OpenVPN - Einrichtungsprobleme

Servus zusammen,

ich mache meine ersten Gehversuche mit OpenVPN.

Ich bin nach der Anleitung hier vorgegangen:
https://www.mva.ch/support/tech-blog/techblog-openvpn/openvpn-unter-wind ...

Die Adressen dementsprechend angepasst.

Ich bekomme die Verbindung aufgebaut, kann aber nur vom OpenVPNServer aus den Client pingen. Aber mehr geht nicht.

OpenVPN 2.4.6.0 auf Server 2016
Client W10 1803

Anbindung:

Server:
www - Firewall mit Forwarding auf UDP 5000 - Hyper-V 2016 mit OpenVPN Server
www - ext-ip -192.168.0.252/24 (intern FW) - Server 192.168.0.25/24

Client:
www - irgendein Router - Win10 1803 (hier im Test 192.168.200.112/24

Ziel soll sein, dass das Notebook von außen durch den Tunnel an das komplette Netz 192.168.0.0/24 dran kommt.

Serverlogs:

Server.log ist leer, wird aber beim Dienststart erzeugt







Die Verbindung steht, ich kann den Client vom Server aus anpingen. Aber ich komme weder über 10.10.10.1 noch über die 192.168.0.25 an den Server vom Client aus irgendwie dran.
Firewalls sind auf beiden Seiten deaktiviert.

Kann mir jemand sagen, wo ich meinen Fehler gemacht habe, oder mir den Denkanstoß in die richtige Richtung geben ?

Danke und Grüße, Henere

Content-Key: 392194

Url: https://administrator.de/contentid/392194

Ausgedruckt am: 01.12.2021 um 11:12 Uhr

Mitglied: dark.cube
dark.cube 10.11.2018 um 03:47:06 Uhr
Goto Top
Schon etwas spät, ich werf daher nur mal ein Stichwort: Routing.
Mitglied: Henere
Henere 10.11.2018 aktualisiert um 04:06:04 Uhr
Goto Top
Zitat von @dark.cube:

Schon etwas spät, ich werf daher nur mal ein Stichwort: Routing.

In der Richtung bin ich am suchen, aber ich finde den Fehler nicht.


Aber die Route ist beim Client mit der Einwahl gesetzt.



Henere
Mitglied: Henere
Henere 10.11.2018 aktualisiert um 05:04:30 Uhr
Goto Top
Ok, ich habe auf dem OpenVPN-Server noch das LAN-Routing aktiviert.
Nun habe ich Zugriff auf den Server, Client to VPN-Server geht jetzt endlich.

Jetzt mal weiterbasteln. Entweder fehlt den anderen Rechnern im Netz 192.168.0.0/24 die Rückroute, oder ich hab noch nen anderen Fehler.
Hatte gehofft, der macht automatisch NAT ?

Brauche nur den Hinweis, muss ich an der Seite OpenVPN-Server weiter suchen (Routing und RAS, bzw NAT) oder an der Config des VPNs ?

Für Tipps bin ich gerne offen.
Henere
Mitglied: Henere
Henere 10.11.2018 um 06:35:47 Uhr
Goto Top
Ok, wenn ich auf den Rechnern im 192.168.0.0/24 Netz die Rückrouten eintrage geht es.


Aber das ist nicht befriedigend. Sobald ich jedoch auf dem OVPN-Server das NAT aktiviere geht keine Kommunikation mehr.

Freu mich, nach dem ausschalfen evtl nen hilfreichen Tipp zu lesen.

Danke und schönes Wochenende.

Henere
Mitglied: aqui
Lösung aqui 10.11.2018, aktualisiert am 04.02.2020 um 09:28:11 Uhr
Goto Top
Das ist immer wieder die gleiche Leier wenn man Winblows als Server verwendet.
Das Problem ist dort das die Netzwerk Autoerkennung auf dem virtuellen OpenVPN Adapter nicht funktioniert und dann dieser Adapter im Firewall Profil als öffentliches Netz deklariert wird und damit dann die Maximalfilter bekommt.
Traffic kann so nicht passieren.
Lösung: Den virtuellen OVPN Adapter als privates Netz im Firewall Setup deklarieren.

Zweites Problem bei Ping: Ebenfalls die Firewall. ICMP (Ping) ist per Default deaktiviert.
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen

Sind diese Grundhürden bei Winblows umschifft ist der Rest nicht mehr schwer.
Bei einem Client Dialin sind diese zusätzlichen statischen Routen oben natürlich Quatsch. Das zeigt eher das die Server Konfig Datei falsch oder fehlerhaft ist.
Das Push Route Kommando reicht dort. Bei LAN to LAN Verbindung muss sie ggf. addiert werden.
NAT in einem VPN zu aktivieren ist auch Unsinn, denn das sind interne Netze die man ja immer transparent routen kann. Das Aktivieren von NAT schafft eher Probleme, da damit ja logischerweise die NAT Firewall dann auf dem Tunneladapter aktiv ist und Routing dann zur Einbahnstrasse wird.
Ein grundsätzlicher Fehler der oft gemacht wird. NAT gehört AUS !

Ein weiterer Kardinalsfehler der bei internen OVPN Server gemacht wird ist die Nichtbeachtung des internen OVPN IP Netzes und das Routing dorthin !! Hier im Beispiel das Netzwerk 10.10.10.0 /24 !
Greift ein OVPN Client von remote via VPN auf einen Client im Netzwerk 192.168.0.0 /24 zu dann hat er als Absender IP eine Adresse aus dem 10er Netz z.B. 10.10.10.111.
Greift er damit auf einen Client zu mit der lokalen LAN IP 192.168.0.200 dann muss der ja die Antwort an ein fremdes IP Netz schicken, sprich das 10er OVPN Netz.
Dazu schickt er das Antwortpaket dann an seine konfigurierte Default Gateway IP im LAN. In der Regel ist das ein Router mit der IP 192.168.0.1 (Beispiel oben).
Der Router schaut nun in seiner Routing Tabelle nach ob er eine statische Route in das OVPN 10er Netz hat via lokaler LAN IP des OVPN Server Rechners.
Hat er sie, dann schickt er das IP Paket dahin und alles ist gut.
Hat er sie NICHT schickt er das IP Paket zu seiner Default Route an den Internet Provider wo sie dann im Nirwana verschwindet ! (Private RFC 1918 IPs, zu denen die 10er IP gehört, werden im Internet NICHT geroutet !)
Vermutlich ist das letztere hier wie leider so häufig der Fall :-( face-sad
Fazit: Die statische Route im Internet Router fehlt !
So sähe es aus wenn man alles richtig macht !:

ovpnintern

Bei Winblows kann man sich mit route print imm der Routing Tabelle ansehen um zu überprüfen das das IP Routing korrekt läuft. Diese Info fehlt leider auch mal wieder oben :-( face-sad

Das Beispiel zeigt das es generell kontraproduktiv ist einen VPN Server intern zu betreiben. Man muss a. ein Loch in die Firewall bohren und ungeschützt Traffic von außen ins lokale LAN forwarden (Security). Und b. hat man die entsprechende Routing Probleme zu lösen.
Fazit: Wenn immer möglich gehört ein VPN Server auf die Peripherie, sprich also Router oder Firewall.

Weitere Fehler in der o.a. Server Konfig:

Noch besser: Den OVPN Server auf einem dedizierten System laufen lassen wie z.B. einem Raspberry Pi:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
Mitglied: 129580
129580 10.11.2018 aktualisiert um 10:00:37 Uhr
Goto Top
Moin,

(Private RFC 1019 IPs zu denen die 10er IP gehört werden im Internet NICHT geroutet !)

was sind denn RFC 1019 IPs? Laut Google bzw. IETF wäre das "Report of the Workshop on Environments for Computational Mathematics".
Du meintest wohl RFC 1918? :-D face-big-smile

Viele Grüße
Exception
Mitglied: aqui
aqui 10.11.2018 aktualisiert um 15:13:21 Uhr
Goto Top
Sorry, ja natürlich ;-) face-wink Private IPs, RFC 1918 sollte das natürlich heissen...
https://de.wikipedia.org/wiki/Private_IP-Adresse
Mitglied: zeroblue2005
zeroblue2005 11.11.2018 aktualisiert um 10:55:04 Uhr
Goto Top
Hallo Zusammen,

ich bin jetzt heute Morgen auf das gleiche Problem wie Henere gestossen, dass zwar diverse IP erreicht werden können, aber eben nicht alle bzw. diverse Drucker nicht erreichbar sind. Wenn ich das Problem richtig verstanden habe, liegt es zum daran, dass eben der OpenVPN-Server hinter der NAT sitzt, zum zweiten das Win-Doof den VPN-Tunnel als nicht idetifizierbare-Netzwerk setzt und zum dritten ein Rückroute fehlt, richtig, vereinfacht gesagt?

Problem eins kann man ja so einfach nicht ändern. Setze ich mal als gegeben.

Problem zwei habe ich gelöst und das nicht idetifizierbare Netzwerk auf Client und Server Seite auf Privat gesetzt. Er findet nun alle IPs die ich anpingen will. Aber wenn ich über den Webbrowser auf die Web-GUI des Druckers will kommt da keine Verbindung oder nicht gefunden. Dies habe ich nicht über den DNS namen gemacht, sondern direkt über die IP. Drucker hat IP, Gateway und DNS Eintrag.

Bei Problem drei habe ich jetzt ein wenig ein Verständnisproblem, sorry.

Wenn ein Clientnetz aus z.B. einem 192.168.1.0/24 Netz kommt und das Ziel/VPN Netz 192.168.4.0/24 hat muss ich im Router des Ziel/VPN Netzes eine Rückroute auf das Clientnetz 192.168.1.0/24 setzen?

Wenn dem so ist, wäre das mal richtig sch... in meinem Fall, da die/der Benutzer in meinem Fall zwischen verschiedenen Netzen wechselt!

Danke...
Mitglied: 129580
129580 11.11.2018 aktualisiert um 11:47:52 Uhr
Goto Top
Hallo,

@zeroblue2005
Bitte am besten dein Problem im alten Thread von dir oder in einem neuen Thread posten, da dies ja der Thread von @Henere ist und man ansonsten nur in die Quere kommt, wenn hier verschiedene Probleme besprochen wird.

Ansonsten ist das relativ simple. Du hast ein Site-to-Site Tunnel mit folgenden Netzen:
Lokales Netz: 192.168.1.0/24
Remote Netz: 192.168.4.0/24
VPN Netz: 10.19.15.0/24

Beim lokalen Netz muss eine Route auf das Remote Netz geben. Als Gateway der VPN.
Umgekehrt muss beim Remote Netz die Route auf das lokale Netz gegeben sein, ansonsten ist ja keine Antwort möglich - logisch ;-) face-wink
Da es sich alles um private RFC 1918 IP Adressen handeln, brauchst du auch kein NAT.

Die Routen musst du jeweils beim Router der jeweiligen Seite einrichten, da der OpenVPN auf einer Windows Kiste im internen Netz steht.
Alle Clients haben ja ansonsten nur den Router als Gateway und bräuchten dann jeweils eine statische Route, was natürlich Unsinn ist.

Anschließend musst du noch Firewall Regeln (falls vorhanden) natürlich anpassen.
Danach sollte alles wie gewünscht funktionieren.

Viele Grüße,
Exception
Mitglied: zeroblue2005
zeroblue2005 11.11.2018 um 11:53:29 Uhr
Goto Top
Alles Klar und sorry, dachte, dass das Thema hier besser passen würde, als in meinem Ursprungsthema... aber verstehe ich!

Danke versuche es umzusetzen...
Mitglied: 129580
129580 11.11.2018 aktualisiert um 12:08:32 Uhr
Goto Top
in meinem Fall, da die/der Benutzer in meinem Fall zwischen verschiedenen Netzen wechselt!

Dann bräuchtest du ein Remote Access VPN. Der OpenVPN Client wird direkt auf der Workstation des Benutzers installiert und eingerichtet.
Der Client erhält somit direkt eine IP-Adresse aus dem VPN Netz. Beim Router des Remote Netzwerks muss dann halt die Route für das VPN Netzwerks eingerichtet werden, damit der Rückweg funktioniert. Der Benutzer muss dann selbstständig den OpenVPN Client starten. Das kann aber auch automatisch über die Windows Dienste erfolgen.
Mitglied: zeroblue2005
zeroblue2005 11.11.2018 um 12:14:14 Uhr
Goto Top
Du wirst jetzt vieleicht lachen, aber ich habe eine Krücke gefunden, wie das Routen für die Drucker funktioniert...

In meinem Fall läuft der OpenVpn-Server ja auf einen Windows-File Server auf basis von Win-10 Pro. Das Ziel war es diesen erreichbar zu machen. Das klappt auch. Das Problem war jetzt nur noch dass zwei Drucker auch erreichbar sein sollten. Tja und hier ging eben nichts durch an Druckaufträge, weil eben die Rückroute fehlt.

Also habe ich mir gedacht, wenn der File-Server ohne Probleme läuft bzw. erreichbar ist, macht er was richtig, was die Drucker eben falsch machen! Liegt wahrscheinlich daran, dass der OpenVPN-Server auf dem File-Server werkelt.

Also habe ich einfach, die beiden IP-Drucker auf dem File-Server eingerichtet und diese Freigegeben. Dann habe ich den VPN-Client gesagt, binde diesen Freigegeben Drucker auf dem File-Server in das VPN-Client System ein und siehe einer an, es klappt! Ich gehe einfach mal davon aus, dass vereinfacht gesagt die Kommunikation zwischen Client<<<>>>File-Server<<<>>>Drucker über den FileServer geroutet wird und wenn das klappt, dann kann ich mit der Krücke leben!
Mitglied: Henere
Henere 11.11.2018 um 20:32:48 Uhr
Goto Top
Servus Aqui,

danke für den ausführlichen Kommentar.
Das mit dem MDNS stört mich nicht im geringsten, ich bestimme den Teil, der hinter dem Router läuft. Genauso wenig der TCP-Port.
Port 5000 schlägt auf der Zyxel auf und wird dann weiter an den OpenVPN-Server geleitet. Egal auf wie vielen Rechnern im Hintergrund noch ein Listenport 5000 offen ist.

Ich habe es mittlerweile komplett am Laufen, ich hatte nur den Denkfehler gemacht, dass ich von NAT ausging und nicht per Wireshark nachgeschaut hatte, von welchen Adressen denn die Anfragen kommen. Diese kommen mit meiner Config von dem vergebenen DHCP-10er Bereich.
Auf dem Zyxel hatte ich noch eine Route hinzugefügt, diese aber dann wieder verworfen. Die Rückroute wird nur auf den wenigen Rechnern angewendet, die auch tatsächlich über das VPN anprechbar sein sollen. Klar kann nun der gewiefte Hacker...... aber das ist alles ein Schritt Mehraufwand um da die Server zu kommen.

Ich habe jetzt das Angebot eines befreundeten Linuxgurus bekommen, dass wir das zusammen nochmal auf CentOS aufsetzen.
Dann auch gleich in der DMZ und mit einem Check (TA meinte ich gehört zu haben) zu versehen, dass der OpenVPN-Server erst antwortet, nachdem er ein spezielles Paket bekommen hat. Derzeit ist er von außen nur von 2 Quell-IPs zu erreichen, ist ja alles noch im Test und Ausbau.

So kann ich den auf Port TCP 443 laufen lassen (somit sollte Erreichbarkeit von 99% aller Internetcafes, HotSpots, Handynetze und sonstigen Quellen gewährleistet sein) und muss mir weniger Gedanken um Scriptkiddies machen. Der Webauftritt und der Mailer liegen eh extern. Und die Zyxel muss nicht per Web-Gui erreichbar sein von aussen.

Danke für die Unterstützung,

Henere
Mitglied: aqui
aqui 12.11.2018 um 00:02:27 Uhr
Goto Top
eines befreundeten Linuxgurus bekommen,
Selber zum Linux Guru werden indem du dir mal einen Raspberry Pi kaufst, übst und es SELBER machst ;-) face-wink
Winblows Knechte hat die Welt ja schon mehr als genug... face-monkey
https://www.administrator.de/wissen/netzwerk-management-server-raspberry ...
Mitglied: Henere
Henere 12.11.2018 um 04:22:06 Uhr
Goto Top
Ich bezweifele, dass der RaPSi den VPN Durchsatz bei AES512 oder höher hinbekommt, oder denke ich da falsch ?
Mir geht es nicht um ein paar RDP-Pakete, sondern vollen Leitungsdurchsatz.
Das was der Typ auf dem Kasten hat, kann ich in 40 Jahren nicht mehr lernen. Leider hat er wenig Zeit.

Ich bekomme das mit Sicherheit auf auf einem Lunix hin, das ist nicht die Frage. Die Frage ist, ob ich noch an alles denken kann, was der jeden Tag beruflich anstellt. Tutorials für Anfänger zum nachtippen gibts genug. Aber ob das dann wirklich sicher ist ?
Ich denke jetz tnicht an Lücken in irgendwelchen Libraries sondern so einfache Sachen, wie dieses "Auth" vorher. Kann ich dein Paket entschlüsseln, so darfst Du es am eigentlichen OpenVPN-Server probieren. Daran würde ich nicht denken.

Es gibt Sachen, wenn Business ins Spiel kommt, die sollte einfach jemand machen, der das täglich macht.
Bei nem privaten Anschluss sind die Folgen nicht so kostspielig im Fehlerfall.

Henere
Mitglied: aqui
aqui 12.11.2018 um 11:03:26 Uhr
Goto Top
oder denke ich da falsch ?
Da denkst du falsch, denn der ARM hat extra Silizium dafür !
Die Achillesferse beim RasPi ist die Anbindung des LAN Ports. Dessen Chip hängt am internen USB Hub und der begrenzt den Netzwerk Durchsatz. Nicht die Kryptologie.
https://jankarres.de/2016/03/raspberry-pi-3-performance-und-leistungsauf ...
Was ist den "Lunix" ?? :-) face-smile
Mitglied: Henere
Henere 12.11.2018 um 13:31:29 Uhr
Goto Top
Eine Zusammenfassung von Linux, Unix, und anderem was darauf basiert.

Mag verlockend klingen, aber ... hmm... wie rede ich mich jetzt am Besten raus ? .... Eine VM hat den Vorteil, dass sie direkt in die Sicherung mit einfliessen kann. Sonst hab ich noch nen extra Schritt.

Aber danke für den Hinweis.

Grüße, Henere
Mitglied: 129580
129580 12.11.2018 um 14:59:28 Uhr
Goto Top
Moin,

Mag verlockend klingen, aber ... hmm... wie rede ich mich jetzt am Besten raus ? .... Eine VM hat den Vorteil, dass sie direkt in die Sicherung mit einfliessen kann. Sonst hab ich noch nen extra Schritt.

Was musst du bei dem Raspberry Pi großartig sichern außer der OpenVPN Konfiguration + Zertifikate?
Das kann man mit einem simplen Bash Script realisieren.

Außer der Pi wird neben den VPN noch für andere Zwecke verwendet.

Viele Grüße,
Exception
Mitglied: Henere
Henere 13.11.2018 um 04:00:20 Uhr
Goto Top
Warum wollt ihr mich mit Gewalt zum Raspi bringen ? ;-) face-wink
Heiß diskutierte Beiträge
question
Euro Zeichen geht nicht mehr gelöst GwaihirVor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 1 TagFrageWindows 1011 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...

question
Mini PC lüfterlossurvial555Vor 1 TagFrageHardware8 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer guten Lösung über System für staubintensive UmgebungenIch setzte zur Zeit 4 PCs in einem Lagerumfeld ein, ...

question
Online Kalender gesuchtStefanKittelVor 1 TagFrageInternet8 Kommentare

Hallo, ein Kunde von mir sucht einen Online-Kalender zur Raumreservierung. Keine Datenschutzrelevanten Informationen. Es geht um 3-4 Besprechungsräume in einem Gebäude wo mehrere Firmen sind. ...

info
(Gehäuse) Schutzklasse wie IP60 und was die Zahlen bedeutenSt-AndreasVor 1 TagInformationHardware4 Kommentare

Schutzklassen wie IP51 oder IP6X ließt man immer wieder mal, vor allem bei Gehäusen oder mobilen Geräten. Wenn man besondere Anforderungen an ein Gerät (staubdicht, ...

question
Nextcloud - out of syncRoadmaxVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, wir betreiben eine eigene interne Nextcloud 15 Instanz auf einem Ubuntu 16.04 mit Apache und haben seit geraumer Zeit immer mehr Probleme. 1. ...

question
Netzwerkanmeldung auf ServermartenkVor 1 TagFrageWindows 1110 Kommentare

Hallo Gemeinschaft, habe einen Windows 11 Rechner, mit dem ich über VPN Scresoft ein Laufwerk von einem Server mappen möchte mit einem Windows 10 Rechner ...

question
Welchen Router, Board für Pfsense, OpenVPN? gelöst ROBCB19Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo zusammen, ich suche Hardware für pfsense und Openvpn. Es sollten 10 VPN Verbindungen gleichzeitig möglich sein. Lese mich schon den 2ten Tag in die ...