OpenVPN Client kann OpenVPN Server nicht anpingen.
Hallo Ihr
möchte mir eine VPN - Verbindung zwischen zwei Notebooks aufbauen, sind beides Windows 7 Home Premium-Rechner.
Habe das Problem nach Installation von OpenVPN V2.2.2, dass der Client den Server nicht pingen kann aber der Server den Client und somit kann ich auch auf die Freigaben zugreifen. der Client der den Server nicht anpingen kann, kann dann eben auch die Freigaben vom Server nicht sehen.
Ich bekomme beim Connect vom Client auch eine IP-Adresse im VPN zugewiesen, also soweit alles in Ordnung.
Da ich aber nicht viel Ahnung von VPN habe, habe ich auch mal die View Log vom Client wo eine Warnung erscheint mit aufgeführt, allerdings weis ich nicht ob das etwas damit zu tun hat. Die Meldung lautet:
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Das ist die einzige Fehlermeldung die erscheint.
Hier die server.ovpn
Hier die client.ovpn
Ich hoffe ich habe soweit erst mal alles nötige beschrieben und würde mich freuen wenn mir jemand helfen könnte.
Danke im Voraus!
steve007
möchte mir eine VPN - Verbindung zwischen zwei Notebooks aufbauen, sind beides Windows 7 Home Premium-Rechner.
Habe das Problem nach Installation von OpenVPN V2.2.2, dass der Client den Server nicht pingen kann aber der Server den Client und somit kann ich auch auf die Freigaben zugreifen. der Client der den Server nicht anpingen kann, kann dann eben auch die Freigaben vom Server nicht sehen.
Ich bekomme beim Connect vom Client auch eine IP-Adresse im VPN zugewiesen, also soweit alles in Ordnung.
Da ich aber nicht viel Ahnung von VPN habe, habe ich auch mal die View Log vom Client wo eine Warnung erscheint mit aufgeführt, allerdings weis ich nicht ob das etwas damit zu tun hat. Die Meldung lautet:
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Das ist die einzige Fehlermeldung die erscheint.
Hier die server.ovpn
# Zertifikate
ca "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\server01.crt"
key "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\server01.key"
dh "C:\\Program Files (x86)\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
# Server und Netzwerk
local 192.168.100.122 #LAN-Adresse des Servers
port 1194
proto udp
dev tap
server 192.168.10.0 255.255.255.0 #Subnetz
ifconfig-pool-persist ipp.txt
comp-lzo
persist-key
persist-tun
keepalive 10 120
# Log
status "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"
verb 3
Hier die client.ovpn
# Zertifikate
ca "C:\\Program Files (x86)\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\config\\client01.crt"
key "C:\\Program Files (x86)\\OpenVPN\\config\\client01.key"
# Client-Setup
client
dev tap
proto udp
remote meinedomain.dyndns-free.com 1194 #Hostname anpassen
resolv-retry infinite
nobind
persist-key
persist-tun
route-metric 512
route 0.0.0.0 0.0.0.0
comp-lzo
verb 3
Danke im Voraus!
steve007
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 211864
Url: https://administrator.de/forum/openvpn-client-kann-openvpn-server-nicht-anpingen-211864.html
Ausgedruckt am: 23.12.2024 um 09:12 Uhr
39 Kommentare
Neuester Kommentar
Hallo Steve,
hast Du mal bei der Windows Firewall nachgeschaut ob dort auch der Dienst nebst den Ports erlaubt ist, also sprich ob
dort auf dem Notebook wo der Server läuft die Firewall das auch erlaubt und nicht unterdrückt?
Also so etwas wie TLS denke ich mir, aber von OpenVPN habe ich echt null Plan, aber das mit der Firewall wird halt gerne und
oft vergessen.
Gruß
Dobby
hast Du mal bei der Windows Firewall nachgeschaut ob dort auch der Dienst nebst den Ports erlaubt ist, also sprich ob
dort auf dem Notebook wo der Server läuft die Firewall das auch erlaubt und nicht unterdrückt?
No server certificate verification method has been enabled
Das heißt auf gut deutsch; dass keine Methode vergeben wurde wie das Zertifikat beim Server überprüft werden soll.Also so etwas wie TLS denke ich mir, aber von OpenVPN habe ich echt null Plan, aber das mit der Firewall wird halt gerne und
oft vergessen.
Gruß
Dobby
Hi,
Du hast erst mal ein Zertifikatsproblem, wie Dobby schon sagt.
Wenn der Tunnel aber steht, was zu erwarten ist, sonst würde die Verbindung in eine Richtung nicht klappen, liegt das sicher nicht mehr an OpenVPN.
Leider verrätst Du uns weder, wie Dein Client, noch wie Dein Server ins Netz kommt.
Hängt da noch ein Router zwischen, gehst Du einseitig per UMTS ins Netz ?
Klares Nein....
Gruß orcape
Du hast erst mal ein Zertifikatsproblem, wie Dobby schon sagt.
Wenn der Tunnel aber steht, was zu erwarten ist, sonst würde die Verbindung in eine Richtung nicht klappen, liegt das sicher nicht mehr an OpenVPN.
Leider verrätst Du uns weder, wie Dein Client, noch wie Dein Server ins Netz kommt.
Hängt da noch ein Router zwischen, gehst Du einseitig per UMTS ins Netz ?
Ich hoffe ich habe soweit erst mal alles nötige beschrieben
Antwort....Klares Nein....
Gruß orcape
DSL-Router wo ich das Tunneling testen kann, vielleicht liegt es da dran, weil ich mit dem Client wirklich von aussen mit einen zweiten DSL-Anschluss an dem Server connecten sollte.
Jo das wäre was.Gruß
Dobby
Hi,
Nicht vergessen die FW.Rules entsprechend anzupassen.
Siehe Tutorial Aqui....
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Also in der Server-, Client config "dev tun" eintragen.
Gruß orcape
Jo das wäre was.
...sehe ich auch so.Nicht vergessen die FW.Rules entsprechend anzupassen.
Siehe Tutorial Aqui....
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Meinst Du, dass das mit den Verschiedenen Protokollen, also tun und tap, grundsätzlich nicht funktionieren kann und die sich da in der PC-Welt verschrieben haben?
Wenn Du nicht unbedingt bridgen willst, das heißt auf beiden OpenVPN-Seiten gleiches Netz, solltest Du das tun-Device benutzen.Also in der Server-, Client config "dev tun" eintragen.
Gruß orcape
Hi,
Die DynDNS-Adresse funktioniert aber noch, nicht das Dich der Provider in der Zwischenzeit rausgekickt hat, weil Du den Account nach Aufforderung nicht aktualisiert hast.
Was den OpenVPN-Server betrifft, der am DSL hängt, wäre es sowieso sinnvoller diesen auf dem Router zu installieren.
Was sagt denn die Routingtabelle auf dem Client ?
Gruß orcape
Jetzt mit der letzten configuration findet er die DNS, also meine DynDNS-Adresse nicht mehr
Nun das sollte erst mal die Bedingung sein, das der Tunnel überhaupt funktioniert.Die DynDNS-Adresse funktioniert aber noch, nicht das Dich der Provider in der Zwischenzeit rausgekickt hat, weil Du den Account nach Aufforderung nicht aktualisiert hast.
Was den OpenVPN-Server betrifft, der am DSL hängt, wäre es sowieso sinnvoller diesen auf dem Router zu installieren.
Was sagt denn die Routingtabelle auf dem Client ?
Gruß orcape
Hi,
wenn der OVPN-Server auf dem Router wäre, könntest Du das komplette Netz über den Tunnel von remote erreichen.
Wenn das aber nicht geht....
Wenn Du den Server (Tunnel-IP 192.168.10.1) nicht pingen kannst, dann könnte es auch ein Problem mit dem Provider sein. (NAPT)
Wenn Deine IP-EInstellungen so aussehen, würde ich mal was ändern.
Ich vergebe da schon der Übersichtlichkeit halber für den Tunnel keine 192.168.xxx.xxx/24 Netz, sondern ein 10.10.X.X/24 oder 172.16.x.x/24.
Ob das nun etwas damit zu tun hat oder nicht, Du hast es zumindest bei einer eventuellen Fehlersuche einfacher und übersichtlicher.
Gruß orcape
wenn der OVPN-Server auf dem Router wäre, könntest Du das komplette Netz über den Tunnel von remote erreichen.
Wenn das aber nicht geht....
Soll ich die route print am Client vor dem den Connect oder nach dem Connect ausdrucken?
..zumindest mal posten.Wenn Du den Server (Tunnel-IP 192.168.10.1) nicht pingen kannst, dann könnte es auch ein Problem mit dem Provider sein. (NAPT)
local 192.168.100.122 #LAN-Adresse des Servers
Netzmaske 255.255.255.0 ?server 192.168.10.0 255.255.255.0 #Subnetz
OpenVPN- Netz ?Wenn Deine IP-EInstellungen so aussehen, würde ich mal was ändern.
Ich vergebe da schon der Übersichtlichkeit halber für den Tunnel keine 192.168.xxx.xxx/24 Netz, sondern ein 10.10.X.X/24 oder 172.16.x.x/24.
Ob das nun etwas damit zu tun hat oder nicht, Du hast es zumindest bei einer eventuellen Fehlersuche einfacher und übersichtlicher.
Gruß orcape
10.18.14.2 lässt sich pingen ?
10.18.14.1 nicht ?
Der Tunnel steht und sollte auch Richtung Server eigentlich pingbar sein.
Wenn Du auf dem Win7-Client Laptop noch kein "nmap" installiert hast, solltest Du das mal tun.
Dann mal "nmap -v -sn 192.168.100.0/24" eingeben.
Dort sollte dann Dein Win7 Serverrechner mit IP als "up" erscheinen.
Gruß orcape
PS: Du versuchst aber jetzt nicht von Deinem eigenen LAN aus das zu testen ?
Weil Client und LAN-IP 192.168.100.123 ?
10.18.14.1 nicht ?
Der Tunnel steht und sollte auch Richtung Server eigentlich pingbar sein.
Wenn Du auf dem Win7-Client Laptop noch kein "nmap" installiert hast, solltest Du das mal tun.
Dann mal "nmap -v -sn 192.168.100.0/24" eingeben.
Dort sollte dann Dein Win7 Serverrechner mit IP als "up" erscheinen.
Gruß orcape
PS: Du versuchst aber jetzt nicht von Deinem eigenen LAN aus das zu testen ?
Weil Client und LAN-IP 192.168.100.123 ?
Hi steve,
lt.nmap ist host 192.168.100.123 up, d.h. Du hast Verbindung.
Das solltest Du vergessen.....
Gruß orcape
lt.nmap ist host 192.168.100.123 up, d.h. Du hast Verbindung.
ich bin mit meinem Client jetzt nicht beim Kollegen. Also am anderen DSL-Anschluss, also Router.
Du versuchst also von zu Hause, aus dem gleichen Netz den anderen Rechner zu erreichen, über dyndns.Das solltest Du vergessen.....
Gruß orcape
Hi,
OpenVPN-Clientrechner zum anderen Netzwerk....
.von mir aus das Deines Kollegen.
..dort "nmap -v -sn 192.168.100.0/24" eingeben.
Dann sollte dort im Protokoll die IP Deines VPN-Serverrechners mit "up" auftauchen, wenn der Tunnel steht.
Es müsste sich dann Dein VPN-Serverrechner von da aus auch pingen lassen, unabhängig davon, ob jetzt irgendetwas die Tunnel-IP ( 10.18.14.1 ) blockt.
Gruß orcape
OpenVPN-Clientrechner zum anderen Netzwerk....
.von mir aus das Deines Kollegen.
..dort "nmap -v -sn 192.168.100.0/24" eingeben.
Dann sollte dort im Protokoll die IP Deines VPN-Serverrechners mit "up" auftauchen, wenn der Tunnel steht.
Es müsste sich dann Dein VPN-Serverrechner von da aus auch pingen lassen, unabhängig davon, ob jetzt irgendetwas die Tunnel-IP ( 10.18.14.1 ) blockt.
Gruß orcape
Hi,
Hat Aqui hier im Forum schon super Tutorials geschrieben.......
diese.....
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
...oder hier nach einem entsprechenden Router suchen.....
http://www.dd-wrt.com/site/support/router-database
...vielleicht ist Deiner auch dabei, falls ein WLAN-Gerät.
Aber Achtung, nicht jeder der da aufgeführten Router lässt sich auch mit einer OpenVPN-Software flashen.
Gruß orcape
Wie stellst Du Dir das vor den OpenVpn auf dem Router zu installieren, dass geht doch gar nicht.
...und ob.Hat Aqui hier im Forum schon super Tutorials geschrieben.......
diese.....
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
...oder hier nach einem entsprechenden Router suchen.....
http://www.dd-wrt.com/site/support/router-database
...vielleicht ist Deiner auch dabei, falls ein WLAN-Gerät.
Aber Achtung, nicht jeder der da aufgeführten Router lässt sich auch mit einer OpenVPN-Software flashen.
Gruß orcape
Hallo,
am besten Du gehst direkt auf die DD-WRT Seite und wählst Die Routerdatabase oben in der Mitte aus und dann
gibst Du den Hersteller und den Namen Deines Routers ein (z.B. Netgear WNDR3800) und dann klickst Du auch die
Zeile die Dir dann angezeigt wird, dann kllappt ein Menü auf und Du kannst exakt die Version des DD-WRT Images
sehen die zu Deinem Router passt und ob er noch aktiviert werden muss (kostenpflichtig ~25 €) und dann ist gut
Der Router aus meinem Beispiel muss nicht aktiviert werden und geht auch flott zur Sache, wenn Du Dir nicht sicher bist kannst Du natürlich einen Buffalo WLAN Router mit GB LAN Ports und vorgeflashetem DD-WRT kaufen ca. 70 - 90 €
Da kann dann nichts mehr schief gehen und OenVPN ist da auch schon ganz sicher drauf.
Gruß
Dobby
am besten Du gehst direkt auf die DD-WRT Seite und wählst Die Routerdatabase oben in der Mitte aus und dann
gibst Du den Hersteller und den Namen Deines Routers ein (z.B. Netgear WNDR3800) und dann klickst Du auch die
Zeile die Dir dann angezeigt wird, dann kllappt ein Menü auf und Du kannst exakt die Version des DD-WRT Images
sehen die zu Deinem Router passt und ob er noch aktiviert werden muss (kostenpflichtig ~25 €) und dann ist gut
Der Router aus meinem Beispiel muss nicht aktiviert werden und geht auch flott zur Sache, wenn Du Dir nicht sicher bist kannst Du natürlich einen Buffalo WLAN Router mit GB LAN Ports und vorgeflashetem DD-WRT kaufen ca. 70 - 90 €
Da kann dann nichts mehr schief gehen und OenVPN ist da auch schon ganz sicher drauf.
Gruß
Dobby
die Site DD-WRT habe ich schon gefunden, ich habe einen D-Link D-615 Firmware B2, ist leider nicht dabei, also geht nicht. Was ich nicht verstehe, warum keiner weis wie der OpenVpn - Server funktioniert.
Da kann man dann eben nichts machen.Wenn ich jetzt angenommen diesen Buffalo WLAN Router bestelle, sagst Du ja es ist alles schon fertig konfiguriert.
Nein das habe ich nicht! Ich habe lediglich geschrieben, dass dieser Router schon mit einem fertig installiertemDD-WRT ausgeliefert wird, von der Konfiguration habe ich nichts geschrieben. Das musst Du immer selber erledigen,
das Konfigurieren meine ich jetzt. Aber zum glück ist es nicht weiter schlimm denn alle Konfigurationsdateien sehen
immer gleich aus, die von OpenVPN meine ich jetzt, egal ob auf Unix, BSD, Windows oder linux installiert wurde, oder eben auch auf einem Router!
Was muss ich denn dann auf der Client Seite machen. Ist da eine Software dabei?
Wichtig sind erst einmal drei Sachen:Erstens:
- Wer und vor allem mit welchem Equipment sitzt denn auf der anderen Seite?
- Welche Methode soll denn zum Einsatz kommen? Und wofür?
- Welche Protokolle oder Doenste sollen darüber laufen
Zweitens:
- Bitte nur die Verbindung testen wenn beide Leute vor Ort sind!
- Also bis Samstag warten, die andere Seite anrufen und los geht es!
- Anleitungen suchen die genau Dein Szenario wieder spiegeln!!!!
Dann braucht man nur noch abtippen und hat ergo auch weniger Fehler
Drittens:
- Es sollte schon auf beiden OpenVPN eingesetzt werden
- Es sollte Hardware verwendet werden die auch eine VPN Beschleunigung Hardware seitig mitbringt um einen
ordentlichen Durchsatz zu gewährleisten.
- Es sollte bekannt sein welche Internetzugänge auf jeder Seite vorhanden sind.
Hier sind mal ein paar Anleitungen aus dem Forum von @aqui:
OpenVPN Server installieren auf DD-WRT Router oder pfSense Firewall
VPNs einrichten mit PPTP
OpenWRT Low Cost Router für LAN bzw. VLAN Routing inklusive OpenVPN Server
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
VPNs mit DD-WRT, M0n0wall oder pFsense auf Basis von PPTP
Die Methode mit dem PPTP würde ich heute nicht mehr nehmen wollen, da sie bereits als kompromittiert gilt.
Und wo kann ich den Buffalo-Router bestellen und welchen Typ?
Hier ich selber würde zu Nr. 2 oder Nr. 3 tendieren aber wenn es eine Budgetfrage ist dann wird es Nr.1 auch tun.Nr.1 Buffalo WHR-HP-G300N AirStation Nfiniti Wireless-N High Power Broadband Router und Access Point
Nr.2 Buffalo AirStation WZR-HP-G300NH2EU NFINITI HighPower Gigabit Wireless-LAN Router 300Mbps
Nr.3 Buffalo AirStation WZR-HP-G450H-EU Nfiniti HighPower Giga Wireless-N Router und Access Point (450Mbps, 4-Port)
Wenn Du mir das nochmal etwas genauer beschreiben könntest, währe ich Dir sehr dankbar.
Das steht alles in den Anleitungen von dem Nutzer @aqui drinnen, ließ das bitte einmal durch und dann wird da auch was draus, ich gebe Dir auch gerne mal ein Beispiel: Man testet nicht die VPN Verbindung aus seinem LAN herausund denkt dann das kann ja dann auch nicht von außerhalb funktionieren! Eine Straßenbahn testet man ja auch auf Schienen und nicht auf dem Flugplatz. Klingt ein wenig gehässig, soll Dich aber nur animieren auch bei dem schönen Wetter Dich hinzusetzen und es auch durchzulesen, sehr vieles wird dann nicht nur für Dich verständlicher, sondern auch für uns, nämlich dann wenn Du wieder etwas nachfragen musst!
Aber erst mal danke für die Info.
Kein Thema.Aber ich habe auch gehört, die Fritz - Box kann VPN, währe das auch was?
Entweder Du machst das VPN mit der Fritz!Box zu einer anderen Fritz!Box oder eben mit OpenVPN zu OpenVPNbzw. einer OpenVPN kompatiblen Software. Man kann einiges aber eben nicht alles mit einander bzw. untereinander
mischen.
Ich bestelle natürlich gerne den Buffalo WLAN Router, aber ich muss eben noch etwas mehr erfahren.
Du solltest Dir einmal die Anleitungen von qui ansehen und auch durchlesen, denn die sind zum einen gut bebildert undzum anderen auch einfach gehalten und wenn dann etwas nicht funktioniert und Du auch weißt wovon Du redest dann macht das auch alles ganz anders Sinn und man hilft auch richtig mit, denn ich denke da sind noch ein paar Lücken die Du bei Dir schließen solltest. Das war nicht bösartig gemeint.
Am Mittwoch werde ich aber nochmal die OpenVPN-Lösung testen, was ich mit orcape ausgemacht habe.
Viel Erfolg.Gruß
Dobby
Hi steve,
Wie sieht die aus???...die DHCP ?-Adresse...
Hast Du mal versucht den Server direkt mit dem Client zu verbinden, testweise.
Von den Tipps hier, hast Du wohl nichts so richtig in die Tat umgesetzt.
Da fehlen wohl noch etwas die Grundlagen.
Du wirst Dir das dann wohl machen lassen müssen.
Gruß orcape
Kein Ping auf Server vom Client, also von ausserhalb versteht sich,
..und da existiert ein normaler DSL-Anschluß ?Der Client bekommt also von aussen eine DHCP-Adresse (habe mir extra noch einen zweiten Anschluß legen lassen,
...hm, sicher ?Wie sieht die aus???...die DHCP ?-Adresse...
Hast Du mal versucht den Server direkt mit dem Client zu verbinden, testweise.
Von den Tipps hier, hast Du wohl nichts so richtig in die Tat umgesetzt.
Da fehlen wohl noch etwas die Grundlagen.
Du wirst Dir das dann wohl machen lassen müssen.
Gruß orcape