temuco
Goto Top

OpenVPN im Bridged-Modus - In das dahinter stehendes LAN routen

Hallo!

Nachdem ich hier über Weihnachten tolle Hilfe bekommen hatte (siehe OpenVPN - Ethernet-Tunnel - VERIFY ERROR...), kann ich jetzt VPN-Verbindungen im Bridged-Modus mit OpenVPN herstellen. Dafür nochmals herzlichen Dank für die tolle Hilfe!

Nun stehe ich aber vor einem weiteren Problem: Nachdem ich die Verbindung herstelle, erreiche ich problemlos den OpenVPN-Server auf der anderen Seite. Allerdings erreiche ich das dahinter stehende LAN nicht, obwohl ich vom OpenVPN-Server eine IP-Adresse im selben Netzwerk erhalte.

Ich habe auf dem Client testweise eine Route gesetzt, die den Datenverkehr Richtung Netzwerk 192.168.70.0/255.255.255.0 über den OpenVPN-Server 192.168.70.205 schickt – ich kann trotzdem keinen Rechner außer dem OpenVPN-Server im entfernten Netzwerk erreichen.
IP OpenVPN: 192.168.70.205
IP Client: 192.168.70.180 (vom OpenVPN vergeben)
Hier die Routen auf dem Client:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0   192.168.42.129   192.168.42.109     10
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      169.254.0.0      255.255.0.0   Auf Verbindung     169.254.80.80    261
    169.254.80.80  255.255.255.255   Auf Verbindung     169.254.80.80    261
  169.254.255.255  255.255.255.255   Auf Verbindung     169.254.80.80    261
     192.168.42.0    255.255.255.0   Auf Verbindung    192.168.42.109    266
   192.168.42.109  255.255.255.255   Auf Verbindung    192.168.42.109    266
   192.168.42.255  255.255.255.255   Auf Verbindung    192.168.42.109    266
     192.168.70.0    255.255.255.0   Auf Verbindung    192.168.70.180    276
     192.168.70.0    255.255.255.0   192.168.70.205   192.168.70.180     20
   192.168.70.180  255.255.255.255   Auf Verbindung    192.168.70.180    276
   192.168.70.255  255.255.255.255   Auf Verbindung    192.168.70.180    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     169.254.80.80    261
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.70.180    276
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.42.109    266
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     169.254.80.80    261
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.70.180    276
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.42.109    266
Demnach würde ich erwarten, dass ein Ping auf einen PC im LAN mit der IP-Adresse 192.168.70.2 durch die Route
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
     192.168.70.0    255.255.255.0   192.168.70.205   192.168.70.180     20
in das entfernte LAN geht – tut es aber nicht.

Hier die OpenVPN-Konfigurationsdateien:

Server
# Der gesamte Ethernet-Verkehr soll über den Tunnel fließen.

# OpenVPN soll in den Kofigurationsordner wechseln.
cd "C:/Program Files/OpenVPN/config/"  

# Verwendetes Device für den Tunnel.
# Windows findet das Device selbst, sodass hier nur tap ohne die 0
# einzugeben ist.
dev tap
dev-node OpenVPN            # Nicht notwendig. Der Vollständigkeit halber.
                            # Notwendig erst bei mehr als einem TAP-Adapter.

# Sicherstellen, dass Zertifikat mit der expliziten Schlüsselverwendung
# und erweiterten Schlüsselverwendung auf Basis der von RFC3280 beschrie-
# benen TLS-Regeln unterzeichnet wurde.
# Das ist eine wichtige Sicherheitsmaßnahme, um einen Man-in-the-Middle-
# Angriff zu vermeiden. Weitere Infos:
# http:{{comment_single_line_double_slash:0}}
remote-cert-tls client
 
# Port und Protokoll
port 1194
proto udp

# Paketgrößen
tun-mtu 1500
fragment 1300
mssfix

# Server
# Den Bereich 192.168.70.180 192.168.70.199 im DHCP ausschließen, da
# dieser von OpenVPN für die Adressvergabe neuer Clients verwendet wird.
server-bridge 192.168.70.205 255.255.255.0 192.168.70.180 192.168.70.199
push "dhcp-option DNS 192.168.70.203"     # Funktioniert nur unter Windows.  
push "dhcp-option WINS 192.168.70.203"    # Funktioniert nur unter Windows.  
; crl-verify crls/crl.pem   # Sperrliste: Noch nicht aktiviert.
; duplicate-cn              # Gleichzeitige Mehrfache Zertifikatsverwendung
                            # erlauben: Nicht erwünscht, daher abgeschaltet.

# Hinweis:
# server-bridge ist gleich zu setzen mit:
# mode server
# tls-server	
# ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0
# push "route-gateway 192.168.70.0" 

# Teilnehmer eines virtuellen Netzwerkes sollen sich untereinander sehen.
client-to-client

connect-freq 1 sec
keepalive 10 120
persist-key
persist-tun

# IPs merken.
ifconfig-pool-persist ipp.txt

#Zertifikat
ca certs/ca.crt
cert certs/openvpn.example.local.crt
key private/openvpn.example.local.key

# Diffie-Hellman-Parameter
dh dh2048.pem

# Kompression einschalten.
comp-lzo yes

# Debug-Level – Später herabsetzen.
verb 5

Client
# Der gesamte Ethernet-Verkehr soll über den Tunnel fließen.

# OpenVPN soll in das Kofigurationsverzeichnis wechseln.
cd "C:/Program Files/OpenVPN/config/"  

# IP des Gateways (OpenVPN-Server)
# Wir verwenden unseren DNS anstelle der IP-Adresse aaa.bbb.ccc.ddd.
remote openvpn.example.tld

# Verwendetes Device für den Tunnel.
# Windows findet das Device selbst, sodass hier nur tap ohne die 0
# einzugeben ist.
dev tap
dev-node OpenVPN            # Nicht notwendig. Der Vollständigkeit halber.
                            # Notwendig erst bei mehr als einem TAP-Adapter.

# Sicherstellen, dass Zertifikat mit der expliziten Schlüsselverwendung
# und erweiterten Schlüsselverwendung auf Basis der von RFC3280 beschrie-
# benen TLS-Regeln unterzeichnet wurde.
# Das ist eine wichtige Sicherheitsmaßnahme, um einen Man-in-the-Middle-
# Angriff zu vermeiden. Weitere Infos:
# http:{{comment_single_line_double_slash:0}}
remote-cert-tls server

# TLS einschalten und Client-Rolle während der TLS-Aushandlung übernehmen.
# Vom Server gesendete Befehle akzeptieren.
# Die nächsten zwei Optionen könnten durch die Option Client ersetzt wer-den.
tls-client
pull

# Port und Protokoll
port 1194
proto udp

# Paketgrößen
tun-mtu 1500
fragment 1300
mssfix

#Zertifikat
pkcs12 certs/pcname.example.local.p12

# Kompression einschalten.
comp-lzo yes

# Debug-Level – Später herabsetzen.
verb 5
Was muss ich noch beachten, damit ich vom eingewählten Client das ganze Netzwerk erreiche?

Im Voraus besten Dank!

temuco

Content-ID: 258920

Url: https://administrator.de/forum/openvpn-im-bridged-modus-in-das-dahinter-stehendes-lan-routen-258920.html

Ausgedruckt am: 26.12.2024 um 01:12 Uhr

orcape
orcape 05.01.2015 um 19:06:31 Uhr
Goto Top
Hi.
ich kann trotzdem keinen Rechner außer dem OpenVPN-Server im entfernten Netzwerk erreichen.
...und auf den Rechnern ist die Firewall aus ?
Gruß orcape
temuco
temuco 05.01.2015 aktualisiert um 19:57:06 Uhr
Goto Top
Ich verwende auf beiden Rechnern die Windows-Firewall. Diese habe ich für die Einrichtung und Test stets deaktiviert und darüber hinaus bin ich als Administrator angemeldet. Erst wenn VPN richtig läuft, möchte ich mich um die Firewall und dann und die Ausführung der Clients mit normalen Benutzerrechten kümmern.

Nun habe ich in die Konfigurationsdatei des Servers folgende Zeile eingefügt, um den gesamten Netzwerkverkehr durch den Tunnel zu leiten:
push "redirect-gateway def1 local"  
Aber jetzt funktioniert nicht einmal ein normaler Ping zum VPN-Gateway 192.168.70.205, obwohl der TAP-Adapter des Client 192.168.70.180 richtigerweise zugewiesen bekommt.

Leider bin ich jetzt an einem anderen Ort (zuhause) und demnach in einem anderen Netzwerk als im Eröffnungsthread. Daher sieht "route print" etwas anderes aus.

Netz zuhause:
192.168.72.0/255.255.255.0
Standardgateway: 192.168.72.254

Client:
Netzwerkkarte (WLAN): 192.168.72.10
TAP:                  192.168.70.180

Firmennetz:
192.168.70.0/255.255.255.0
Standardgateway:      192.168.70.254

Gateway:
Brücke:               192.168.70.205
        0.0.0.0          0.0.0.0   192.168.72.254   192.168.72.10     20
        0.0.0.0        128.0.0.0   192.168.70.205  192.168.70.180     20
      127.0.0.0        255.0.0.0   Auf Verbindung       127.0.0.1    306
      127.0.0.1  255.255.255.255   Auf Verbindung       127.0.0.1    306
127.255.255.255  255.255.255.255   Auf Verbindung       127.0.0.1    306
      128.0.0.0        128.0.0.0   192.168.70.205  192.168.70.180     20
    169.254.0.0      255.255.0.0   Auf Verbindung   169.254.80.80    261
  169.254.80.80  255.255.255.255   Auf Verbindung   169.254.80.80    261
169.254.255.255  255.255.255.255   Auf Verbindung   169.254.80.80    261
   192.168.70.0    255.255.255.0   Auf Verbindung  192.168.70.180    276
   192.168.70.0    255.255.255.0   192.168.70.205  192.168.70.180     20
 192.168.70.180  255.255.255.255   Auf Verbindung  192.168.70.180    276
 192.168.70.255  255.255.255.255   Auf Verbindung  192.168.70.180    276
   192.168.72.0    255.255.255.0   Auf Verbindung   192.168.72.10    276
  192.168.72.10  255.255.255.255   Auf Verbindung   192.168.72.10    276
 192.168.72.255  255.255.255.255   Auf Verbindung   192.168.72.10    276
      224.0.0.0        240.0.0.0   Auf Verbindung       127.0.0.1    306
      224.0.0.0        240.0.0.0   Auf Verbindung   192.168.72.10    276
      224.0.0.0        240.0.0.0   Auf Verbindung   169.254.80.80    261
      224.0.0.0        240.0.0.0   Auf Verbindung  192.168.70.180    276
255.255.255.255  255.255.255.255   Auf Verbindung       127.0.0.1    306
255.255.255.255  255.255.255.255   Auf Verbindung   192.168.72.10    276
255.255.255.255  255.255.255.255   Auf Verbindung   169.254.80.80    261
255.255.255.255  255.255.255.255   Auf Verbindung  192.168.70.180    276
Was mich zusätzlich beunruhigt, ist die Tatsache, dass das TAP-Gerät als "unidentifiziertes Netzwerk" aufgeführt wird. Ich denke, das wird ein Grund mit dafür sein, dass es nicht funktionieren will. Aber wie ändere ich das in "Domänennetzwerke" oder "Private Netzwerke"?
orcape
orcape 05.01.2015 um 20:10:44 Uhr
Goto Top
Diese habe ich für die Einrichtung und Test stets deaktiviert und darüber hinaus bin ich als Administrator angemeldet.
Sorry, wenn Du das in den falschen Hals bekommen hast. Ich wollte damit keinesfalls Deinen Intellekt anzweifeln.
Du wärst mit Sicherheit aber nicht der erste, der darüber stolpert, also sieh´s mal nicht so eng.
temuco
temuco 05.01.2015 um 20:32:00 Uhr
Goto Top
Zitat von @orcape:

> Diese habe ich für die Einrichtung und Test stets deaktiviert und darüber hinaus bin ich als Administrator
angemeldet.
Sorry, wenn Du das in den falschen Hals bekommen hast. Ich wollte damit keinesfalls Deinen Intellekt anzweifeln.
Du wärst mit Sicherheit aber nicht der erste, der darüber stolpert, also sieh´s mal nicht so eng.

Keinesfalls! Ich habe nichts in den falschen Hals bekommen, denn deine Frage ist berechtigt. Ich habe des öfteren Zeit vernichtet, weil ich eine Kleinigkeit übersehen habe. Da freue ich mich über jeden, der dabei über die Schulter guckt und mich auf meine Fehler aufmerksam macht.
orcape
orcape 06.01.2015 um 09:52:37 Uhr
Goto Top
Netz zu Hause
192.168.72.0/255.255.255.0
...und...
Firmennetz
192.168.70.0/255.255.255.0

...nun das kann denn gar nicht funktionieren.
Du bridgest mit dem TAP-Device die beiden Netze, also solltest Du das gleiche Netzwerk auf beiden Seiten des Tunnels verwenden.
Wenn das so laufen soll...
Es ist eigentlich gewollt. Der DHCP-Server hat einen Ausschlussbereich, der von OpenVPN für die Adressvergabe im
gleichen Netz verwendet wird (192.168.70.180 - 192.168.70.199). Die Clients sollen komplett in das Netz eingebunden
werden.
...solltest Du auf auf Clientseite das gleiche Netz verwenden.
Die Nachteile sind Dir aber schon bekannt.
Gruß orcape
temuco
temuco 06.01.2015 um 11:39:21 Uhr
Goto Top
Danke! Ich werde das auch ausprobieren, aber meinem Verständnis nach muss der Client nicht zwingend im gleichen Netz sein – er ist das automatisch bei der Einwahl über das TAP-Device: Er bekommt eben eine Adresse im entfernten Netz zugewiesen, hier 192.168.70.180. So kenne ich das auch vom Windows Server.

Ich will nur einen Client anbinden – bei zwei Netzwerken (Standorten) sähe es anders aus.

Nochmals vielen Dank!

temuco
orcape
orcape 06.01.2015 um 12:18:47 Uhr
Goto Top
Ich will nur einen Client anbinden – bei zwei Netzwerken (Standorten) sähe es anders aus.
Dann sollte sich der Client in eben diesem gebridgeden Netzwerk befinden.
Wie problematisch das mit dem Routing in ein solches Netzwerk bei Dir wird, dazu kenne ich Dein Netzwerk leider zu wenig und habe leider auch keine Erfahrung was TAP-Devices betrifft.
Das ist auch der Grund, warum ich Dir dazu in Deinem letzten Thread das TUN-Device empfohlen habe.
Damit hatte ich bis Dato noch keine grösseren Probleme, was Routing in andere, angebunden Netzwerke betrifft.
Gruß orcape
temuco
temuco 06.01.2015 um 12:38:09 Uhr
Goto Top
Ich bin ein kleines Stück weiter. Ich werde das in einem anderen Beitrag erläutern, denn das könnte vielleicht auch andere "leidgeplagten" TAP-User interessieren.

Ich brauche die Brücke, da wir sogar einige NetBEUI-Anwendungen haben und auch Windows-Netzwerke von unterwegs administrieren wollen. Das machen wir bisher mit Windows-Mitteln, wollen aber weg davon, denn mit jeder neuen Windows-Version muss man sich die neuen Einfälle aus Redmond erstmals reinziehen, was nur Zeit, Geld und Nerven kostet. Wir sind eine kleine Firma und müssen daher optimieren: Da erschien mir OpenVPN genau die richtige Lösung: Betriebssystemunabhängig, stabil, dokumentiert, seit vielen Jahren am Markt und sogar kostenfrei.

Dass die Erfahrung mit Ethernet-Brücken nicht sonderlich groß bzw. die Dokumentation nicht hundertprozentig ist, erfahre ich jetzt nach und nach. Aber ich habe mich verbissen und möchte es zu Ende bringen.
temuco
temuco 06.01.2015 um 15:25:36 Uhr
Goto Top
Gut, ich habe mir die Mühe gegeben, das funktionierende Windows-VPN so einzustellen, dass es möglichst genau so tut wie OpenVPN. Dann habe ich mir die Routen beider nach der jeweiligen Einwahl gemerkt, um einen Vergleich zu machen. Diese lege ich hier a) als Bild nebeneinander, um leichter vergleichen zu können und b) als Text bei. Dabei zu vermerken, dass die Windows-VPN-Einwahl (links) funktioniert, bei OpenVPN (rechts) komme ich nur bis zum Gateway (192.168.70.205):

573bc3e9b09466d174fb36bad2c27e25

Windows-VPN-Einwahl - geht, erreiche alle PCS im enterten Netz. abc.def.ghi.jkl ist die statische IP-Adresse des Firmennetzes.
   Netzwerkziel   Netzwerkmaske        Gateway  Schnittstelle Metrik
        0.0.0.0         0.0.0.0 192.168.72.254  192.168.72.10     20
      127.0.0.0       255.0.0.0 Auf Verbindung      127.0.0.1    306
      127.0.0.1 255.255.255.255 Auf Verbindung      127.0.0.1    306
127.255.255.255 255.255.255.255 Auf Verbindung      127.0.0.1    306
    169.254.0.0     255.255.0.0 Auf Verbindung  169.254.80.80    261
  169.254.80.80 255.255.255.255 Auf Verbindung  169.254.80.80    261
169.254.255.255 255.255.255.255 Auf Verbindung  169.254.80.80    261
   192.168.70.0   255.255.255.0 192.168.70.205 192.168.70.180     21
 192.168.70.180 255.255.255.255 Auf Verbindung 192.168.70.180    276   
   192.168.72.0   255.255.255.0 Auf Verbindung  192.168.72.10    276
  192.168.72.10 255.255.255.255 Auf Verbindung  192.168.72.10    276
 192.168.72.255 255.255.255.255 Auf Verbindung  192.168.72.10    276
abc.def.ghi.jkl 255.255.255.255 192.168.72.254  192.168.72.10     21
      224.0.0.0       240.0.0.0 Auf Verbindung      127.0.0.1    306
      224.0.0.0       240.0.0.0 Auf Verbindung  192.168.72.10    276
      224.0.0.0       240.0.0.0 Auf Verbindung  169.254.80.80    261
      224.0.0.0       240.0.0.0 Auf Verbindung 192.168.70.180    276
255.255.255.255 255.255.255.255 Auf Verbindung      127.0.0.1    306
255.255.255.255 255.255.255.255 Auf Verbindung  192.168.72.10    276
255.255.255.255 255.255.255.255 Auf Verbindung  169.254.80.80    261
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.70.180    276
OpenVPN-Einwahl - erreiche nur den VPN-Gateway auf der anderen Seite (192.168.70.205).
   Netzwerkziel   Netzwerkmaske        Gateway  Schnittstelle Metrik
        0.0.0.0         0.0.0.0 192.168.72.254  192.168.72.10     20
      127.0.0.0       255.0.0.0 Auf Verbindung      127.0.0.1    306
      127.0.0.1 255.255.255.255 Auf Verbindung      127.0.0.1    306
127.255.255.255 255.255.255.255 Auf Verbindung      127.0.0.1    306
    169.254.0.0     255.255.0.0 Auf Verbindung  169.254.80.80    261
  169.254.80.80 255.255.255.255 Auf Verbindung  169.254.80.80    261
169.254.255.255 255.255.255.255 Auf Verbindung  169.254.80.80    261
   192.168.70.0   255.255.255.0 Auf Verbindung 192.168.70.180    276
 192.168.70.180 255.255.255.255 Auf Verbindung 192.168.70.180    276
 192.168.70.255 255.255.255.255 Auf Verbindung 192.168.70.180    276
   192.168.72.0   255.255.255.0 Auf Verbindung  192.168.72.10    276
  192.168.72.10 255.255.255.255 Auf Verbindung  192.168.72.10    276
 192.168.72.255 255.255.255.255 Auf Verbindung  192.168.72.10    276
      224.0.0.0       240.0.0.0 Auf Verbindung      127.0.0.1    306
      224.0.0.0       240.0.0.0 Auf Verbindung  192.168.72.10    276
      224.0.0.0       240.0.0.0 Auf Verbindung  169.254.80.80    261
      224.0.0.0       240.0.0.0 Auf Verbindung 192.168.70.180    276
255.255.255.255 255.255.255.255 Auf Verbindung      127.0.0.1    306
255.255.255.255 255.255.255.255 Auf Verbindung  192.168.72.10    276
255.255.255.255 255.255.255.255 Auf Verbindung  169.254.80.80    261
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.70.180    276

Nun die Frage: Wie stelle ich Server- und Konfigurationsdateien ein, um das gewünschte Ergebnis zu erzielen?

Nochmals schönen Dank!

temuco
orcape
orcape 06.01.2015 um 16:33:51 Uhr
Goto Top
In Deinem ersten Thread schreibst Du, das das ganze unter Windows8.1 laufen soll.
Hast Du Dir schon mal Gedanken darüber gemacht, das ganze OpenVPN-Szenario auf Routern zu implementieren, wo in der Regel ein ordentliches Linux läuft und die Möglichkeiten nicht so eingeschränkt sind wie auf den Windows Kisten.
Bei den von Dir erwähnten Notebooks ist das allerdings nicht machbar und wohl auch nicht notwendig.
Einen Windows Client, gar noch ein Notebook, im OpenVPN-Umfeld als Router zu nutzen, ist denn wohl auch nicht so richtig wirklich sinnvoll.
Leider hast Du, was Deine Netzwerk-Konfiguration betrifft, auch nicht so wirklich viel gepostet.
Gruß orcape
temuco
temuco 06.01.2015 um 20:31:13 Uhr
Goto Top
Es muss auf Windows-PCs laufen, denn das ist unsere Umgebung. Der OpenVPN-Server (des weiteren VPN-Gateway – gefällt mir besser) soll virtuell in einer HYPER-V-Umgebung unter Windows 8.1 laufen, was bereits der Fall ist. Als kleine Firma wollen wir uns nicht noch mit Linux beschäftigen, sondern in unserer vertrauten Umgebung bleiben.

Ich wüsste nicht, was netzwerktechnisch unter Windows so eingeschränkt sein soll, dass ein VPN nicht möglich wäre. Wie bereits beschrieben, wird die VPN-Verbindung zuverlässig aufgebaut: Der TAP-Device des Client bekommt eine IP-Adresse vom VPN-Gateway zugewiesen. Diese ist in diesem Fall die erste des reservierten Pools und lautet 192.168.70.180 – also eine im eigenen Netzwerk. Bis dahin alles wie gewünscht.

Die Routen am Client sehen aber nicht genau so aus, wie die Routen einer bei uns noch verwendeten alten Windows-VPN-Einwahl. Daher habe ich folgendes gemacht: VPN-Verbindung mit OpenVPN aufgebaut und die Routen so verändert, dass diese bis ein paar "Metrics" genau so aussehen:

   Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
        0.0.0.0          0.0.0.0   192.168.72.254   192.168.72.10  50
      127.0.0.0        255.0.0.0   Auf Verbindung       127.0.0.1 306
      127.0.0.1  255.255.255.255   Auf Verbindung       127.0.0.1 306
127.255.255.255  255.255.255.255   Auf Verbindung       127.0.0.1 306
    169.254.0.0      255.255.0.0   Auf Verbindung   169.254.80.80 261
  169.254.80.80  255.255.255.255   Auf Verbindung   169.254.80.80 261
169.254.255.255  255.255.255.255   Auf Verbindung   169.254.80.80 261
   192.168.70.0    255.255.255.0   192.168.70.205  192.168.70.180  21
 192.168.70.180  255.255.255.255   Auf Verbindung  192.168.70.180 276
   192.168.72.0    255.255.255.0   Auf Verbindung   192.168.72.10 276
  192.168.72.10  255.255.255.255   Auf Verbindung   192.168.72.10 276
 192.168.72.255  255.255.255.255   Auf Verbindung   192.168.72.10 276
 abc.def.ghi.jkl  255.255.255.255   192.168.72.254  192.168.72.10  41
      224.0.0.0        240.0.0.0   Auf Verbindung       127.0.0.1 306
      224.0.0.0        240.0.0.0   Auf Verbindung   192.168.72.10 276
      224.0.0.0        240.0.0.0   Auf Verbindung   169.254.80.80 261
      224.0.0.0        240.0.0.0   Auf Verbindung  192.168.70.180 276
255.255.255.255  255.255.255.255   Auf Verbindung       127.0.0.1 306
255.255.255.255  255.255.255.255   Auf Verbindung   192.168.72.10 276
255.255.255.255  255.255.255.255   Auf Verbindung   169.254.80.80 261
255.255.255.255  255.255.255.255   Auf Verbindung  192.168.70.180 276
Ein "tracert" auf den VPN-Gateway funktioniert, so dass der Client die richtige Route nimmt:
C:\!>tracert 192.168.70.205

Routenverfolgung zu OpenVPN [192.168.70.205]
über maximal 30 Hops:

  1    33 ms    37 ms    31 ms  OPENVPN [192.168.70.205]

Ablaufverfolgung beendet.
Ein "tracert" auf einem PC hinter dem VPN-Gateway endet beim VPN-Gateway:
C:\!>tracert 192.168.70.203

Routenverfolgung zu 192.168.70.203 über maximal 30 Hops

  1    55 ms     *       33 ms  OPENVPN [192.168.70.205]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3  ^C
Daher habe ich , so wie ich es jetzt sehe, ein Routing-Problem auf der Seite des VPN-Gateways.^Das werde ich mir genauer anschauen, aber trotzdem wäre ich jedem für einen Tipp dankbar.

Danke und schönen Abend!

temuco
orcape
orcape 07.01.2015 um 19:25:23 Uhr
Goto Top
Hast Du mal einzelne push "route 192.168.70.203 ....." Einträge in der Server.conf für die einzelnen Clients versucht ?
Laut der geposteten .conf wohl noch nicht.
Gruß orcape
temuco
temuco 07.01.2015 um 20:35:13 Uhr
Goto Top
Eigentlich bräuchte ich keine Route, da alles im selben Netz. Ich verstehe es einfach nicht!

Ich habe alles mögliche durchprobiert wie z. B.:
server-bridge 192.168.70.205 255.255.255.0 192.168.70.180 192.168.70.199
push "route 192.168.70.0 255.255.255.0 192.168.70.205"  
push "redirect-gateway def1 local"  
Alles in de unterschiedlichsten Varianten miteinander kombiniert.

Aber auch ohne "server-bridge"
mode server
tls-server	
ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0
push "route 192.168.70.0 255.255.255.0 192.168.70.205"  
mode server
tls-server	
ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0
push "route-gateway 192.168.70.205"  
mode server
tls-server	
ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0
push "route-gateway 192.168.70.205"  
push "route 192.168.70.0 255.255.255.0 192.168.70.205"  
Nichts funktioniert richtig.

Es kann nicht sein, dass die Verbindung mit Zertifikaten inkl. Zuweisung der IP-Adresse immer richtig und stabil funktioniert, während die einfache Erreichbarkeit eines Rechners im selben Netzwerk solche Probleme macht. Ich bin, ehrlich gesagt, genervt!
temuco
temuco 08.01.2015 um 06:43:35 Uhr
Goto Top
Problem gelöst. Es war alles richtig und der Fehler lag an der Serverseite. Durch die Brücke werden beide Netzwerkadapter im Promiscuos-Modus geschaltet, was meine Hyper-V-Umgebung nicht mochte. Einfach die Netzwerkeinstellungen der virtuellen Maschine angepasst und alles OK.
orcape
orcape 08.01.2015 um 17:23:12 Uhr
Goto Top
Durch die Brücke werden beide Netzwerkadapter im Promiscuos-Modus geschaltet, was meine Hyper-V-Umgebung nicht
mochte.
Irgend etwas in der Richtung hatte ich schon vermutet, ich habe damit leider wenig Erfahrung.
Super das es läuft.face-wink
temuco
temuco 08.01.2015 aktualisiert um 17:41:15 Uhr
Goto Top
Ich bin auch überglücklich. Im Übrigen, der Befehl "server-bridge" funktioniert leider in meiner Betriebsart nicht richtig – ich bekomme damit nicht das Netzwerk hinter dem Gateway zu sehen, egal wie ich es anstelle. Daher habe ich die Befehle einzeln von Hand in der *.ovpn angegeben. So sieht meine Server-Config aus:
# Der gesamte Ethernet-Verkehr soll über den Tunnel fließen.

# OpenVPN soll in den Kofigurationsordner wechseln.
cd "C:/Program Files/OpenVPN/config/"  

# Verwendetes Device für den Tunnel.
# Windows findet das Device selbst, sodass hier nur tap ohne die 0
# einzugeben ist.
dev tap
dev-node OpenVPN            # Nicht notwendig. Der Vollständigkeit halber.
                            # Notwendig erst bei mehr als einem TAP-Adapter.

# Sicherstellen, dass Zertifikat mit der expliziten Schlüsselverwendung
# und erweiterten Schlüsselverwendung auf Basis der von RFC3280 beschrie-
# benen TLS-Regeln unterzeichnet wurde.
# Das ist eine wichtige Sicherheitsmaßnahme, um einen Man-in-the-Middle-
# Angriff zu vermeiden. Weitere Infos:
# http:{{comment_single_line_double_slash:0}}
remote-cert-tls client
 
# Port und Protokoll
port 1194
proto udp

# Paketgrößen
tun-mtu 1500
fragment 1300
mssfix

# Server
# Den Bereich 192.168.70.180 192.168.70.199 im DHCP ausschließen, da
# dieser von OpenVPN für die Adressvergabe neuer Clients verwendet wird.
; server-bridge 192.168.70.205 255.255.255.0 192.168.70.180 192.168.70.199
; push "route 192.168.70.0 255.255.255.0 192.168.70.205"  
; push "redirect-gateway def1 local"  
; push "dhcp-option DNS 192.168.70.203"     # Funktioniert nur unter Windows.  
; push "dhcp-option WINS 192.168.70.203"    # Funktioniert nur unter Windows.  

# Hinweis:
# server-bridge sollte gleich mit den unten stehenden Befehlen zu setzen sein.
# Leider funktionierte server-bridge nicht, dafür aber die getrennten
# Befehle. Daher habe ich diese genommen, server-bridge bleibt jedoch
# zu Dokumentationszwecken oben stehen, aber auskommentiert.
mode server
tls-server	
ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0
push "route 192.168.70.0 255.255.255.0 192.168.70.205"  
; crl-verify crls/crl.pem    # Sperrliste: Noch nicht aktiviert.
; duplicate-cn               # Gleichzeitige Mehrfache Zertifikatsverwendung
                             # erlauben. Nicht erwünscht, daher abgeschaltet.

# Teilnehmer eines virtuellen Netzwerkes sollen sich untereinander sehen.
client-to-client

connect-freq 1 sec
keepalive 10 120
persist-key
persist-tun

# IPs merken.
ifconfig-pool-persist ipp.txt

#Zertifikate
ca certs/ca.crt
cert certs/openvpn.crt
key private/openvpn.key

# Diffie-Hellman-Parameter
dh dh2048.pem

# Kompression einschalten.
comp-lzo yes

# Debug-Level – Später herabsetzen.
verb 3
Danke und Grüße

temuco