23
OpenVPN auf dem Client Verständnisfrage
Hallo Community,
möchte OpenVPN benutzen, um mich über VPN per RDP zu einem Server zu verbinden und auch GIT über den Tunnel zu verwenden.
Also auf dem Server läuft ein Git Repository und ich möchte per Git durch den Tunnel das Repository ansprechen.
Nun meine Frage:
Auf dem Client möchte ich aber die Internetverbindung nicht über den Server laufen lassen. Lese immer das wäre der Fall.
Möchte nur RDP und Git tunneln. Ist das so möglich. Muss ich was beachten ?
Vielen Dank für eure Vorschläge.
möchte OpenVPN benutzen, um mich über VPN per RDP zu einem Server zu verbinden und auch GIT über den Tunnel zu verwenden.
Also auf dem Server läuft ein Git Repository und ich möchte per Git durch den Tunnel das Repository ansprechen.
Nun meine Frage:
Auf dem Client möchte ich aber die Internetverbindung nicht über den Server laufen lassen. Lese immer das wäre der Fall.
Möchte nur RDP und Git tunneln. Ist das so möglich. Muss ich was beachten ?
Vielen Dank für eure Vorschläge.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 389494
Url: https://administrator.de/contentid/389494
Printed on: April 18, 2024 at 12:04 o'clock
23 Comments
Latest comment
Moin,
du solltest nur nicht "force tunneling" nutzen.
Dann funktioniert das.
Gruß
Spirit
du solltest nur nicht "force tunneling" nutzen.
Dann funktioniert das.
Gruß
Spirit
Hallo,
OpenVPN tut nicht automatisch den ganzen Traffic durch den Tunnel umleiten bzw. die default Route verändern. Dazu muss man eine Option in der Konfiguration setzen. Somit einfach nicht die Option setzen, dass der OpenVPN Server als Gateway verwendet wird.
Edit:
@Spirit-of-Eli war schneller
Viele Grüße,
Exception
Auf dem Client möchte ich aber die Internetverbindung nicht über den Server laufen lassen. Lese immer das wäre der Fall.
Möchte nur RDP und Git tunneln. Ist das so möglich. Muss ich was beachten ?
Möchte nur RDP und Git tunneln. Ist das so möglich. Muss ich was beachten ?
OpenVPN tut nicht automatisch den ganzen Traffic durch den Tunnel umleiten bzw. die default Route verändern. Dazu muss man eine Option in der Konfiguration setzen. Somit einfach nicht die Option setzen, dass der OpenVPN Server als Gateway verwendet wird.
Edit:
@Spirit-of-Eli war schneller
Viele Grüße,
Exception
Und um mal diese Option beim Namen zu nennen: Du willst "redirect-gateway" nicht benutzen und auch nicht die Route "0.0.0.0" vom Server zum Client pushen.
Solange du beides nicht machst, fließt nur der Traffic zwischen den Tunnel-Gegenstellen durch den Server.
Solange du beides nicht machst, fließt nur der Traffic zwischen den Tunnel-Gegenstellen durch den Server.
Ich danke der IT Crowd sehr, mir kurz und bündig weitergeholfen zu haben!
Lese immer das wäre der Fall.
Nein, das ist Quatsch und du hast Unsinn gelesen.Normal macht OpenVPN ein Split Tunneling, redirected also einzig nur das remote Netzwerk in den VPN Tunnel und behandelt den restlichen Internet Traffic lokal.
Nur wenn du ein Gateway Redirect machst, dann geht alles in den Tunnel.
https://openvpn.net/community-resources/how-to/#redirect
Das ist aber nicht der Normalfall, nur wenn man es so explizit konfiguriert. Ist ja oben schon alles dazu gesagt worden.
Hier findest du eine Standard Konfig:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Einen Zertifikat Wizard finde ich nicht im OpenVPN Menü.
Das macht der kundige Netzwerker ja auch immer mit der Hand und easyrsa !!
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
https://openvpn.net/community-resources/how-to/#pki
Ist bei jeder OpenVPN Distro immer mit dabei !
Klicki Bunti GUI Knechte nehmen XCA
https://sourceforge.net/projects/xca/
Anleitung hier:
https://www.wakusi.de/forum/viewtopic.php?t=328
Noch Faulere nehmen eine Online Schlüssel Erstellung:
https://www.mobilefish.com/services/ssl_certificates/ssl_certificates.ph ...
Einfacher gehts ja nun wahrlich nicht...?!
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
https://openvpn.net/community-resources/how-to/#pki
Ist bei jeder OpenVPN Distro immer mit dabei !
Klicki Bunti GUI Knechte nehmen XCA
https://sourceforge.net/projects/xca/
Anleitung hier:
https://www.wakusi.de/forum/viewtopic.php?t=328
Noch Faulere nehmen eine Online Schlüssel Erstellung:
https://www.mobilefish.com/services/ssl_certificates/ssl_certificates.ph ...
Einfacher gehts ja nun wahrlich nicht...?!
Genau,
der kundige Netzwerker macht das von Hand, das ist ja auch eine Tugend und Klicki Bunti ist für die Dummen.
Nein, weisst du was das Gute an Klicki Bunti ist ? Du wirst es nicht glauben: Ein klar definiertes Prozedere, was mögliche
Fehler minimiert und vor allem die Zeit der Anwender spart, denn wir haben ja auch noch andere Dinge zu tun.,
der kundige Netzwerker macht das von Hand, das ist ja auch eine Tugend und Klicki Bunti ist für die Dummen.
Nein, weisst du was das Gute an Klicki Bunti ist ? Du wirst es nicht glauben: Ein klar definiertes Prozedere, was mögliche
Fehler minimiert und vor allem die Zeit der Anwender spart, denn wir haben ja auch noch andere Dinge zu tun.,
Zitat von @bk900042:
Nein, weisst du was das Gute an Klicki Bunti ist ? Du wirst es nicht glauben: Ein klar definiertes Prozedere, was mögliche
Fehler minimiert und vor allem die Zeit der Anwender spart, denn wir haben ja auch noch andere Dinge zu tun.,
Nein, weisst du was das Gute an Klicki Bunti ist ? Du wirst es nicht glauben: Ein klar definiertes Prozedere, was mögliche
Fehler minimiert und vor allem die Zeit der Anwender spart, denn wir haben ja auch noch andere Dinge zu tun.,
Das würde ich so nicht sagen. Insbesondere wenn es um Schnelligkeit bzw. Effizient geht, ist das Terminal deutlich überlegender als die GUI.
Beim Terminal musst du nur das Script starten. Es werden die notwendigen Infos abgefragt und der rest geschieht Automatisiert. Mithilfe Vorlagen kannst du übrigens die Infos vordefinieren. Dann steht das Zertifikate binnen Sekunden. Folglich hast du auch dort eine klar definierte Prozedere.
Über die GUI musst du die einzelnen Schritte durchklicken und noch manuell exportieren Zumindest bei XCA.
Grundsätzlich: bei beiden Varianten können Fehler passieren, wenn man nicht sorgfälltig Arbeitet.
das ist ja auch eine Tugend und Klicki Bunti ist für die Dummen.
Besser hätte man es nicht sagen können. 
Ein klar definiertes Prozedere, was mögliche Fehler minimiert und vor allem die Zeit der Anwender spart
Natürlich nur wenn der smarte Programmierer der das HTTP Frontend und Backend dahinter für die Dummen programmiert hat auch keinen Fehler gemacht hat.Mal ehrlich...vergiss doch den Unsinn, mit easyrsa ist das im Handumdrehen erledigt und gut iss. Kollege @129580 hat ja alles dazu gesagt oben...
Oder eben das freie XCA oder eben die Online Generierung im Web !!
Damit hast du doch dann ein leistungsfähiges Klicki Bunti was das alles macht.
Wo ist denn nun dein wirkliches Problem ??
Wenn ich das Bündel an Links durchgehe, das du hier servierst (zur Verwirrung Dritter, die dieselbe einfache Frage haben mögen), dann brauche ich hier nicht zu posten.
Ich bin ja deinem Link gefolgt und prompt fand sich das, was dort als Wizard bezeichnet wurde nicht in meinem brandneuen OpenVPN.
Also, nichts wert.
Willst du belehren oder helfen ?
Ich bin ja deinem Link gefolgt und prompt fand sich das, was dort als Wizard bezeichnet wurde nicht in meinem brandneuen OpenVPN.
Also, nichts wert.
Willst du belehren oder helfen ?
@129580:
Das ist der Link zum Einrichten der Zertifikate:
https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide#Downloadin ...
Jetzt stellt dir bitte vor, jemand kennt sich eigentlich nicht so richtig aus, will aber trotzdem sicher per VPN zum Server verbinden.
Ein Dialog, der die Schritte im Link oben abbildet ist ganz sicher wesentlich schneller, als editieren und Kommandozeile
und vor allem sicherer.
Man kann halt nicht erwarten, daß Open Source alles vorkaut. Das verstehe ich und akzeptiere es natürlich.
Die Kommandozeile ist sicher flexibler, ganz klar und Admins sind sicher schneller damit, aber wenn es darum
geht dem Unkundigen die Sache möglichst einfach und sicher zu gestalten, ist sie ganz sicher nicht die 1. Wahl
Das ist der Link zum Einrichten der Zertifikate:
https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide#Downloadin ...
Jetzt stellt dir bitte vor, jemand kennt sich eigentlich nicht so richtig aus, will aber trotzdem sicher per VPN zum Server verbinden.
Ein Dialog, der die Schritte im Link oben abbildet ist ganz sicher wesentlich schneller, als editieren und Kommandozeile
und vor allem sicherer.
Man kann halt nicht erwarten, daß Open Source alles vorkaut. Das verstehe ich und akzeptiere es natürlich.
Die Kommandozeile ist sicher flexibler, ganz klar und Admins sind sicher schneller damit, aber wenn es darum
geht dem Unkundigen die Sache möglichst einfach und sicher zu gestalten, ist sie ganz sicher nicht die 1. Wahl
Zitat von @bk900042:
Ich bin ja deinem Link gefolgt und prompt fand sich das, was dort als Wizard bezeichnet wurde nicht in meinem brandneuen OpenVPN.
Also, nichts wert.
Ich bin ja deinem Link gefolgt und prompt fand sich das, was dort als Wizard bezeichnet wurde nicht in meinem brandneuen OpenVPN.
Also, nichts wert.
Mit dem OpenVPN Client kannst du weder Zertifikate noch automatisiert eine Server/Client Konfiguration erstellen. Solch einen Luxus gibt es nur mit Drittanbieter Software wie z.B der Wizzard auf der pfSense.
Von daher die Frage: was macht du genau? Die Links von @aqui beschreiben die notwendigen Vorgänge doch exakt?!
Nicht ganz.... Auch auf dem Client ist die easyrsa Suite immer mit dabei !
Man muss sich dann allerdings auf die Eingabeaufforderung begeben
Man muss sich dann allerdings auf die Eingabeaufforderung begeben
Zitat von @aqui:
Nicht ganz.... Auch auf dem Client ist die easyrsa Suite immer mit dabei !
Man muss sich dann allerdings auf die Eingabeaufforderung begeben
Nicht ganz.... Auch auf dem Client ist die easyrsa Suite immer mit dabei !
Man muss sich dann allerdings auf die Eingabeaufforderung begeben
Korrekt. Alledings sind die easyrsa ein spezielles Script, was nicht Bestandteil des OpenVPN Clients ist. Bei der Installation kann man das noch zusätzlich mitinstallieren. Und das Script erstellt nur die Zertifikate - keine OVPN Server/Client Konfiguration.
@129580
So weit ich verstanden habe gibt es keine Client oder Server sondern eine Software und Client- und Server Konfigurationen.
Ist das falsch ?
"Ich bin ja deinem Link gefolgt und prompt fand sich das, was dort als Wizard bezeichnet wurde nicht in meinem brandneuen OpenVPN.
Also, nichts wert."
Echt, bist du die ganzen Links durchgegangen ? Und du bist auch der Meinung das ist hilfreich (insbesondere auf die ursprüngliche Frage:
"Auf dem Client möchte ich aber die Internetverbindung nicht über den Server laufen lassen. Lese immer das wäre der Fall.
Möchte nur RDP und Git tunneln. Ist das so möglich. Muss ich was beachten ?"
So weit ich verstanden habe gibt es keine Client oder Server sondern eine Software und Client- und Server Konfigurationen.
Ist das falsch ?
"Ich bin ja deinem Link gefolgt und prompt fand sich das, was dort als Wizard bezeichnet wurde nicht in meinem brandneuen OpenVPN.
Also, nichts wert."
Echt, bist du die ganzen Links durchgegangen ? Und du bist auch der Meinung das ist hilfreich (insbesondere auf die ursprüngliche Frage:
"Auf dem Client möchte ich aber die Internetverbindung nicht über den Server laufen lassen. Lese immer das wäre der Fall.
Möchte nur RDP und Git tunneln. Ist das so möglich. Muss ich was beachten ?"
So weit ich verstanden habe gibt es keine Client oder Server sondern eine Software und Client- und Server Konfigurationen.
Ist das falsch ?
Ist das falsch ?
Nein, das ist richtig. Die OpenVPN Software kann als Server oder als Client fungieren oder beides gleichzeitig, wenn mehrere Tunnel aktiv sind.
Zu dem Rest...wie gesagt die easy-rsa ist ein separates Tool. Im OpenVPN Client findet man deshalb dazu nichts. Wie in der Dokumentation steht, die @aqui oben verlinkt hat, findest du diese in diesem Pfad: \Program Files\OpenVPN\easy-rsa. (Außer du hast während der Installation einen anderen Pfad angegeben). Dann einfach nur noch die CMD/Powershell öffnen und in das Verzeichnis Wechseln und die Schritte, die in der Dokumentation angegeben wurden, durchführen.
Alternativ kannst du eben die Zertifikate auch über die GUI erstellen. Dazu brauchst du eine separate Software z.B. XCA. Die Step by Step Anleitungen dazu, hat @aqui bereits oben gepostet.
Die easy-rsa scheint nur eine Skript Sammlung zu sein. Die Skripte dienen wohl dazu die CA (Certificate Authority) und die Zertifikate
für Server und Client zu erstellen.
Wie gesagt:
Die Links von @aqui finde ich total übertrieben. Viel zu viel Information. Kontraproduktiv!
Der Link zur aktuellen Anleitung ist dieser:
https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide#Downloadin ...
Wenn ich allerdings dieser Anleitung folge, wird keine der Dateien:
ca.crt
dh1024.pem
server.crt
server.key
erstellt. Die Logs sind leer. Sowohl im direkten Log Pfad als auch unter user/openvpn.
Wenn jemand hierzu - ohne 100 Links direkt einen Hinweis hat, vielen Dank. (Links googlen kann ich natürlich selbst).
für Server und Client zu erstellen.
Wie gesagt:
Die Links von @aqui finde ich total übertrieben. Viel zu viel Information. Kontraproduktiv!
Der Link zur aktuellen Anleitung ist dieser:
https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide#Downloadin ...
Wenn ich allerdings dieser Anleitung folge, wird keine der Dateien:
ca.crt
dh1024.pem
server.crt
server.key
erstellt. Die Logs sind leer. Sowohl im direkten Log Pfad als auch unter user/openvpn.
Wenn jemand hierzu - ohne 100 Links direkt einen Hinweis hat, vielen Dank. (Links googlen kann ich natürlich selbst).
Die Links von @aqui finde ich total übertrieben. Viel zu viel Information. Kontraproduktiv!
Geschmacksache. Ich finde die Links sehr hilfreich. Insbesondere wenn man Neuling ist und man sich informieren möchte, wie das Funktioniert und wie man das Einrichtet. Wenn es dir nur um eine schnell Einrichtung geht, nach dem Motto "Hauptsache es läuft", dann kann ich es nachvollziehen. Allerdings hängt es dafür an allen Ecken, wenn man sich nicht auskennt.
Wenn ich allerdings dieser Anleitung folge, wird keine der Dateien:
ca.crt
dh1024.pem
server.crt
server.key
erstellt. Die Logs sind leer. Sowohl im direkten Log Pfad als auch unter user/openvpn.
ca.crt
dh1024.pem
server.crt
server.key
erstellt. Die Logs sind leer. Sowohl im direkten Log Pfad als auch unter user/openvpn.
Was kam denn als Output auf der Console? Normalerweise sollten die Zertifikate unter Windows in diesem Verzeichnis liegen: C:\Program Files\OpenVPN\easy-rsa\. Fehlen diese dort?
Kein Ordner Vars. Die Konsole gibt auch keine Fehler aus.
Der Ordner mit den Skripten heisst
In diesem sollten (nach Anleitung) auch die besagten Dateien erstellt werden. Da sind sie nur leider nicht.
Es fängt an mit dem Skript init-config. Das erstellt ein jungfräuliches vars.bat. Das editiere ich. Hier könnte es sein, daß man ein Fehler macht
(weshalb ja auch Dialoggeführt besser ist).
Dann starte führe ich vars. bat aus. Konsole sagt nichts.
Dann führe ich clean-all aus. Nun sagt die Konsole 2 x 1 Datei kopiert.
Der Ordner mit den Skripten heisst
C:\Program Files\OpenVPN\easy-rsaIn diesem sollten (nach Anleitung) auch die besagten Dateien erstellt werden. Da sind sie nur leider nicht.
Es fängt an mit dem Skript init-config. Das erstellt ein jungfräuliches vars.bat. Das editiere ich. Hier könnte es sein, daß man ein Fehler macht
(weshalb ja auch Dialoggeführt besser ist).
Dann starte führe ich vars. bat aus. Konsole sagt nichts.
Dann führe ich clean-all aus. Nun sagt die Konsole 2 x 1 Datei kopiert.
Jetzt habe mich mal die Konsole (cmd) als Admin gestartet. Jetzt wird im Verzeichnis
ein Unterverzeichnis
erstellt, darin die besagten Dateien nur eine Datei
heisst statt
..easy-rsakeys01.pemdh1024.pemDas erstellt ein jungfräuliches vars.bat. Das editiere ich. Hier könnte es sein, daß man ein Fehler macht
(weshalb ja auch Dialoggeführt besser ist).
(weshalb ja auch Dialoggeführt besser ist).
Nich wirklich. Diese "vars.bat" dient lediglich als Vorlage, damit du nicht für jedes Zertifikat die einzelnen Felder (COUNTRY, PROVINCE, CITY...) ausfüllen musst. Wäre dort ein Fehler enthalten bzw. eine Variable nicht ordentlich initialisiert, dann hätte das Script den Punkt explizit nochmal abgefragt.
Zitat von @bk900042:
Jetzt habe mich mal die Konsole (cmd) als Admin gestartet. Jetzt wird im Verzeichnis
ein Unterverzeichnis
erstellt, darin die besagten Dateien nur eine Datei
heisst statt
Jetzt habe mich mal die Konsole (cmd) als Admin gestartet. Jetzt wird im Verzeichnis
..easy-rsakeys01.pemdh1024.pemSorry aber keine Ahnung was du da veranstaltest. Aber wenn du es nicht hinbekommst, die einfachsten Step-by-Step Tutorials nachzugehen und du auch kein Interesse hast, dich über OpenVPN zu informieren, dann solltest du dein Vorhaben von jemanden machen lassen, der Ahnung davon hat. Die Tutorials funktionieren garantiert. Auch die Variante über die GUI und auch mit den easy-rsa Scripten. Egal ob Windows oder Linux. Eigentlich nur eine Sache von weniger als 3 Minuten...
Um es auf den Punkt zu bringen: Man muss die Konsole mit Admin Rechten starten.
Danke für dein Bemühen.
Danke für dein Bemühen.
