michi1983
Goto Top

Openvpn auf Ubuntu Server - Verbindung steht, Ping funktioniert, aber kein Zugriff auf Daten

Hallo Admins,

ich bin irgendwie mit meinem Latein am Ende.

Ich habe einen Ubuntu Server 10.04 auf dem ich einen Openvpn Server installiert habe.
Ich nutze das tun0 interface.
Die ganzen Zertifikate sind erstellt und auch schon beim Client.
Wenn ich mich von meiner Windows 7 Kiste mittels Openvpn-gui auf den Server connecte, steht die Verbindung und ich bekomme eine IP Adresse zugewiesen.
Ich kann vom Client aus den Server anpingen und umgekehrt funktioniert es ebenso, der Server kann den Client also auch anpingen.

Wenn ich allerdings versuche ein Netzlaufwerk einzubinden oder einfach ein \\IP_DES_VPN_SERVERS im "ausführen" Fenster eingebe, kommt, dass diese IP nicht erreichbar ist.

Woran kann das liegen?

Gruß

Michael

Content-Key: 180375

Url: https://administrator.de/contentid/180375

Ausgedruckt am: 28.03.2024 um 20:03 Uhr

Mitglied: aqui
aqui 10.02.2012, aktualisiert am 18.10.2012 um 18:50:00 Uhr
Goto Top
Hier findest du alle Details dazu:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die Installation ist vollkommen Plattform unabhängig !
Dein Problem ist das das FW Profil tun0 Interface am Windows Rechner vermutlich (default) auf öffentlich steht. Damit blockt Winblows alles was dort von fremden Netzen reinkommt.
Dein Problem ist als einzig und allein ein Firewall Problem der lokalen Windows Firewall.
Stelle das auf Privat oder Arbeitsplatz oder customize es entsprechend mit den Ports und IPs die du durchlassen willst und alles wird gut !
Das du den Server anpingen kannst ist fürs Troubleshooting völlig irrelevant. Ein Ping auf alle Komponenten im remoten Netz sollte klappen und zeigt das das Routing funktioniert.
Wenn dein Ubuntu OpenVPN Server hinter einem NAT Router steht solltest du zwingend das hier beachten:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Leider kommen dazu von dir keinerlei Infos wie dein Design aussieht so können wir nur blöd raten hier... face-sad
Es ist möglich das die Default Gateways der Komponenten im remoten Netz dann auf den Router zeigen und der aber keine statische Route ins remote Netz auf den VPN Server hat.
Traceroute und Pathping sind hier deine Freunde die Wegeführung zu checken !
Mitglied: michi1983
michi1983 11.02.2012 um 13:00:11 Uhr
Goto Top
Hallo aqui,

danke für deine Antwort.

Die Firewall des Windows Clients hab ich natürlich schon angepasst und für das Interface TAP-Win32 deaktiviert.
Davor war nämlich nicht mal ein Ping vom Server auf den Client möglich.

Mein Openvpn Server hängt direkt am Modem unseres ISP. Ob der NAT "macht" bzw kann, weiß ich nicht 100%g, müsste ich den ISP fragen.
Mein Ubuntu Server hat 2 NICs, mit eth0 hängt er direkt am Modem und hat eine statische IP, eth1 ist das interne LAN.

Ich bin jetzt eine Woche auf Skiurlaub, melde mich dann in einer Woche diesbezüglich wieder.

Danke und Grüße
Mitglied: aqui
aqui 12.02.2012 um 21:22:19 Uhr
Goto Top
Ist das Modem ein wirkliches "Modem" (also nur passiver Medienwandler) und deine PPPoE Zugangsdaten sind im Server oder ist das "Modem" ein NAT Router und du weisst nicht wirklich was der Unterschied ist ?!
Das solltest du sicher klären bevor wir hier ins Eingemachte gehen !
Mitglied: michi1983
michi1983 22.02.2012 um 10:51:29 Uhr
Goto Top
Hallo nochmal,

so, wir hatten vorgesten einen Providerwechsel im Haus und vor unserem Server (Ubuntu, 2 NICs, IPTABLES) stellt jetzt ein Thomson TG628s die Verbindung ins Internet her.
Laut Techniker dient er rein als Modem. Zugang hab ich keinen zu dem Thomson.

Kannst du damit was anfangen aqui?

Grüße
Mitglied: aqui
aqui 23.02.2012 um 10:55:46 Uhr
Goto Top
Oha, dann hängt der Ubuntu direkt am Internet. OK, wenigstens Linux bekommt man ja halbwegs wasserdicht.
Ob dem so ist kannst du mit einem ifconfig Kommando sehen.
An einer NIC müsstest du dort eine öffentliche IP bekommen.
Hilfreich wäre nochmal die OpenVPN Server config Datei ob du auch das lokale Netzwerk dort an die Clients announced mit dem Push Route Kommando.
Checken kannst du das auf deinem W7 Client mit dem Kommando "route print" dort sollte dann das lokale LAN am Ubuntu mit dem OVPN Server als next Hop zu sehen sein.
Was du ganz sicher checken solltest ist die Firewall sowohl auf Server als auch Client.
Das tun Interface auf dem Win 7 Client bekommt fast immer das FW Profil öffentlich. Das musst du zwingend auf Arbeitsplatz oder privat umstellen sonst blockt das alles.
Analog am Server. Das lokale LAN sollte das Profil "intern" haben !
Ansonsten findest du im o.a. Tutorial ein paar Troubleshooting infos.
Mitglied: michi1983
michi1983 24.02.2012 um 11:16:53 Uhr
Goto Top
Also hier ist mal die ifconfig Ausgabe des Servers:
eth0  Link encap:Ethernet  HWaddr 00:15:17:4b:bf:30  
          inet addr:---.---.---.---  Bcast:---.---.---.---  Mask:255.255.255.248
          inet6 addr: fe80::215:17ff:fe4b:bf30/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:28372907 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16742787 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:37718113692 (37.7 GB)  TX bytes:2705738648 (2.7 GB)
          Memory:88180000-881a0000 

eth1  Link encap:Ethernet  HWaddr 00:1b:21:0d:a1:c7  
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::21b:21ff:fe0d:a1c7/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:20502420 errors:8 dropped:0 overruns:0 frame:4
          TX packets:33122305 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:3828616053 (3.8 GB)  TX bytes:42656575585 (42.6 GB)

lo       Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2562024 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2562024 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:141098440 (141.0 MB)  TX bytes:141098440 (141.0 MB)

tun0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:169 errors:0 dropped:0 overruns:0 frame:0
          TX packets:154 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:9278 (9.2 KB)  TX bytes:6732 (6.7 KB)
Die öffentliche IP hab ich mal unkenntlich gemacht face-smile

Hier ist die server.conf des Openvpn Servers:
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh1024.pem
tls-auth ta.key 0
duplicate-cn
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "route 192.168.2.0 255.255.255.0"  
;push "redirect-gateway def1 bypass-dhcp"  
;push "dhcp-option DNS 213.129.232.1"  
;push "dhcp-option DNS 213.129.232.2"  
;client-to-client
keepalive 10 120
comp-lzo
;max-clients 100
;user nobody
;group nogroup
persist-key
persist-tun
status openvpn-status.log
log         openvpn.log
;log-append  openvpn.log
verb 5
mute 20

Die Firewall des Win7 Clients ist definitiv deaktiviert, daran liegts also nicht.
Jedoch verwirrt mich deine Aussage bezüglich des tun Interfaces beim Win7 Client. Bei mir wird ein TAP-Win32 Interface installiert und kein tun Interface. Das ist aber schon korrekt so oder?

Wie stell ich beim Ubuntu Server das Lokale Netz auf "intern"? Was meinst du genau damit?

Ich kann dir wenn du möchtest auch meine IPTables schicken, allerdings nur als PM wenn du kurz drüber schauen möchtest.

"route print" am Client mach ich dann heute am Abend und werde das auch noch posten.

Hier noch ein netstat -nr vom Server:
Kernel IP routing table
Destination     Gateway       Genmask                 Flags    MSS       Window  irtt    Iface
10.8.0.2             0.0.0.0         255.255.255.255    UH        0             0               0     tun0
---.---.--.---          0.0.0.0         255.255.255.248    U           0             0               0     eth0
192.168.2.0      0.0.0.0         255.255.255.0         U           0             0               0    eth1
10.8.0.0           10.8.0.2        255.255.255.0          UG        0             0               0    tun0
0.0.0.0           ---.---.---.---      0.0.0.0                        UG        0             0               0    eth0
Wobei mich grad wundert, die 1. unkenntlich gemachte IP in der 2. Zeile ist .208 am schluss, wobei unser Gateway eigentlich .209 ist (die 2. unkenntlich gemachte in der letzten Zeile ist die .209).

Gruß, Michael

Edit:
Hier noch die Ausgabe des "route print" des Win7 Clients

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway        Schnittstelle         Metrik
          0.0.0.0                0.0.0.0                 192.168.2.1     192.168.2.12          20
         10.8.0.1        255.255.255.255         10.8.0.5             10.8.0.6              30
         10.8.0.4        255.255.255.252    Auf Verbindung      10.8.0.6            286
         10.8.0.6        255.255.255.255   Auf Verbindung          10.8.0.6         286
         10.8.0.7        255.255.255.255   Auf Verbindung          10.8.0.6        286
        127.0.0.0        255.0.0.0                Auf Verbindung         127.0.0.1       306
        127.0.0.1      255.255.255.255   Auf Verbindung         127.0.0.1        306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.2.0    255.255.255.0        Auf Verbindung      192.168.2.12    276
     192.168.2.12  255.255.255.255   Auf Verbindung      192.168.2.12    276
    192.168.2.255  255.255.255.255   Auf Verbindung      192.168.2.12    276
        224.0.0.0        240.0.0.0               Auf Verbindung         127.0.0.1         306
        224.0.0.0        240.0.0.0               Auf Verbindung      192.168.2.12    276
        224.0.0.0        240.0.0.0               Auf Verbindung          10.8.0.6          286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1      306
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.2.12    276
  255.255.255.255  255.255.255.255   Auf Verbindung          10.8.0.6         286
===========================================================================
Ständige Routen:  Keine
Mitglied: aqui
aqui 28.02.2012, aktualisiert am 18.10.2012 um 18:50:09 Uhr
Goto Top
Dein Kardinalsfehler ist das fehlende push "route 192.168.2.0 255.255.255.0" Kommando in der Server Konfig ! Das ist bei dir mit einem ";" auskommentiert.
Lies dir bitte wirklich nochmal das Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
für die Details durch. Die OpenVPN Konfig ist bei dir identisch und immer unabhängig von der verwendeten Hardware !!

Dort musst du unbedint das ; vor dem "push route" Kommando für dein lokales IP Netz entfernen und den OpenVPN Server neu starten lassen, damit er diese Konfig übernimmt.
Wichtig: Das Interface "eth1" auf dem Ubuntu muss in der Linux Firewall als "intern" eingestellt sein, das dort nichts geblockt wird !
Ist das alles so eingestellt MUSS ein Ping auf die 192.168.2.1 sprich die lokale Ubuntu Server IP sauber laufen.
Auch ein Ping auf alle Netzkomponenten, Clients etc. im 192.168.2.0er lokalen Netz an "eth1" sollten sauber funktionieren !
Achtung: Aber nur wenn diese alle auch die 192.168.2.1 als default Gateway eingetragen haben !!
Ansonsten fehlt die Client Route ins VPN und dann scheitert der Ping und auch alles andere. Das solltest du also sicher nochmal prüfen !
Nochwas wichtiges:
Ein dummes 192.168.2.0er IP Netz als lokales Netz im VPN Betrieb zu wählen ist nicht besonders intelligent. Warum ?? Siehe hier...:
VPNs einrichten mit PPTP
.2.0 ist das klassische lokale IP Netz aller Speedport Schrottrouter...also millionenfach vertreten !
Da solltest du also dein Adressdesign nochmal genau überprüfen. Das könnte auch die Ursache deines o.a. Fehlers sein !!
Mitglied: michi1983
michi1983 28.02.2012 um 09:35:57 Uhr
Goto Top
Hallo,

danke für den Tipp.
Hab das push "route" soeben aktiviert und werde am Abend dann von zu Hause aus testen können ob das so funktioniert.
In der iptables ist eth1 als intern gelistet und darf somit "alles" machen.

Bezüglich deiner Anregung des Adresskonflikts:
Gehe ich dem nicht aus dem weg, indem ich aus dem VPN Netzt ein 10.8.0.0/24 mache und das interne Netz ein 192.168.2.0/24 Netz ist oder verstehe ich etwas grundlegendes nicht?
oder gehts hier darum, dass wenn ich zu Hause auch ein 192.168.2.0/24er Netz habe mich nicht auskenn ob ich nun ins lokale Netz im Büro pinge oder meine eignen Geräte im Netz?

Gruß
Mitglied: aqui
aqui 01.03.2012 um 09:42:17 Uhr
Goto Top
Nein, ganz aus dem Weg gehst du dem damit logischerweise nicht.
Wenn du im Client mit aktiver OVPN Session mal ein route print eingibst, dann würdest du sehen das das 192.168.2.0er Netz über die 10.8.0.x in den VPN Tunnel geroutet wird.
Bist du nun aber mal an einem lokalen LAN oder WLAN unterwegs in einem 192.168.2.0er netzwerk was durch Speedport und Millionen anderer Router fast überall so ist, dann hast du mit einmal lokale ein 192.168.2.0er Netz und auch eins was über die Route ins VPN geht und schon ist es wieder aus mit dem VPN da nun doppelte IP Adressierung vorliegt und eine eindeutige Wegefindung im Routing unmöglich ist ! Ein Kardinalsfehler im TCP/IP.
Es gilt also niemals diese dummen Banal 192.168er netze als lokales LAN zu verwenden bei VPN wenn man sichergehen will.
Wenn du kannst wähle lieber ein 172.16-32.x.y /24er Netz dafür mit einer etwas "krummen" Nummer in Byte 2 und 3.
Mitglied: michi1983
michi1983 01.03.2012 um 22:57:51 Uhr
Goto Top
Hi aqui,

ich bins nochmal.
Ich verstehs echt nicht mehr face-sad

Habe jetzt das interne Firmen Netz auf 172.16.17.0/24 umgeändert.
Ich kann von meinem Client zu Hause mit aktiver OpenVPN Verbindung sowohl die 10.8.0.1 als auch die 172.16.17.1 anpingen.
Aber ich weiß nicht was ich noch machen soll, damit ich auf die Daten zugreifen kann.
Sobald ich im "Ausführen" Dialog \\10.8.0.1 oder \\172.16.17.1 eingebe, kommt die Fehlermeldung dass darauf nicht zugegriffen werden kann.
Die Windows FW ist komplett deaktiviert.

Hier ist nochmal die ausgabe von route print vom Windows 7 Client:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.2.1     192.168.2.12     20
         10.8.0.1  255.255.255.255         10.8.0.5         10.8.0.6     30
         10.8.0.4  255.255.255.252   Auf Verbindung          10.8.0.6    286
         10.8.0.6  255.255.255.255   Auf Verbindung          10.8.0.6    286
         10.8.0.7  255.255.255.255   Auf Verbindung          10.8.0.6    286
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      172.16.17.0    255.255.255.0         10.8.0.5         10.8.0.6     30
      192.168.2.0    255.255.255.0   Auf Verbindung      192.168.2.12    276
     192.168.2.12  255.255.255.255   Auf Verbindung      192.168.2.12    276
    192.168.2.255  255.255.255.255   Auf Verbindung      192.168.2.12    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.2.12    276
        224.0.0.0        240.0.0.0   Auf Verbindung          10.8.0.6    286
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.2.12    276
  255.255.255.255  255.255.255.255   Auf Verbindung          10.8.0.6    286
===========================================================================
St„ndige Routen:
  Keine

Gruß
Mitglied: aqui
aqui 02.03.2012 um 16:48:47 Uhr
Goto Top
Die Routing Tabelle des Clients ist sauber also daran liegt es nicht mehr. Das kannst du auch sicher sehen wenn du mal ein traceroute 172.16.17.1 oder ein pathping 172.16.17.1 ausführst.
Damit ist die OpenVPN Verbindung selber also OK.
Was etwas unklar ist: Deine Daten befinden die sich auf dem Ubuntu Server selber ?? Also rennt darauf parallel ein Samba oder wie machst du die Datenverbindung auf ?
Kannst du eine SSH Verbindung auf den Ubuntu aufmachen ?
Wichtig ist auch noch die Ubuntu Firewall !! Die muss auf "intern" stehen oder so customized sein das Pakete mit 10.8.0er Absender IP passieren dürfen.
Vermutlich ist das jetzt nur noch ein Rechte oder FW Problem.
Mitglied: michi1983
michi1983 03.03.2012 um 10:22:39 Uhr
Goto Top
Hi aqui,

ich hab die iptables testweise mal komplett deaktiviert und siehe da, es funktioniert!

Werde also die Einstellungen an der iptables nochmal genau überprüfen und dann sollte das funktionieren.

Ich danke dir für deine Hilfe und Geduld face-smile

Gruß
Michi