schalck
Goto Top

OpenVPN kein Zugriff auf Server-Freigaben

Hallo Spezies, da ich mich in dieser Materie nicht besonders gut auskenne und meine Kenntnisse nun an ihre Grenzen stoßen wende ich mich an Euch. Folgendes Szenario:
Ich habe zu Hause einen Windows 10 Rechner. Auf diesem habe ich einen OpenVPN Server installiert. Dann habe ich zwei Laptops (ebenfalls Windows 10). Mit diesen möchte ich vom Büro aus (also außerhalb des heimischen Netzwerkes) auf den Server zu Hause zugreifen. Auf diesen Laptops ist die Clientsoftware von OpenVPN installiert. Die entsprechenden Zertifikate und Schlüssel wurden erstellt und in den entsprechenden Ordnern abgelegt. Windows-Firewall wurde deaktiviert. Ich benutze einen Router (Speedport Smart 3) Eine Weiterleitung UDP Port 1194 auf den Server wurde eingerichtet. Eine DynDNS-Adresse wurde ebenfalls eingerichtet.
Server wurde gestartet… Verbindung steht, das kleine Bildschirmsymbol leuchtet grün. Ebenfalls kleine grüne Symbole nach dem Starten auf den Client-Laptops.
Nun habe ich diese Zusammenstellung überprüft. (zu Hause, alle Rechner im gleichen WLAN) Wenn ich am Laptop 1 in die Explorerleiste die Adresse \\192.168.2.100\Freigabe eintippe wird mir die Freigabe im Explorer angezeigt. Mache ich dasselbe mit Laptop 2 (nach Trennung von Laptop 1) erhalte ich eine Fehlermeldung. (keine Zugriff auf die Dateien usw. usw.) Diagnosefeld gedrückt…… PC ist ordnungsgemäß installiert kann aber trotzdem nicht auf die Ressource zugreifen. (so ähnlich jedenfalls)
So, nun bin ich am Ende mit meinen Kenntnissen. Habe einiges über Subnetze gelesen so auch über TAP-Adapter…. Kann aber daraus keine Möglichkeiten zur Lösung des Problems ableiten. Vielleicht kann mir jemand sagen, ob ich hier einen grundsätzlichen Fehler gemacht habe. Über einen Vorschlag würde ich mich freuen. Es nervt, wenn man nicht vorankommt. Aber das kennt ihr ja bestimmt auch.  Ich danke euch schön mal. Gruß Schalck

Content-ID: 567598

Url: https://administrator.de/forum/openvpn-kein-zugriff-auf-server-freigaben-567598.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

ichi1232
ichi1232 25.04.2020 aktualisiert um 09:17:33 Uhr
Goto Top
Nimm doch einfach mal die IP des OpenVPN Servers.

Standard: 10.8.0.1

Diese ist übrigens zu finden, wenn du auf den "kleinen, grünen Monitor" klickst und dir den Verbindungsstatus anzeigen lässt.
aqui
aqui 25.04.2020 aktualisiert um 09:23:14 Uhr
Goto Top
Ich benutze einen Router (Speedport Smart 3)
Das dürfte das generelle Problem sein ! Die Speedport Schrottrouter supporten allesamt keine statischen Routen die aber bei einem internen OpenVPN Server im lokalen Netz zwingend nötig sind !

Zuallererst solltest du sicherstellen das die OpenVPN Verbindung zum Server sauber aufgebaut ist. Dieses Tutorial erklärt dir nochmals alles dafür notwendigen ToDos:
Merkzettel: VPN Installation mit OpenVPN
Dadurch das die Lämpchen leuchten ist das ja scheinbar auch der Fall.
Nun kommt der Grund warum es bei deiner Speedport Gurke scheitert....

Deine OpenVPN Installation dürfte so aussehen:
openvpn
Du erkennst die Problematik sicher schon selber auf den ersten Blick ?!
Alle deine Endgeräte inklusive des Open VPN Servers haben immer deinen Speedport als Default Gateway eingerichtet. Soweit so gut....
Du hast aber im OpenVPN Server mit dem Kommando server 10.10.10.0 255.255.255.0 (Beispiel hier) ein internes VPN Netzwerk 10.10.10.0 /24. Sprich die VPN "Wolke" ist ein eigenes IP Netz und Clients kommen am Server bzw. an allen Endgeräten deines lokalen LANs mit dieser Absender IP Adresse rein. Die Rückantwort bzw. Rückroute in das 10.10.10.0er Netz senden dann alle Endgeräte an deinen Speedport Router da der ja deren Default Gateway ist.
Damit das Rückpaket richtig ankommt müsste der Speedport diese Pakete nun an den OpenVPN Server senden, denn dieser agiert ja ebenfalls als Router zwischen lokalem IP Netz und dem internen OpenVPN Netz.
Da der Speedport aber keine statischen Routen supportet sendet er die Zielpakete für das 10.10.10.0er Netz zum Provider wo sie dann im Datenmülleimer landen.
Das o.a. "Merkzettel Tutorial" erklärt das alles auch noch einmal für Laien verständlich.
Fazit:
Mit deinem Client Access kannst du also ausschliesslich nur deinen lokalen OpenVPN Server erreichen und kein anderes Endgerät in deinem lokalen LAN. Dafür wäre die statische Route auf dem Router erforderlich, die der aber als billiger Consumer Schrottrouter nicht supportet.
Folglich muss also zwangsweise dein OpenVPN Server auch immer gleichzeitig dein SMB/CIFS Sharing Server sprich Dateiserver sein. Logisch denn andere Geräte wären für OVPN Clients unerreichbar.
Es gibt aber eine Teillösung sofern dein Server nicht gleichzeitig der OVPN Server ist. Hier kannst du eine statische Route in das interne OpenVPN Netz statisch einrichten. Unter Windows geht das mit dem Kommando:
route add 10.10.10.0 mask 255.255.255.0 <lokale_IP_OVPNserver> -p

Das "-p" macht unter Windows diese Route permanent so das sie nach dem nächsten Reboot nicht verschwindet.
Wie gesagt, das entfällt wenn der OVPN Server auch gleichzeitig der File Server ist ! Den kann der Client ja immer erreichen. Zwingend ist hier allerdings das du auf dem Server das IPv4 Forwarding (Routing) aktivierst, was du vermutlich auch vergessen hast ?!
Das o.a. "Merkzettel_Tutorial" hat hier auch die entsprechenden Information dazu wie man das richtig macht !!
schalck
schalck 25.04.2020 um 09:57:27 Uhr
Goto Top
Vielen Dank erst einmal für die schnellen Antworten. Ich werde alles erst mal sacken lassen und dann in Ruhe verarbeiten. Die Lösung (oder Nicht-Lösung face-sad ) werde ich dann posten. Euch allen erst mal ein schönes Wochenende. Und schön gesund bleiben.
aqui
aqui 25.04.2020 um 10:08:01 Uhr
Goto Top
Wir sind gespannt... face-wink
Fabezz
Fabezz 25.04.2020 aktualisiert um 12:04:22 Uhr
Goto Top
Hi,
den Kopf nicht hängen lassen.

Wenn ich das richtig interpretiere dann sind alle deine Zielgeräte bzw. auch der OpenVPN Server im selben Netz oder sehe ich das falsch?

Falls ja und der Tunnel wirklich sauber steht denke ich dass du einen aber kleinen entscheidenden Punkt unter Windows vergessen hast.
Windows untersagt es im Default das Routen zwischen zwei Interfaces. Um die Geräte im selben Subnetz ( bei dir 192.168.2.0/24) erreichen zu können musst du genau dieses Routing aktivieren.

Folge dieser Anleitung dann sollte es gehen:
https://www.keepthetech.com/2016/01/enable-ip-routing-on-windows10.html

Ein statisches Routing auf deinem Router benötigst du nur wenn sich der VPN Server in einem anderen Subnetz Zuhause ist.

Wie auch bei aqui seinem klasse Bild zu erkennen steht dies als Hinweis bei dem OpenVPN Server.

Noch ein kleiner hinweis:
Wenn du gerne mit VPN arbeiten willst dann ändere deine IPs im Heimnetz denn das Subnet 192.168.2.0/24 ist ein Standard Netz welches bei vielen Router verwendet werden. Wenn du also mal außerhalb bei Freunden bist und die dieses Netz ebenfalls verwenden wird dein VPN nicht funktionieren. Deshalb am besten eine ip welche eine geringe Wahrscheinlichkeit hat als Standard wiebzum Beispiel 192.168.123.0/24.
aqui
aqui 25.04.2020 aktualisiert um 12:30:50 Uhr
Goto Top
Um die Geräte im selben Subnetz ( bei dir 192.168.2.0/24) erreichen zu können musst du genau dieses Routing aktivieren.
Deshalb ja auch der Hinweis im vorherigen Posting das IP Forwarding/ Routing zu aktivieren. Das hiesige OpenVPN Tutorial weist, wie auch oben schon bemerkt, ebenso explizit darauf hin:
Merkzettel: VPN Installation mit OpenVPN
Ein statisches Routing auf deinem Router benötigst du nur wenn sich der VPN Server in einem anderen Subnetz Zuhause ist.
Das ist leider Unsinn und ein fataler Denkfehler.
Der OpenVPN Server ist ja immer in 2 Subnetzen zuhause. Einmal das lokale LAN und einmal das interne OpenVPN IP Netz. Er ist also selber auch ein Router zwischen diesen beiden Netze. Deshalb muss ja auch das IP Forwarding/Routing auf dem Server aktiv sein und die statische Route im Internet Router vorhanden sein.
Die Route wird immer benötigt ansonsten kann ein VPN Client niemals andere Endgeräte im lokalen LAN erreichen. Das warum ist oben explizit geschildert.
Einzig wenn nur der OpenVPN Server das singuläre Ziel für den remoten OVPN Zugang ist und keinerlei andere Endgeräte im lokalen LAN erreichbar sein müssen, dann (und nur dann) wird keine Route benötigt ! Klar, denn der OVPN Server kennt seine IP Netze ja selber.
Andere Endgeräte im lokalen LAN brauchen diese statische Route auf dem Internet Router aber für die Rückantwort (Rückroute) ins interne OpenVPN Netz zwingend !
Fabezz
Fabezz 25.04.2020 aktualisiert um 12:55:26 Uhr
Goto Top
Habe es so bei Industrieanlagen eingerichtet für wartungzwecke an den nachgelagerten Sensoren. Nur ist mir jetzt nicht klar wie dies immer funktionieren konnte denn die damalige Sophos kannte das nachgelagerten Netz und das VPN Netz nicht. Hier war nur ein Windows 10 zwischen geschalten welches den OpenVPN Server beheimatet hat und welcher als Ziel in der Firewall mit dem entsprechenden Port eingestellt war. Win10 hatte ebenfalls 2 Interfaces. Eins für das Maschinennetz mit den Sensoren und ein anderes für die Kommunikation ins Produktivnetz.

Diese Funktion würde dann nach deiner Beschreibung nicht funktionieren jedoch diese Konfiguration wurde bei einem Automobilhersteller 10-20fach umgesetzt und läuft nach meinem Wissensstand noch immer so.

Der TO könnte noch die Router Problematik umgehen mit einer Route bei jedem Zielsystem.

Wie du geschrieben hast: Windows cmd
route add TUNNEL-NETZ mask 255.255.255.0 <lokale_IP_OVPNserver> -p
schalck
schalck 25.04.2020 um 12:57:07 Uhr
Goto Top
Huu Huu.... das wird wohl schwierig für mich. Aber noch mal etwas zur Klarstellung...... Ja es ist richtig, zum testen befanden sich alle 2 Rechner (Server und zweimal Client) im gleichen Heimnetzwerk. Das war jedoch nur zum generellen testen der Verbindung. Ziel für mich ist es, den/die Clientrechner mit ins Büro zu nehmen um von dort aus auf den Server zugreifen zu können. Ich hoffe, dass somit das Problem nicht NOCH größer wird. (oder ???)
ichi1232
ichi1232 25.04.2020 um 13:05:53 Uhr
Goto Top
Wenn dein Arbeitgeber den Port 1194/udp ausgehend blockiert, dann war es das sowieso.

Du kannst dann zwar Serverseitig noch auf andere Ports ausweichen, ich bezweifle aber dass das funktioniert, wenn es vom AG vernünftig gemacht wurde (z.B. Proxy, Firewall, etc. pp.).
Fabezz
Fabezz 25.04.2020 um 13:25:50 Uhr
Goto Top
Was ist denn die IP 192.168.2.100 ?
Ist das eine NAS oder was?

Auf was willst du denn generell immer von der Arbeit aus zugreifen?

Erstmal so hinbekommen und dann weiter gehen.
Wie ist denn dein Testgerät verbunden?
Über LTE oder bist du damit immer im selben Netz wie der openVPN Server?
schalck
schalck 25.04.2020 um 14:14:29 Uhr
Goto Top
Die IP 192.168.2.100 ist der Rechner auf dem der OVPN Server installiert ist.

Zur zweiten Frage- ja ihr werdet euch an den Kopf greifen- ich brauche diesen Fernzugriff auf mein Heimnetzwerk eigentlich nicht. Es ist einfach mal eine Herausforderung, sowas zum Laufen zu bringen. Mich eben mit der Materie zu befassen, da mich dieses Thema einfach interessiert. Ich hoffe, ihr werft mich jetzt nicht aus dem Forum.

Der Client-Rechner befindet sich (oder soll sich mal) in einem fremden Netz (also in einer anderen Stadt) befinden und über WLAN verbunden sein.
broecker
broecker 25.04.2020 um 14:23:22 Uhr
Goto Top
Es ist einfach mal eine Herausforderung, sowas zum Laufen zu bringen.
ja, da liegt mir als ehemaligem Arbeitgeber auf der Zunge: bitte sehen Sie sich ab sofort vollzeit nach neuen Herausforderungen um!
Bitte probiere den VPN-Zugriff von anderen Heimnetzen aus oder auch von Deinem Handy aus, ein Arbeitgeber könnte leicht meinen, daß Daten ins Heimnetz dezentralisiert gebackupt werden sollen - und das ist ihm kaum zu erklären.
HG
Mark
rzlbrnft
rzlbrnft 25.04.2020 um 15:07:53 Uhr
Goto Top
Zitat von @schalck:
Nun habe ich diese Zusammenstellung überprüft. (zu Hause, alle Rechner im gleichen WLAN) Wenn ich am Laptop 1 in die Explorerleiste die Adresse \\192.168.2.100\Freigabe eintippe wird mir die Freigabe im Explorer angezeigt. Mache ich dasselbe mit Laptop 2 (nach Trennung von Laptop 1) erhalte ich eine Fehlermeldung. (keine Zugriff auf die Dateien usw. usw.) Diagnosefeld gedrückt…… PC ist ordnungsgemäß installiert kann aber trotzdem nicht auf die Ressource zugreifen. (so ähnlich jedenfalls)

Frage: Wie willst du damit OpenVPN testen, wenn alle im selben WLAN sind? Dann greifst du höchstwahrscheinlich direkt über die WLAN IP am OpenVPN vorbei auf den Rechner. Sinnfrei.

Probier doch den Test lieber über eine Tethering Verbindung auf dein Handy, das wäre dann vielleicht sogar eine sinnvolle Anwendung wenn du mal unterwegs in einem Hotel bist und Daten von zu Hause brauchst.

Und, falls du tiefer in die Materie einsteigen möchtest, hol dir lieber eine kleine SG-1100 von Netgate oder installier dir pfSense auf irgendeiner stromsparenden Micro Hardware oder wahlweise in einer VM auf deiner Büchse, dann hast du Firewall Funktionalitäten und ähnliche Spaßmacher auch gleich mit dabei.
schalck
schalck 25.04.2020 um 15:43:43 Uhr
Goto Top
Ja ich sehe..... es gibt für mich noch sehr sehr sehr viel zu lernen. Aber nicht so schlimm. Ich danke euch allen erst mal.
Eine Bemerkung noch zum Post von "broecker". Aus dieser Sicht habe ich das noch gar nicht gesehen. Den Begriff "Büro" habe ich verwendet, um einfach nur auszudrücken, dass ich von einem ENTFERNTEN Netz auf mein Heimnetzwerk zugreifen möchte. Ja, ich hätte auch Hotel-
WLAN oder Bahnhof schreiben können. Um Himmels Willen. Ich möchte hier nichts illegales tun !!! Ich möchte einfach nur beim Thema "Computer" ein kleines bisschen fit bleiben- auch in meinem Alter. Und dabei hat mich dieses Thema (OpenVPN) einfach nur fasziniert.
Ich werde in der nächsten Zeit einfach weiter probieren und Eure Hinweise nutzen. Oder auch noch mal nachfragen. face-smile
Nochmal vielen Danke an alle und ein schönes Wochenende.
aqui
aqui 25.04.2020 aktualisiert um 15:55:21 Uhr
Goto Top
dass ich von einem ENTFERNTEN Netz auf mein Heimnetzwerk zugreifen möchte.
Das ist auch völlig egal ob es das Büro-, Hotel oder Bahnhofsnetz ist.
Eine halbwegs intelligente VPN IP Adressierung sollte dann aber zwingend sein. Siehe dazu auch hier:
VPNs einrichten mit PPTP
Und dabei hat mich dieses Thema (OpenVPN) einfach nur fasziniert.
Das ist auch absolut OK so und ein OVPN Netz wahrlich kein Hexenwerk ! face-wink
Wie gesagt mit dem Rüstzeug des hiesigen OpenVPN_Tutorials solltest du das im Handumdrehen zum Fliegen bringen !
In Ruhe lesen, verstehen und umsetzen, dann klappt das auch auf Anhieb !!
Wenn nicht weisst du ja wo du fragen musst..! face-wink
schalck
schalck 26.04.2020 um 07:54:24 Uhr
Goto Top
Guten Morgen, nachdem ich mir noch einmal viele Gedanken gemacht habe wende ich mich noch einmal an Euch.
Im Schema habe ich mal dargestellt, wie mein Geräteaufbau ist. Nun stelle ich mir vor, dass ich vom Clientrechner aus auf die NAS zugreifen möchte um mir zum Beispiel ein paar Urlaubsbilder anzusehen.
1. Frage: Ist der Verlauf der Anfrage (bei bestehender OVPN-Verbindung), wie die blaue Linie zeigt, richtig ? Also läuft die Anfrage vom Clientrechncher durch den UDP-Port 1194 direkt zum NAS ? Also erst einmal am OVPN Server vorbei ? Oder habe ich hier schon den ersten Denkfehler ?
2. Auf welchem Weg erfolgt die Antwort zu meinem Clienten ? (Ich vermute mal vom NAS über den OVPN-Server, dann durch den Router zum Clienten)
3. Dann habe ich gelesen, dass die Geräte im Heimnetzwerk- also auch die NAS- als Gateway der Router eingetragen ist. Jetzt vermute ich mal, dass bei dieser Einstellung die Antwort direkt an den Router weitergeleitet (also nicht zum OVPN-Server) und somit nicht am Clienten ankommt. Sollte das so sein- wie kann ich das ändern ?
4. Letzte Frage: Sollte ich diesen Konstrukt mal irgendwann zum laufen bekommen- wie rufe ich die Freigaben auf dem NAS vom Clientrechner auf ? Wäre die Eingabe \\192.168.2.147\Freigabe richtig ?

So, wie ihr seht, gibt es Leute, die schon an relativ einfachen Dingen graue Haare bekommen. Nur zu gut, dass es dieses Forum mit Euch- den Wissenden- gibt. 

schema
broecker
broecker 26.04.2020 um 09:38:44 Uhr
Goto Top
Nicht ganz, es soll nichts für den Client bestimmtes am OVPN vorbeigehen, d.h. die Endgeräte im Heimnetz bekommen eine zweite Route zu 10./8 o.ä. neben ihrem Standardgateway für den normalen Verkehr und Internet (Updates etc). Der OVPN-Server IST der Router für das NAS. D.h. diese zweite Route muß im NAS konfigurierbar sein.
HG
Mark
aqui
aqui 26.04.2020 aktualisiert um 09:55:18 Uhr
Goto Top
So, wie ihr seht, gibt es Leute, die schon an relativ einfachen Dingen graue Haare bekommen.
Was sich aber mit ein bischen logischem Nachdenken auch vermeiden ließe... face-wink
Sieh dir mal deine Zeichnung oben an. Dort erkennst du schon die Kardinalsfehler die du gemacht hast. Kollege @broecker hat es ja schon richtig bemerkt.
Das Port Forwarding von UDP 1194, also dem OpenVPN Traffic, zeigt (wenn man deiner Zeichnung glaubt) bei dir auf die NAS IP Adresse statt auf den OpenVPN Server. Warum bekommt also sinnloserweise das NAS den eingehenden OpenVPN Traffic und nicht der OpenVPN Server wo dieser Traffic eigentlich hinsoll. Sorry, aber das das nicht stimmt sagt einem ja schon der gesunde Menschenverstand.

So sähe dein Design mal etwas übersichtlicher und verständlicher aus:

ovpnintern

Zudeinen Fragen:
1.)
Nein, das ist natürlich völlig falsch, denn der OpenVPN Traffic muss doch erstmal auf den OpenVPN Server der die Tunnelverbindung terminiert, die Daten vom Client dort entschlüsselt und an das NAS weiterreicht. Es ist doch vollkommen sinnfrei den VPN Verkehr am VPN Server vorbei zum NAS zu schicken ?!
2.)
Alles erfolgt über den OpenVPN Server ! Der OpenVPN Server ist als Router zu sehen der zwischen dem VPN Client Netz (10.0.0.0 /24 bei dir) und dem lokalen LAN (192.168.2.0 /24 bei dir) routet. Deshalb muss ja auch zwingend das Routing im OpenVPN Server aktiviert werden !
Siehe dazu auch das hiesige OpenVPN Tutorial mit allen Details zu dem Thema: Merkzettel: VPN Installation mit OpenVPN
Bitte dieses nochmal genau in Ruhe durchlesen und verstehen !
VPN Verkehr geht also von außen kommend folgenden Weg:
  • immer erst per UDP 1194 Port Forwarding zum internen OpenVPN Server
  • wird dort entschlüsselt und entpackt
  • und weiter zum NAS gesendet
  • Antwortdaten vom NAS zum VPN Client sendet das NAS an sein Default Gateway (Internet Router)
  • Der Router erkennt per statischer Route das der Empfänger das VPN Netz ist und routet es an den OpenVPN Server
  • der routet es wieder zum VPN Client
So einfach ist das.
Deine Problematik ist das der billige Speedport Schrottrouter keine statischen Routen supportet. Diese Route ist dort zwingend, denn die sagt dem Router: "Hey, allen VPN Traffic für das 10.0.0.0er IP Netz bitte nicht zum Provider sondern zum OpenVPN Server senden !!"
So kommt der VPN Traffic also wieder zum Client.
Das geht bei dir genau nicht wegen der fehlenden Möglichkeit auf dem Speedport statische Routen zu definieren ! face-sad
So war es wenigstens bis jetzt. Ggf. siehst du besser zur Sicherheit nochmal nach ob ggf.nicht doch mittlerweise eine Option im Setup dafür da ist ! Dort müsste es so einen Menüpunkt wie "Routing" im IP Setting geben !
Aber auch wen es wie zu erwarten fehlen sollte, dann gibst du die statische Route eben im NAS direkt ein. Dort gibt es bei guten NAS Systemen in der Regel die Option einer statischen Router. Diese lautet dann dort:
Ziel: 10.0.0.0, Maske: 255.255.255.0, Gateway: 192.168.2.100
So kann das NAS dann direkt den VPN Traffic an den OpenVPN Server senden OHNE eine statische Route im Router und alles ist wieder gut !
Die o.a. Zeichnung illustriert das auch für Laien verständlich.
3.)
Ja das ist ja so, weil alle Geräte im lokalen LAN automatisch per DHCP oder statischen Eintrag ja den Speedport Router als Gateway eingetragen haben. Allen Datenverkehr der nicht fürs lokale IP Netz ist schicken sie also an dendenn der weiss wohin damit. Genau deshalb musst du ihm ja auch per statischer Route sagen wo er den VPN Verkehr hinsenden soll. Das aber geht vermutlich mit dem Speedport nicht wegen der fehlenden Routing Option. Genau deshalb musst du das dann auf den Endgeräten wie z.B. dem NAS erledigen. Oder....du musst dir einen anständigen Router beschaffen der den Namen auch verdient wie z.B. einer FritzBox. In der EU herrscht ja Router Freiheit !
4.)
Das wird man in jedem Falle zum Laufen bekommen auch mit dem Speedport. Die einfache Lösung ist ja oben nun explizit erklärt für dich. face-wink
Wenn VPN seitig alles rennt rufst du Freigaben stinknormal über die IP Adresse des NAS auf also z.B. \\192.168.2.147\<Verzeichnis>
Ganz einfach !

So, nun bist du wieder dran das endlich zum Fliegen zu bringen. Übrigens wäre deine OpenVPN Server und Client Konfig Datei hier mal sehr hilfreich für das Troubleshooting. Ansonsten aber immer in das o.a. Tutorial sehen dort ist alles erklärt zum Thema OpenVPN inklusive Konfig Beispieldateien.
schalck
schalck 26.04.2020 um 10:20:39 Uhr
Goto Top
Zuerst mal vielen vielen Dank für die ausführlichen Antworten, vor allem für deren Verständlichkeit. Langsam fange ich an, das Prinzip zu verstehen. Jetzt kann ich mich damit weiterbeschäftigen und bin eigentlich guter Hoffnung, dass ich es hinbekomme. Aber ich werde auch eurem Rat folgen, und mir einen anderen Router besorgen. Bisher war ich zwar mit meinem Speedport ganz zufrieden, aber es ist wohl Tatsache, dass er eben nur für das grundlegende Betreiben eines einfachen Heimnetzwerkes taugt.
Ich hoffe, dass ich in den nächsten Tagen Erfolg habe. Und ich werde es natürlich hier posten.
Ich wünsche Euch allen noch einen sonnendurchdrungenen Sonntag und eine erfolgreiche nächste Woche.
aqui
aqui 26.04.2020 aktualisiert um 12:44:40 Uhr
Goto Top
Wie gesagt, es geht auch ohne neuen Router dann aber mit statischen Routen auf dem NAS.
Oder als Alternative du musst alle Daten auf den OpenVPN Server kopieren bzw. von diesem ein simples Verzeichnis auf dem NAS mounten das du direkt im OpenVPN Server ansprechen kann.
Wenn der OpenVPN Server ein Netzwerk Laufwerk auf dem NAS fest gemountet hat kommst du auch gänzlich ohne jegliche Route irgendwo aus. Dann kannst du alles direkt über den OpenVPN Server selber machen. Den erreichst du ja immer.
All das geht wenn du mit dem bestehenden Speedport weitermachen willst. Ein Hinderungsgrund ist dieser Router nicht auch wenn er nicht optimal ist.

Bringe zuallererst mal dein OpenVPN zum Laufen, denn mit dem derzeit völlig falschen Port Forwarding Einstellungen kann das ja nicht funktionieren.
Das wäre die erste Hürde und 80% der Installation. Der Rest ist dann simples Finetuning ! face-wink
schalck
schalck 26.04.2020 um 12:26:05 Uhr
Goto Top
Eine Frage hätte ich noch: bei dem obigen Beispielbild, welche auf meine "Konstruktion" zugeschnitten ist, steht neben dem Server: "IP Forwarding aktivieren".
Frage:
Bedeutet das die Weiterleitung der Pakete vom OVPN-Server zum NAS ?
Wird diese Weiterleitung in der Server config-Datei eingefügt ?
Wie sieht dieser Befehl aus ?
aqui
aqui 26.04.2020 aktualisiert um 12:46:33 Uhr
Goto Top
Bedeutet das die Weiterleitung der Pakete vom OVPN-Server zum NAS ?
Bitte tue uns doch allen mal den Gefallen und lese einmal wirklich die dir hier geposteten Hilfen zu dem Thema !! face-sad
Merkzettel: VPN Installation mit OpenVPN
Dort steht doch nun wirklich ALLES schwarz auf weiß und auch so erklärt das Laien es auch sofort verstehen.

Nochmal für dich in Kurzform weil heute Sonntag ist:
Bei Windows und Linux Rechnern ist das Weiterleiten (Forwarding) von IP Paketen (gemeinhin auch Routing genannt) von einem Netzwerk Interface zum anderen Netzwerk Interface grundsätzlich immer deaktiviert bzw. abgeschaltet !
Diese Rechner können also deshalb NICHT als Router arbeiten was sie eigentlich müssten. Man muss es ihnen also immer erst über ihre Systemkonfig sagen das sie das sollen.
Routing ist ja eben nichts anderes als IP Pakete von einem Netzwerk Adapter auf einen anderen weiterleiten. Dein OpenVPN Server muss IP Pakete vom internen VPN Tunnel Interface auf den LAN Netzwerk Adapter weiterleiten ! Routing eben...
Wenn du es also versäumst dieses Routing in deinem Windows PC, der als OpenVPN Server arbeitet, im System zu aktivieren wird deine Installation nicht funktionieren !
Genau aus diesem Grund wird explizit im oben zitierten OpenVPN Merkzettel Tutorial darauf hingewiesen !
Das wird natürlich nicht im OpenVPN Setup gemacht, denn das ist eine grundlegende Funktion des Rechner Betriebssystems selber. In deinem Falle also Winblows ! Folglich muss es also immer in den Windows Betriebssystem Einstellungen gemacht werden.
Aus diesem Grund macht man das über den Windows Registry Editor regedit wie oben im Tutorial genau beschrieben. Danach die Winblows Gurke rebooten damit es aktiv wird.
Deine OVPN Konfig Dateien wären dennoch hilfreich um auszuschliessen das du noch weitere Fehler gemacht hast.
Alles doch einfach und logisch...wenn man denn mal Hilfe annimmt, liest und versteht ! face-wink
schalck
schalck 26.04.2020 um 12:58:44 Uhr
Goto Top
Sorry wegen meiner Nerverei. Und trotzdem DANKE !!!!!!! für Deine Erklärung. face-smile
schalck
schalck 27.04.2020 um 15:41:48 Uhr
Goto Top
Hier noch mal meine Server-config

port 1194

;proto tcp
proto udp

;dev tap
dev tun

;dev-node MyTap

ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\MeinServer.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\MeinServer.key" # This file should be kept secret

dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh2048.pem"

;topology subnet

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100

;server-bridge

;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"


;client-config-dir ccd
;route 192.168.40.128 255.255.255.248


;client-config-dir ccd
;route 10.9.0.0 255.255.255.252

;learn-address ./script

;push "redirect-gateway def1 bypass-dhcp"

;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

;client-to-client

;duplicate-cn

keepalive 10 120


cipher AES-256-CBC

;compress lz4-v2
;push "compress lz4-v2"

;comp-lzo

;max-clients 100

;user nobody
;group nobody

persist-key
persist-tun

status openvpn-status.log

;log openvpn.log
;log-append openvpn.log

verb 3

;mute 20

explicit-exit-notify 1
schalck
schalck 27.04.2020 um 15:49:57 Uhr
Goto Top
Und die config vom Client


client

;dev tap
dev tun

;dev-node MyTap

;proto tcp
proto udp

remote MeinName.selfhost.eu 1194
;remote my-server-2 1194

;remote-random

resolv-retry infinite

nobind
)
;user nobody
;group nobody

persist-key
persist-tun

;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

;mute-replay-warnings


ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\MeinClient.crt"
key "C:\\Program Files\\OpenVPN\\config\\MeinClient.key"

remote-cert-tls server

cipher AES-256-CBC

verb 3

;mute 20
aqui
aqui 27.04.2020 aktualisiert um 16:09:46 Uhr
Goto Top
Ist das sehr unübliche ";" vor den Zeilen ein Auskommentieren und damit Deaktivieren dieses Kommandos oder was soll das sein ?
Normal geschieht das Auskommentieren mit einem "#" ?!?
Und bitte nicht nervig mit separaten Threads, das kann man auch einfach und erheblich übersichtlicher mit Code Tags ! für Server und Client hier darstellen !
FAQs lesen hilft wirklich ! Formatierungen in den Beiträgen face-wink

Server Konfig hat den Fehler das dort keine topology subnet verwendet wird (auskommentiert). Das veraltete /30er Subnetz Prinzip was dann zur Anwendung kommt sollte man besser nicht mehr verwenden ! Es schadet aber zum testen auch nicht und kann man später anpassen.
Halte dich immer zur Orientierung an die Konfig Datei Beispiele des hiesigen OpenVPN_Tutorials !
Der Rest vom Server ist soweit OK.
Client passt auch soweit.
Alles gut also aus Konfig Sicht...

Das kannst du ganz einfach und schnell mal testen indem du den Client ins Server Netz klemmst und einmal die VPN Verbindung über die lokale IP des Servers lokal aufmachst.
Dann siehst du dir mal die Log Dateien von Server und Client an !
Dort sollte immer ein "Initialization Sequence completed" am Ende stehen was dann sagt das alles perfekt gelaufen ist. Siehe dazu auch das o.a. Tutorial.
Mit diesem einfachen lokalen Test kannst du dir dann ganz wasserdicht sicher sein das deine OpenVPN Konfig zw. Server und Client absolut richtig ist und alles sauber funktioniert.
Damit sollte es dann auch sofort fehlerfrei von Remote auf Anhieb klappen.
schalck
schalck 27.04.2020 um 16:30:06 Uhr
Goto Top
Danke für die Hinweise. Die config-Dateien habe ich aus den Downloads verwendet und angepasst. Den Test werde ich machen. Muss aber erst mal zum Nachtdienst. Morgen bekomme ich auch einen neuen Router. Fritzbox 7530. Ich hoffe, dass sich damit auch wieder ein paar Probleme klären. Ich denke, dann wird es wohl diese Woche noch funktionieren.
Euch noch einen schönen Abend
aqui
Lösung aqui 27.04.2020 aktualisiert um 16:40:40 Uhr
Goto Top
Die config-Dateien habe ich aus den Downloads verwendet
Was für Downloads ??
Muss aber erst mal zum Nachtdienst.
Oha, du Armer....
Morgen bekomme ich auch einen neuen Router. Fritzbox 7530
👍 Damit wird das dann ein Selbstgänger ! Dann brauchst du nur das o.a. OpenVPN Tutorial abzuarbeiten und abzutippen und alles rennt sofort !
Ich denke, dann wird es wohl diese Woche noch funktionieren.
Wir sind wie immer gespannt ! face-wink
144095
144095 28.04.2020 aktualisiert um 13:51:53 Uhr
Goto Top
schön
rzlbrnft
rzlbrnft 28.04.2020 um 11:38:01 Uhr
Goto Top
Da würd ich eher eine pfSense Installation vorschlagen, die macht ihm die Scripte so wie sie sein sollen und gibt das meiste vor.
Funktioniert auch in einer Windows VM.
aqui
aqui 28.04.2020 aktualisiert um 14:02:44 Uhr
Goto Top
iptables sollte man im VPN Tunnel nicht verwenden. Schon gar nicht das Masquerading was dann im Tunnel selber NAT macht. Das ist meist immer ein sicherer Garant das das VPN dann später nicht funktioniert.

Außerdem hilft es dem TO hier auch nicht wirklich, denn er benutzt 2 Winblows Maschinen. Insofern ist er damit in Bezug auf falsche und irreführende iptables Regeln (glücklicherweise) unberührt denn die gibt es bekanntlich gar nicht bei Windows. face-wink
144095
144095 28.04.2020 aktualisiert um 13:44:52 Uhr
Goto Top
alles klar
schalck
schalck 29.04.2020 um 21:38:34 Uhr
Goto Top
Hallo zusammen. Wie versprochen möchte ich berichten, welches Ergebnis ich erreicht habe.
Habe eine Fritzbox besorgt und eingerichtet. Ihr hattet hier schon mal Recht. Der Speedport ist wirklich nicht sonderlich hilfreich, wenn man mehr tun will als einfach nur ein bisschen im Internet zu serven.
Statische Route habe ich gesetzt. Ziel: 10.8.0.0 Subnetz 255.255.255.0 Gateway 192.168.57.1
Portweiterleitung auf 192.168.57.xx (auf DAS Gerät, auf welchem der OpenVPN-Server installiert ist. Die OpenVPN config-Dateien habe ich angepasst.
Server gestartet, Verbindung hergestellt. Meldung: verbunden mit server. IP 10.8.0.1, kleiner Monitor ist grün.
Client gestartet, Verbindung hergestellt. Meldung: verbindung mit client. IP 10.8.0.8, kleiner Monitor ist grün.
Im Dateiexplorer \\10.8.0.1 eingegeben….. Fehlermeldung. Habe noch laaaaaange probiert- ohne Erfolg. Dann habe ich auf dem Serverrechner KASPERSKY deaktiviert. Und siehe da- es funktioniert.
Erst mal danke für Eure Hilfe, die vielen Tipps und die Geduld. Eigentlich habe ich jetzt nur noch eine Frage :
Ich habe gelesen, dass sich OVPN nicht mit der Windows Firewall (die ich bereits deaktiviert habe) verträgt. Kaspersky offensichtlich auch nicht. Aber ohne beides ist es doch viel zu riskant. Welche Alternativen würdet ihr vorschlagen ?
aqui
aqui 30.04.2020 aktualisiert um 10:15:21 Uhr
Goto Top
Kaspersky ist ein sicherheitstechnischer Albtraum und heutzutage völlig überflüssig auf Windows Rechnern.
https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Virenschutz-gefaehr ...
https://www.heise.de/select/ct/2019/3/1549002696073866
https://www.heise.de/newsticker/meldung/Virenschutz-im-Test-Reicht-der-W ...
Solche Addons sind mittlerweile sinnfrei. Was sie sonst noch anrichten hast du ja am eigenen Leibe gespürt.
Ich habe gelesen, dass sich OVPN nicht mit der Windows Firewall (die ich bereits deaktiviert habe) verträgt
Das ist Blödsinn. Vergiss diesen Unsinn. Es funktioniert fehlerfrei mit dem Defender.
Wenn du am Kasperskerkram festhalten willst dann trägst du halt schlicht und einfach eine Ausnahme in dessen Firewall ein für das 10.8.0.0er IP Netz und gut iss.
Das ist ja nun in einer Minute mit einem simplen Mausklick im Kaspersky Setup erledigt. Warum machst du also so ein Hophei davon ?!
Wenn du dir das Leben einfacher machen willst: Schmeiss den ganzen 3rd Party Müll da runter und reaktiviere den Windows Defender und gut iss.

Wenn's das denn war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
Fabezz
Fabezz 30.04.2020 um 12:25:40 Uhr
Goto Top
Zitat von @aqui:

Kaspersky ist ein sicherheitstechnischer Albtraum und heutzutage völlig überflüssig auf Windows Rechnern.

Das ist so nicht ganz richtig.
Im Privat Bereich reicht ein Defender vollkommen aus jedoch im Unternehmensbereich nicht bzw. nicht ohne den System Center OM & CM.

Und Ja Karspersky ist ein Albtraum.
aqui
aqui 30.04.2020 um 13:37:37 Uhr
Goto Top
OK, das stimmt, da hast du Recht...