Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN feste ClientIP

Mitglied: TP-Alex

TP-Alex (Level 1) - Jetzt verbinden

13.12.2015 um 16:34 Uhr, 817 Aufrufe, 8 Kommentare

Hallo,

ich hatte vor kurzem ein Problem, das ich dank Eurer Hilfe lösen konnte. Leider gibt es jetzt ein neues.

Ich vergebe bei OpenVPN feste IP-Adressen an die Clients. Das mache ich mit "ifconfig-push clientip serverip"

Windows ist leider am schimpfen, dass die beiden IPs nicht im selben Netz liegen. Ich habe die Adressen dann ins selbe Netz gelegt und dann war das Problem, dass die nicht im selben /30 waren.
Sagen wir mal ich habe ein 8.8.8.192/27 (Netz ist fiktiv) und möchte 25 Clients damit versorgen. Ich kann ja nicht jede 2. IP für den Server reservieren. Bei Linux kommt zwar eine Informationswarung, es funktioniert aber dennoch.

Ich schreibe meine Fragen mal direkt hinter die für mich komischen Einträge und makiere die mit !!!###
Alle Zeilen die mit !!!### beginnen sind in den Dateien/Ausgaben nicht vorhanden.

Verbindungsaufbau von einen Linuxsystem aus

root@julex-linux:~# openvpn client.ovpn
Sun Dec 13 16:12:27 2015 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Dec 1 2014
Sun Dec 13 16:12:27 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Dec 13 16:12:27 2015 WARNING: file 'dolex.key' is group or others accessible
!!!### Woher kommt diese Warnung?
Sun Dec 13 16:12:27 2015 LZO compression initialized
Sun Dec 13 16:12:27 2015 Control Channel MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]
Sun Dec 13 16:12:27 2015 Socket Buffers: R=[87380->131072] S=[16384->131072]
Sun Dec 13 16:12:27 2015 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Dec 13 16:12:27 2015 Local Options hash (VER=V4): '69109d17'
Sun Dec 13 16:12:27 2015 Expected Remote Options hash (VER=V4): 'c0103fa8'
Sun Dec 13 16:12:27 2015 Attempting to establish TCP connection with [AF_INET]17.17.17.62:1194 [nonblock]
Sun Dec 13 16:12:28 2015 TCP connection established with [AF_INET]17.17.17.62:1194
Sun Dec 13 16:12:28 2015 TCPv4_CLIENT link local: [undef]
Sun Dec 13 16:12:28 2015 TCPv4_CLIENT link remote: [AF_INET]17.17.17.62:1194
Sun Dec 13 16:12:28 2015 TLS: Initial packet from [AF_INET]17.17.17.62:1194, sid=cec2f3b3 57e62f1d
Sun Dec 13 16:12:28 2015 VERIFY OK: depth=1, /C=DE/ST=LAND/L=City/O=Oichs/OU=xxx/CN=xxx.de/name=EasyRSA/emailAddress=webmaster@xxx.de
Sun Dec 13 16:12:28 2015 VERIFY OK: nsCertType=SERVER
Sun Dec 13 16:12:28 2015 VERIFY OK: depth=0, /C=DE/ST=NRW/L=City/O=Oichs/OU=MyOrganizationalUnit/CN=vpn.xxx.de/name=EasyRSA/emailAddress=webmaster@xxx.de
Sun Dec 13 16:12:29 2015 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Dec 13 16:12:29 2015 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 13 16:12:29 2015 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Dec 13 16:12:29 2015 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Dec 13 16:12:29 2015 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Sun Dec 13 16:12:29 2015 [vpn.xxx.de] Peer Connection Initiated with [AF_INET]17.17.17.62:1194
Sun Dec 13 16:12:31 2015 SENT CONTROL [vpn.xxx.de]: 'PUSH_REQUEST' (status=1)
Sun Dec 13 16:12:31 2015 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway,route 0.0.0.0 0.0.0.0,dhcp-option DNS 8.8.8.8,dhcp-option WINS 8.8.8.8,route 25.25.25.192 255.255.255.224,topology net30,ping 10,ping-restart 120,ifconfig 25.25.25.222 25.25.25.193'
!!!### Statt der 25.25.25.193 würde ich lieber die 17.17.17.62 nehmen. Dann gibt es aber noch mehr Probleme.
!!!### Windows will immer, dass die 25.25.25.222 und 25.25.25.193 aus einem /30 kommen.
!!!###Liegt das an dem "topology net30" und wenn ja woher kommt das?
Sun Dec 13 16:12:31 2015 OPTIONS IMPORT: timers and/or timeouts modified
Sun Dec 13 16:12:31 2015 OPTIONS IMPORT: --ifconfig/up options modified
Sun Dec 13 16:12:31 2015 OPTIONS IMPORT: route options modified
Sun Dec 13 16:12:31 2015 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sun Dec 13 16:12:31 2015 ROUTE default_gateway=192.168.178.1
Sun Dec 13 16:12:31 2015 TUN/TAP device tun0 opened
Sun Dec 13 16:12:31 2015 TUN/TAP TX queue length set to 100
Sun Dec 13 16:12:31 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Dec 13 16:12:31 2015 /sbin/ifconfig tun0 25.25.25.222 pointopoint 25.25.25.193 mtu 1500
Sun Dec 13 16:12:31 2015 /sbin/route add -net 17.17.17.62 netmask 255.255.255.255 gw 192.168.178.1
Sun Dec 13 16:12:31 2015 /sbin/route del -net 0.0.0.0 netmask 0.0.0.0
Sun Dec 13 16:12:31 2015 /sbin/route add -net 0.0.0.0 netmask 0.0.0.0 gw 25.25.25.193
Sun Dec 13 16:12:31 2015 WARNING: potential route subnet conflict between local LAN [25.25.25.0/255.255.255.0] and remote VPN [0.0.0.0/0.0.0.0]
!!!### Woher kommt 25.25.25.0/255.255.255.0? Ich habe nur /27 und kein /24 vergeben.
Sun Dec 13 16:12:31 2015 /sbin/route add -net 0.0.0.0 netmask 0.0.0.0 gw 25.25.25.193
SIOCADDRT: File exists
Sun Dec 13 16:12:31 2015 ERROR: Linux route add command failed: external program exited with error status: 7
Sun Dec 13 16:12:31 2015 WARNING: potential route subnet conflict between local LAN [25.25.25.0/255.255.255.0] and remote VPN [25.25.25.192/255.255.255.224]
!!!### Die Warnung liegt bestimmt daran, dass die Netze sich überschneiden oder? Ich weiß noch immer nicht woher [25.25.25.0/255.255.255.0] kommt.
Sun Dec 13 16:12:31 2015 /sbin/route add -net 25.25.25.192 netmask 255.255.255.224 gw 25.25.25.193
Sun Dec 13 16:12:31 2015 Initialization Sequence Completed




server.conf

local 17.17.17.62
proto tcp
dev tun
ca /etc/openvpn/easy-rsa2/keys/ca.crt
cert /etc/openvpn/easy-rsa2/keys/xxx-vpn.crt
dh /etc/openvpn/easy-rsa2/keys/dh2048.pem
server 25.25.25.192 255.255.255.224
ifconfig-pool-persist ipp.txt
push "redirect-gateway"
push "route 0.0.0.0 0.0.0.0"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option WINS 8.8.8.8"
client-config-dir ccd
client-to-client
keepalive 10 120
auth SHA1
cipher BF-CBC
comp-lzo
persist-key
persist-tun
verb 3




Beispiel einer clientdatei in ccd

ifconfig-push 25.25.25.222 25.25.25.193




client.ovpn


  1. OpenVPN-Instanz als Client starten
client

  1. Je nach Verwendungszweck verwende TUN oder TAP
dev tun

  1. Nutze Protokoll TCP um durch Firewalls zu kommen
  2. andernfalls sollte man UDP verwenden (höherer Speed)
proto tcp

  1. Adresse und Port des VPN-Servers
remote 17.17.17.62 1194

  1. Endloser Reconnect-Versuch
resolv-retry infinite

  1. Beliebiger lokaler Port
nobind

  1. Verbindung immer gleich halten
persist-key
persist-tun

  1. Falls Proxy vorhanden, hier einstellen
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port]
ca ca.crt
cert dolex.crt
key dolex.key
  1. Authentifizierung per Zertifikaten
ns-cert-type server

  1. Hash-Algorithmus
auth SHA1

  1. Schnelle und sichere Blowfish-Verschlüsselung
cipher BF-CBC

  1. Kompression
comp-lzo

  1. Log-Level
verb 3
Mitglied: orcape
14.12.2015 um 08:49 Uhr
Hi,
Deine "fiktiven" IP-Bereiche scheinen mir etwas weit hergeholt. Such Dir aus den privaten IP-Bereichen etwas aus....
https://de.wikipedia.org/wiki/Private_IP-Adresse
..... und verwende dann eine Netzmaske mit 255.255.255.0 also /24 für den Tunnel. Mit einer /30 wirst Du mit mehreren Clients immer Probleme bekommen.
Gruß orcape
Bitte warten ..
Mitglied: TP-Alex
14.12.2015 um 09:51 Uhr
Es geht wirklich um öffentliche IP-Adressen. Wir möchten die dynamische IP-Adresse, die wir durch unseren Provider (z.B. Telekom VDSL) durch eine feste IP in die weite Welt ändern.
Bitte warten ..
Mitglied: orcape
14.12.2015 um 10:42 Uhr
Wir möchten die dynamische IP-Adresse, die wir durch unseren Provider (z.B. Telekom VDSL) durch eine feste IP in die weite Welt ändern.
Ich weiß nicht was Du da treibst, so funktioniert das nicht.
Du möchtest mehrere OpenVPN-Clients mit einem OpenVPN-Server verbinden, richtig ?
Wenn Du eine ständig wechselnde IP vom Provider erhältst, hast Du dann wenigstens einen DynDNS-Account für den Router des OpenVPN-Servers ?
Woher will der Client in der "großen weiten Welt" denn sonst wissen wo Dein Server ist ?
"remote 17.17.17.62 1194"
...oder ist 17.17.17.62 die vom Provider vergebene IP ????
Und verabschiede Dich von dieser abstrusen IP-Vergabe. OpenVPN läuft mit privaten IP 's, auch wenn die vom Provider erhaltenen IP-Bereiche öffentlich sind.
192.168.0.0 bis 192.168.255.255
172.16.0.0 bis 172.31.255.255
10.0.0.0 bis 10.255.255.255
Gruß orcape
Bitte warten ..
Mitglied: TP-Alex
14.12.2015 um 10:52 Uhr
Der OpenVPN-Server steht in einem Rechenzentrum und hat eine feste IP.

Ich möchte mich mit dem OpenVPN-Server verbinden und danach ein- sowie ausgehend eine andere IP-Adresse (und zwar eine feste) haben.


17.17.17.62 ist die feste öffentliche IP von dem OpenVPN-Server. Die IP ist von dem Rechenzentrumsprovider und wird auf den Server geroutet.
Das funktioniert soweit auch.
Bitte warten ..
Mitglied: 122990
14.12.2015, aktualisiert um 11:04 Uhr
Ich möchte mich mit dem OpenVPN-Server verbinden und danach ein- sowie ausgehend eine andere IP-Adresse (und zwar eine feste) haben.
Dann musst du nur den Traffic des OpenVPN-Netzes in der Firewall des Servers (Auf Linux meist iptables) NATen damit sie ins Internet kommen.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Der Befehl erklärt sich so:
iptables: das Kommandozeilenprogramm, mit dem wir den Kernel konfigurieren
-t nat Wähle die Tabelle "nat", um NAT zu betreiben.
-A POSTROUTING Füge eine Regel in der POSTROUTING-Kette ein (-A steht für "append").
-o eth0 Wir wollen Pakete, die den Router an der ersten Netzwerkschnittstelle "eth0" verlassen (-o für "output")...
-j MASQUERADE ... maskieren, der Router soll also seine eigene Adresse als Quelladresse setzen.

Statt eth0 nimmt man hier überlicherweise auch das OpenVPN-Tunnelinterface tun0 ...tunN

Gruß grexit
Bitte warten ..
Mitglied: TP-Alex
14.12.2015 um 11:03 Uhr
Dann gehen aber alle Clients mit der selben IP raus oder?

Ich möchte, dass jeder Client eine IP aus dem /27 bekommt.
Bitte warten ..
Mitglied: 122990
14.12.2015, aktualisiert um 11:07 Uhr
Zitat von TP-Alex:

Dann gehen aber alle Clients mit der selben IP raus oder?
In diesem Beispiel, ja.
Ich möchte, dass jeder Client eine IP aus dem /27 bekommt.
Das machst du ebenfalls problemlos mit iptables, nennt sich 1to1 NAT ...
http://www.cahilig.net/2010/10/28/how-enable-11-nat-iptables
Bitte warten ..
Mitglied: TP-Alex
14.12.2015 um 11:15 Uhr
Danke. ich werde das später mal testen.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Gastnetz mit zwei FritzBoxen im ClientIP Mode

gelöst Frage von BierkistenschlepperLAN, WAN, Wireless30 Kommentare

Hallo zusammen, da ich Softwareentwickler und nur Freizeit-Admin bin, wende ich mich hier mal an euch. Ich habe eine ...

Tipps & Tricks

OpenVPN Delegationen

Anleitung von agowa338Tipps & Tricks

Hallo, in dieser Anleitung möchte ich nur kurz erklären, wie man OpenVPN (unter Windows) am besten für Außendienst Mitarbeiter ...

Router & Routing

OpenVPN pfsense

gelöst Frage von sebastian2608Router & Routing5 Kommentare

Hallo Leute, mal eine Frage zu OpenVPN (via pfsense) Kann man zu einem OpenVPN Server auch mit dem "normalen" ...

Netzwerke

OpenVPN TLS

Frage von 121851Netzwerke4 Kommentare

Hallo zusammen, habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen ...

Neue Wissensbeiträge
Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 1 TagOff Topic2 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 1 TagWindows 105 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 2 TagenE-Mail11 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 2 TagenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Heiß diskutierte Inhalte
Hyper-V
Novell virtualisieren
Frage von spoboeHyper-V21 Kommentare

Hallo zusammen, ich habe absolut keine Ahnung von Novell, aber wir haben hier ein ganz altes Schätzchen (vermutlich Novell ...

Windows Server
Ungewollte IP Änderung am DC sorgt für Probleme
Frage von thomas-99Windows Server19 Kommentare

Hallo Zusammen, wir haben ein kleines Netz mit 5 verschiedenen VMs (DC, AD, Fileserver, Exchange, TK Anlage - alle ...

Netzwerkmanagement
Gateprotect Firewall - Internetseiten werden teilw. nicht geladen
Frage von KivasFNetzwerkmanagement16 Kommentare

Morgen Zusammen, ich habe ein Problem mit einer Gateprotect Firewall welches mir echt Kopfschmerzen bereitet. Die Firewall hängt an ...

Router & Routing
HP 2920 als Router konfigurieren. Bitte um Unterstützung
gelöst Frage von suedi123Router & Routing16 Kommentare

Liebe Forumsmitglieder, ich habe hier ein Problem, bei welchem ich nicht weiterkomme, weil ich mich zu wenig mit der ...