie ich dort das Routing aktivieren soll. Ausserdem bin ich mir nicht sicher wie ich die Schnittstellen auf dem HOST konfigurieren muss. Und wie ich die Netzwerkkarte in der VM konfigurieren muss. Geht es denn überhaupt so wie ich mir das vorstelle?
Hier mal meine Route:
LG
Andreas
Genau das ist ja mein Problem, habe schon jeden Modus mit diversen Konstellationen getestet. Der Server ist eine 2008 Web Edition, bin mir nicht sicher wie ich dort das Routing aktivieren soll. Ausserdem bin ich mir nicht sicher wie ich die Schnittstellen auf dem HOST konfigurieren muss. Und wie ich die Netzwerkkarte in der VM konfigurieren muss. Geht es denn überhaupt so wie ich mir das vorstelle?
Hier mal meine Route:
Schnittstellenliste
15...00 ff 88 38 79 61 ......TAP-Win32 Adapter V9
13...00 1d 7d d9 43 28 ......Realtek PCIe GBE Family Controller
25...00 50 56 c0 00 01 ......VMware Virtual Ethernet Adapter for VMnet1
26...00 50 56 c0 00 08 ......VMware Virtual Ethernet Adapter for VMnet8
1...........................Software Loopback Interface 1
31...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
14...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
29...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3
30...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4
===========================================================================
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.100.1 192.168.100.107 276
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.0.0 255.255.255.0 192.168.150.5 192.168.150.6 30
192.168.11.0 255.255.255.0 Auf Verbindung 192.168.11.1 276
192.168.11.1 255.255.255.255 Auf Verbindung 192.168.11.1 276
192.168.11.255 255.255.255.255 Auf Verbindung 192.168.11.1 276
192.168.40.0 255.255.255.0 Auf Verbindung 192.168.40.1 276
192.168.40.1 255.255.255.255 Auf Verbindung 192.168.40.1 276
192.168.40.255 255.255.255.255 Auf Verbindung 192.168.40.1 276
192.168.100.0 255.255.255.0 Auf Verbindung 192.168.100.107 276
192.168.100.107 255.255.255.255 Auf Verbindung 192.168.100.107 276
192.168.100.255 255.255.255.255 Auf Verbindung 192.168.100.107 276
192.168.150.0 255.255.255.0 192.168.150.5 192.168.150.6 30
192.168.150.4 255.255.255.252 Auf Verbindung 192.168.150.6 286
192.168.150.6 255.255.255.255 Auf Verbindung 192.168.150.6 286
192.168.150.7 255.255.255.255 Auf Verbindung 192.168.150.6 286
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.100.107 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.150.6 286
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.11.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.40.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.100.107 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.150.6 286
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.11.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.40.1 276
===========================================================================
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 192.168.100.1 Standard
===========================================================================LG
Andreas
OK, das sieht ja schon mal gut aus, denn du "siehst" ja alle Clients im internen OVPN Netz !
Die Konfig Zeile: "push "route 192.168.150.0 255.255.255.0" ist übrigens Blödsinn und die solltest du wieder entfernen. Das .150er Netz ist dein internes OVPN Netzwerk das der Client immer kennt, denn das tun Interface bekommt immer eine IP aus diesem Bereich ist also direkt am Client und Server dran.
Das muss also nicht mit push propagiert werden, das ist überflüssiger Unsinn.
Diesen route print Output wirst du also logischerweise auch bekommen ohne dieses Kommando.
Ggf. hilft dir dieses Tutorial noch mit Hintergrundinformationen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die OVPN Konfig ist unabhängig von der HW Plattform !
Wie du Routing im Winblows Server aktivierst sagt dir dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router -->"Routing aktivieren"
Per Default ist das IP Forwarding / Routing deaktiviert bei Winblows !
Die Konfig Zeile: "push "route 192.168.150.0 255.255.255.0" ist übrigens Blödsinn und die solltest du wieder entfernen. Das .150er Netz ist dein internes OVPN Netzwerk das der Client immer kennt, denn das tun Interface bekommt immer eine IP aus diesem Bereich ist also direkt am Client und Server dran.
Das muss also nicht mit push propagiert werden, das ist überflüssiger Unsinn.
Diesen route print Output wirst du also logischerweise auch bekommen ohne dieses Kommando.
Ggf. hilft dir dieses Tutorial noch mit Hintergrundinformationen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die OVPN Konfig ist unabhängig von der HW Plattform !
Wie du Routing im Winblows Server aktivierst sagt dir dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router -->"Routing aktivieren"
Per Default ist das IP Forwarding / Routing deaktiviert bei Winblows !
Hallo Aqui,
Ich habe nun in der Registry das IP Routing aktiviert. Auch mit dem ICS klappt es nicht.
Vielleicht können wir es hier Schritt für Schritt machen.
Die VM befindet sich nun im NAT Modus. Die Netzwerkkarte hat im Moment die IP 192.168.137.1. Die virtuelle Maschine bekommt die 192.168.137.128 zugewiesen. Kann ich nicht einfach der virtuellen Maschine eine IP aus dem 150 er Netz geben? Die ist doch dem Server und dem Client bekannt. Ich habe schon wieder nach dem aktivieren des IP Routing soviel ausprobiert das ich nun nicht mehr weiß was nun richtig ist. Welcher Gateway und welcher DNS Eintrag muss wo gemacht werden?
Wenn ich Dich richtig verstanden habe MUSS der Server (2008 Webedition) das Routing unterstützen.
Der VM Client kann den Hostnamen des Server auflösen und umgekehrt geht es auch.
LG
Andreas
Ich habe nun in der Registry das IP Routing aktiviert. Auch mit dem ICS klappt es nicht.
Vielleicht können wir es hier Schritt für Schritt machen.
Die VM befindet sich nun im NAT Modus. Die Netzwerkkarte hat im Moment die IP 192.168.137.1. Die virtuelle Maschine bekommt die 192.168.137.128 zugewiesen. Kann ich nicht einfach der virtuellen Maschine eine IP aus dem 150 er Netz geben? Die ist doch dem Server und dem Client bekannt. Ich habe schon wieder nach dem aktivieren des IP Routing soviel ausprobiert das ich nun nicht mehr weiß was nun richtig ist. Welcher Gateway und welcher DNS Eintrag muss wo gemacht werden?
Wenn ich Dich richtig verstanden habe MUSS der Server (2008 Webedition) das Routing unterstützen.
Der VM Client kann den Hostnamen des Server auflösen und umgekehrt geht es auch.
LG
Andreas
