OpenVPN kein Zugriff auf Server-Freigaben

Das dürfte das generelle Problem sein ! Die Speedport Schrottrouter supporten allesamt keine statischen Routen die aber bei einem internen OpenVPN Server im lokalen Netz zwingend nötig sind !

Zuallererst solltest du sicherstellen das die OpenVPN Verbindung zum Server sauber aufgebaut ist. Dieses Tutorial erklärt dir nochmals alles dafür notwendigen ToDos:
Merkzettel: VPN Installation mit OpenVPN
Dadurch das die Lämpchen leuchten ist das ja scheinbar auch der Fall.
Nun kommt der Grund warum es bei deiner Speedport Gurke scheitert....

Deine OpenVPN Installation dürfte so aussehen:
Du erkennst die Problematik sicher schon selber auf den ersten Blick ?!
Alle deine Endgeräte inklusive des Open VPN Servers haben immer deinen Speedport als Default Gateway eingerichtet. Soweit so gut....
Du hast aber im OpenVPN Server mit dem Kommando server 10.10.10.0 255.255.255.0 (Beispiel hier) ein internes VPN Netzwerk 10.10.10.0 /24. Sprich die VPN "Wolke" ist ein eigenes IP Netz und Clients kommen am Server bzw. an allen Endgeräten deines lokalen LANs mit dieser Absender IP Adresse rein. Die Rückantwort bzw. Rückroute in das 10.10.10.0er Netz senden dann alle Endgeräte an deinen Speedport Router da der ja deren Default Gateway ist.
Damit das Rückpaket richtig ankommt müsste der Speedport diese Pakete nun an den OpenVPN Server senden, denn dieser agiert ja ebenfalls als Router zwischen lokalem IP Netz und dem internen OpenVPN Netz.
Da der Speedport aber keine statischen Routen supportet sendet er die Zielpakete für das 10.10.10.0er Netz zum Provider wo sie dann im Datenmülleimer landen.
Das o.a. "Merkzettel Tutorial" erklärt das alles auch noch einmal für Laien verständlich.
Fazit:
Mit deinem Client Access kannst du also ausschliesslich nur deinen lokalen OpenVPN Server erreichen und kein anderes Endgerät in deinem lokalen LAN. Dafür wäre die statische Route auf dem Router erforderlich, die der aber als billiger Consumer Schrottrouter nicht supportet.
Folglich muss also zwangsweise dein OpenVPN Server auch immer gleichzeitig dein SMB/CIFS Sharing Server sprich Dateiserver sein. Logisch denn andere Geräte wären für OVPN Clients unerreichbar.
Es gibt aber eine Teillösung sofern dein Server nicht gleichzeitig der OVPN Server ist. Hier kannst du eine statische Route in das interne OpenVPN Netz statisch einrichten. Unter Windows geht das mit dem Kommando:
route add 10.10.10.0 mask 255.255.255.0 <lokale_IP_OVPNserver> -p
Das "-p" macht unter Windows diese Route permanent so das sie nach dem nächsten Reboot nicht verschwindet.
Wie gesagt, das entfällt wenn der OVPN Server auch gleichzeitig der File Server ist ! Den kann der Client ja immer erreichen. Zwingend ist hier allerdings das du auf dem Server das IPv4 Forwarding (Routing) aktivierst, was du vermutlich auch vergessen hast ?!
Das o.a. "Merkzettel_Tutorial" hat hier auch die entsprechenden Information dazu wie man das richtig macht !!

Wir sind gespannt...

Hi,
den Kopf nicht hängen lassen.

Wenn ich das richtig interpretiere dann sind alle deine Zielgeräte bzw. auch der OpenVPN Server im selben Netz oder sehe ich das falsch?

Falls ja und der Tunnel wirklich sauber steht denke ich dass du einen aber kleinen entscheidenden Punkt unter Windows vergessen hast.
Windows untersagt es im Default das Routen zwischen zwei Interfaces. Um die Geräte im selben Subnetz ( bei dir 192.168.2.0/24) erreichen zu können musst du genau dieses Routing aktivieren.

Folge dieser Anleitung dann sollte es gehen:
https://www.keepthetech.com/2016/01/enable-ip-routing-on-windows10.html

Ein statisches Routing auf deinem Router benötigst du nur wenn sich der VPN Server in einem anderen Subnetz Zuhause ist.

Wie auch bei aqui seinem klasse Bild zu erkennen steht dies als Hinweis bei dem OpenVPN Server.

Noch ein kleiner hinweis:
Wenn du gerne mit VPN arbeiten willst dann ändere deine IPs im Heimnetz denn das Subnet 192.168.2.0/24 ist ein Standard Netz welches bei vielen Router verwendet werden. Wenn du also mal außerhalb bei Freunden bist und die dieses Netz ebenfalls verwenden wird dein VPN nicht funktionieren. Deshalb am besten eine ip welche eine geringe Wahrscheinlichkeit hat als Standard wiebzum Beispiel 192.168.123.0/24.

Deshalb ja auch der Hinweis im vorherigen Posting das IP Forwarding/ Routing zu aktivieren. Das hiesige OpenVPN Tutorial weist, wie auch oben schon bemerkt, ebenso explizit darauf hin:
Merkzettel: VPN Installation mit OpenVPN
Das ist leider Unsinn und ein fataler Denkfehler.
Der OpenVPN Server ist ja immer in 2 Subnetzen zuhause. Einmal das lokale LAN und einmal das interne OpenVPN IP Netz. Er ist also selber auch ein Router zwischen diesen beiden Netze. Deshalb muss ja auch das IP Forwarding/Routing auf dem Server aktiv sein und die statische Route im Internet Router vorhanden sein.
Die Route wird immer benötigt ansonsten kann ein VPN Client niemals andere Endgeräte im lokalen LAN erreichen. Das warum ist oben explizit geschildert.
Einzig wenn nur der OpenVPN Server das singuläre Ziel für den remoten OVPN Zugang ist und keinerlei andere Endgeräte im lokalen LAN erreichbar sein müssen, dann (und nur dann) wird keine Route benötigt ! Klar, denn der OVPN Server kennt seine IP Netze ja selber.
Andere Endgeräte im lokalen LAN brauchen diese statische Route auf dem Internet Router aber für die Rückantwort (Rückroute) ins interne OpenVPN Netz zwingend !

Habe es so bei Industrieanlagen eingerichtet für wartungzwecke an den nachgelagerten Sensoren. Nur ist mir jetzt nicht klar wie dies immer funktionieren konnte denn die damalige Sophos kannte das nachgelagerten Netz und das VPN Netz nicht. Hier war nur ein Windows 10 zwischen geschalten welches den OpenVPN Server beheimatet hat und welcher als Ziel in der Firewall mit dem entsprechenden Port eingestellt war. Win10 hatte ebenfalls 2 Interfaces. Eins für das Maschinennetz mit den Sensoren und ein anderes für die Kommunikation ins Produktivnetz.

Diese Funktion würde dann nach deiner Beschreibung nicht funktionieren jedoch diese Konfiguration wurde bei einem Automobilhersteller 10-20fach umgesetzt und läuft nach meinem Wissensstand noch immer so.

Der TO könnte noch die Router Problematik umgehen mit einer Route bei jedem Zielsystem.

Wie du geschrieben hast: Windows cmd
route add TUNNEL-NETZ mask 255.255.255.0 <lokale_IP_OVPNserver> -p

Wenn dein Arbeitgeber den Port 1194/udp ausgehend blockiert, dann war es das sowieso.

Du kannst dann zwar Serverseitig noch auf andere Ports ausweichen, ich bezweifle aber dass das funktioniert, wenn es vom AG vernünftig gemacht wurde (z.B. Proxy, Firewall, etc. pp.).

Was ist denn die IP 192.168.2.100 ?
Ist das eine NAS oder was?

Auf was willst du denn generell immer von der Arbeit aus zugreifen?

Erstmal so hinbekommen und dann weiter gehen.
Wie ist denn dein Testgerät verbunden?
Über LTE oder bist du damit immer im selben Netz wie der openVPN Server?

ja, da liegt mir als ehemaligem Arbeitgeber auf der Zunge: bitte sehen Sie sich ab sofort vollzeit nach neuen Herausforderungen um!
Bitte probiere den VPN-Zugriff von anderen Heimnetzen aus oder auch von Deinem Handy aus, ein Arbeitgeber könnte leicht meinen, daß Daten ins Heimnetz dezentralisiert gebackupt werden sollen - und das ist ihm kaum zu erklären.
HG
Mark

Frage: Wie willst du damit OpenVPN testen, wenn alle im selben WLAN sind? Dann greifst du höchstwahrscheinlich direkt über die WLAN IP am OpenVPN vorbei auf den Rechner. Sinnfrei.

Probier doch den Test lieber über eine Tethering Verbindung auf dein Handy, das wäre dann vielleicht sogar eine sinnvolle Anwendung wenn du mal unterwegs in einem Hotel bist und Daten von zu Hause brauchst.

Und, falls du tiefer in die Materie einsteigen möchtest, hol dir lieber eine kleine SG-1100 von Netgate oder installier dir pfSense auf irgendeiner stromsparenden Micro Hardware oder wahlweise in einer VM auf deiner Büchse, dann hast du Firewall Funktionalitäten und ähnliche Spaßmacher auch gleich mit dabei.

Das ist auch völlig egal ob es das Büro-, Hotel oder Bahnhofsnetz ist.
Eine halbwegs intelligente VPN IP Adressierung sollte dann aber zwingend sein. Siehe dazu auch hier:
VPNs einrichten mit PPTP
Das ist auch absolut OK so und ein OVPN Netz wahrlich kein Hexenwerk !
Wie gesagt mit dem Rüstzeug des hiesigen OpenVPN_Tutorials solltest du das im Handumdrehen zum Fliegen bringen !
In Ruhe lesen, verstehen und umsetzen, dann klappt das auch auf Anhieb !!
Wenn nicht weisst du ja wo du fragen musst..!

Nicht ganz, es soll nichts für den Client bestimmtes am OVPN vorbeigehen, d.h. die Endgeräte im Heimnetz bekommen eine zweite Route zu 10./8 o.ä. neben ihrem Standardgateway für den normalen Verkehr und Internet (Updates etc). Der OVPN-Server IST der Router für das NAS. D.h. diese zweite Route muß im NAS konfigurierbar sein.
HG
Mark

Was sich aber mit ein bischen logischem Nachdenken auch vermeiden ließe...
Sieh dir mal deine Zeichnung oben an. Dort erkennst du schon die Kardinalsfehler die du gemacht hast. Kollege @broecker hat es ja schon richtig bemerkt.
Das Port Forwarding von UDP 1194, also dem OpenVPN Traffic, zeigt (wenn man deiner Zeichnung glaubt) bei dir auf die NAS IP Adresse statt auf den OpenVPN Server. Warum bekommt also sinnloserweise das NAS den eingehenden OpenVPN Traffic und nicht der OpenVPN Server wo dieser Traffic eigentlich hinsoll. Sorry, aber das das nicht stimmt sagt einem ja schon der gesunde Menschenverstand.

So sähe dein Design mal etwas übersichtlicher und verständlicher aus:


Zudeinen Fragen:
1.)
Nein, das ist natürlich völlig falsch, denn der OpenVPN Traffic muss doch erstmal auf den OpenVPN Server der die Tunnelverbindung terminiert, die Daten vom Client dort entschlüsselt und an das NAS weiterreicht. Es ist doch vollkommen sinnfrei den VPN Verkehr am VPN Server vorbei zum NAS zu schicken ?!
2.)
Alles erfolgt über den OpenVPN Server ! Der OpenVPN Server ist als Router zu sehen der zwischen dem VPN Client Netz (10.0.0.0 /24 bei dir) und dem lokalen LAN (192.168.2.0 /24 bei dir) routet. Deshalb muss ja auch zwingend das Routing im OpenVPN Server aktiviert werden !
Siehe dazu auch das hiesige OpenVPN Tutorial mit allen Details zu dem Thema: Merkzettel: VPN Installation mit OpenVPN
Bitte dieses nochmal genau in Ruhe durchlesen und verstehen !
VPN Verkehr geht also von außen kommend folgenden Weg:

• immer erst per UDP 1194 Port Forwarding zum internen OpenVPN Server
• wird dort entschlüsselt und entpackt
• und weiter zum NAS gesendet
• Antwortdaten vom NAS zum VPN Client sendet das NAS an sein Default Gateway (Internet Router)
• Der Router erkennt per statischer Route das der Empfänger das VPN Netz ist und routet es an den OpenVPN Server
• der routet es wieder zum VPN Client

So einfach ist das.
Deine Problematik ist das der billige Speedport Schrottrouter keine statischen Routen supportet. Diese Route ist dort zwingend, denn die sagt dem Router: "Hey, allen VPN Traffic für das 10.0.0.0er IP Netz bitte nicht zum Provider sondern zum OpenVPN Server senden !!"
So kommt der VPN Traffic also wieder zum Client.
Das geht bei dir genau nicht wegen der fehlenden Möglichkeit auf dem Speedport statische Routen zu definieren !
So war es wenigstens bis jetzt. Ggf. siehst du besser zur Sicherheit nochmal nach ob ggf.nicht doch mittlerweise eine Option im Setup dafür da ist ! Dort müsste es so einen Menüpunkt wie "Routing" im IP Setting geben !
Aber auch wen es wie zu erwarten fehlen sollte, dann gibst du die statische Route eben im NAS direkt ein. Dort gibt es bei guten NAS Systemen in der Regel die Option einer statischen Router. Diese lautet dann dort:
Ziel: 10.0.0.0, Maske: 255.255.255.0, Gateway: 192.168.2.100
So kann das NAS dann direkt den VPN Traffic an den OpenVPN Server senden OHNE eine statische Route im Router und alles ist wieder gut !
Die o.a. Zeichnung illustriert das auch für Laien verständlich.
3.)
Ja das ist ja so, weil alle Geräte im lokalen LAN automatisch per DHCP oder statischen Eintrag ja den Speedport Router als Gateway eingetragen haben. Allen Datenverkehr der nicht fürs lokale IP Netz ist schicken sie also an dendenn der weiss wohin damit. Genau deshalb musst du ihm ja auch per statischer Route sagen wo er den VPN Verkehr hinsenden soll. Das aber geht vermutlich mit dem Speedport nicht wegen der fehlenden Routing Option. Genau deshalb musst du das dann auf den Endgeräten wie z.B. dem NAS erledigen. Oder....du musst dir einen anständigen Router beschaffen der den Namen auch verdient wie z.B. einer FritzBox. In der EU herrscht ja Router Freiheit !
4.)
Das wird man in jedem Falle zum Laufen bekommen auch mit dem Speedport. Die einfache Lösung ist ja oben nun explizit erklärt für dich.
Wenn VPN seitig alles rennt rufst du Freigaben stinknormal über die IP Adresse des NAS auf also z.B. \\192.168.2.147\<Verzeichnis>
Ganz einfach !

So, nun bist du wieder dran das endlich zum Fliegen zu bringen. Übrigens wäre deine OpenVPN Server und Client Konfig Datei hier mal sehr hilfreich für das Troubleshooting. Ansonsten aber immer in das o.a. Tutorial sehen dort ist alles erklärt zum Thema OpenVPN inklusive Konfig Beispieldateien.

Wie gesagt, es geht auch ohne neuen Router dann aber mit statischen Routen auf dem NAS.
Oder als Alternative du musst alle Daten auf den OpenVPN Server kopieren bzw. von diesem ein simples Verzeichnis auf dem NAS mounten das du direkt im OpenVPN Server ansprechen kann.
Wenn der OpenVPN Server ein Netzwerk Laufwerk auf dem NAS fest gemountet hat kommst du auch gänzlich ohne jegliche Route irgendwo aus. Dann kannst du alles direkt über den OpenVPN Server selber machen. Den erreichst du ja immer.
All das geht wenn du mit dem bestehenden Speedport weitermachen willst. Ein Hinderungsgrund ist dieser Router nicht auch wenn er nicht optimal ist.

Bringe zuallererst mal dein OpenVPN zum Laufen, denn mit dem derzeit völlig falschen Port Forwarding Einstellungen kann das ja nicht funktionieren.
Das wäre die erste Hürde und 80% der Installation. Der Rest ist dann simples Finetuning !

Bitte tue uns doch allen mal den Gefallen und lese einmal wirklich die dir hier geposteten Hilfen zu dem Thema !!
Merkzettel: VPN Installation mit OpenVPN
Dort steht doch nun wirklich ALLES schwarz auf weiß und auch so erklärt das Laien es auch sofort verstehen.

Nochmal für dich in Kurzform weil heute Sonntag ist:
Bei Windows und Linux Rechnern ist das Weiterleiten (Forwarding) von IP Paketen (gemeinhin auch Routing genannt) von einem Netzwerk Interface zum anderen Netzwerk Interface grundsätzlich immer deaktiviert bzw. abgeschaltet !
Diese Rechner können also deshalb NICHT als Router arbeiten was sie eigentlich müssten. Man muss es ihnen also immer erst über ihre Systemkonfig sagen das sie das sollen.
Routing ist ja eben nichts anderes als IP Pakete von einem Netzwerk Adapter auf einen anderen weiterleiten. Dein OpenVPN Server muss IP Pakete vom internen VPN Tunnel Interface auf den LAN Netzwerk Adapter weiterleiten ! Routing eben...
Wenn du es also versäumst dieses Routing in deinem Windows PC, der als OpenVPN Server arbeitet, im System zu aktivieren wird deine Installation nicht funktionieren !
Genau aus diesem Grund wird explizit im oben zitierten OpenVPN Merkzettel Tutorial darauf hingewiesen !
Das wird natürlich nicht im OpenVPN Setup gemacht, denn das ist eine grundlegende Funktion des Rechner Betriebssystems selber. In deinem Falle also Winblows ! Folglich muss es also immer in den Windows Betriebssystem Einstellungen gemacht werden.
Aus diesem Grund macht man das über den Windows Registry Editor regedit wie oben im Tutorial genau beschrieben. Danach die Winblows Gurke rebooten damit es aktiv wird.
Deine OVPN Konfig Dateien wären dennoch hilfreich um auszuschliessen das du noch weitere Fehler gemacht hast.
Alles doch einfach und logisch...wenn man denn mal Hilfe annimmt, liest und versteht !

Ist das sehr unübliche ";" vor den Zeilen ein Auskommentieren und damit Deaktivieren dieses Kommandos oder was soll das sein ?
Normal geschieht das Auskommentieren mit einem "#" ?!?
Und bitte nicht nervig mit separaten Threads, das kann man auch einfach und erheblich übersichtlicher mit Code Tags ! für Server und Client hier darstellen !
FAQs lesen hilft wirklich ! Formatierungen in den Beiträgen

Server Konfig hat den Fehler das dort keine topology subnet verwendet wird (auskommentiert). Das veraltete /30er Subnetz Prinzip was dann zur Anwendung kommt sollte man besser nicht mehr verwenden ! Es schadet aber zum testen auch nicht und kann man später anpassen.
Halte dich immer zur Orientierung an die Konfig Datei Beispiele des hiesigen OpenVPN_Tutorials !
Der Rest vom Server ist soweit OK.
Client passt auch soweit.
Alles gut also aus Konfig Sicht...

Das kannst du ganz einfach und schnell mal testen indem du den Client ins Server Netz klemmst und einmal die VPN Verbindung über die lokale IP des Servers lokal aufmachst.
Dann siehst du dir mal die Log Dateien von Server und Client an !
Dort sollte immer ein "Initialization Sequence completed" am Ende stehen was dann sagt das alles perfekt gelaufen ist. Siehe dazu auch das o.a. Tutorial.
Mit diesem einfachen lokalen Test kannst du dir dann ganz wasserdicht sicher sein das deine OpenVPN Konfig zw. Server und Client absolut richtig ist und alles sauber funktioniert.
Damit sollte es dann auch sofort fehlerfrei von Remote auf Anhieb klappen.

Was für Downloads ??
Oha, du Armer....
👍 Damit wird das dann ein Selbstgänger ! Dann brauchst du nur das o.a. OpenVPN Tutorial abzuarbeiten und abzutippen und alles rennt sofort !
Wir sind wie immer gespannt !

schön

Da würd ich eher eine pfSense Installation vorschlagen, die macht ihm die Scripte so wie sie sein sollen und gibt das meiste vor.
Funktioniert auch in einer Windows VM.

iptables sollte man im VPN Tunnel nicht verwenden. Schon gar nicht das Masquerading was dann im Tunnel selber NAT macht. Das ist meist immer ein sicherer Garant das das VPN dann später nicht funktioniert.

Außerdem hilft es dem TO hier auch nicht wirklich, denn er benutzt 2 Winblows Maschinen. Insofern ist er damit in Bezug auf falsche und irreführende iptables Regeln (glücklicherweise) unberührt denn die gibt es bekanntlich gar nicht bei Windows.

alles klar

Kaspersky ist ein sicherheitstechnischer Albtraum und heutzutage völlig überflüssig auf Windows Rechnern.
https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Virenschutz-gefaehr ...
https://www.heise.de/select/ct/2019/3/1549002696073866
https://www.heise.de/newsticker/meldung/Virenschutz-im-Test-Reicht-der-W ...
Solche Addons sind mittlerweile sinnfrei. Was sie sonst noch anrichten hast du ja am eigenen Leibe gespürt.
Das ist Blödsinn. Vergiss diesen Unsinn. Es funktioniert fehlerfrei mit dem Defender.
Wenn du am Kasperskerkram festhalten willst dann trägst du halt schlicht und einfach eine Ausnahme in dessen Firewall ein für das 10.8.0.0er IP Netz und gut iss.
Das ist ja nun in einer Minute mit einem simplen Mausklick im Kaspersky Setup erledigt. Warum machst du also so ein Hophei davon ?!
Wenn du dir das Leben einfacher machen willst: Schmeiss den ganzen 3rd Party Müll da runter und reaktiviere den Windows Defender und gut iss.

Wenn's das denn war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.

Das ist so nicht ganz richtig.
Im Privat Bereich reicht ein Defender vollkommen aus jedoch im Unternehmensbereich nicht bzw. nicht ohne den System Center OM & CM.

Und Ja Karspersky ist ein Albtraum.