davedave
Goto Top

OpenVPN läuft trotz gleicher Config auf einem PC, aber nicht auf dem anderen - was ist denn da los?

Einen wunderschönen guten Abend liebe Helfer!

Ich habe schon eine Weile mein Firmennetzwerk über OpenVPN mit einer Nebenstelle ohne Server verbunden.

Vor ein paar Monaten fingen dann plötzlich nach und nach die Mitarbeiter drüben an, dass sie nicht gleichzeitig im Internet surfen und mit dem VPN verbunden sein können.
Sprich, wenn der OpenVPN Monitor grün leuchtet, kommen sie über Internet auf die Netzwerkordner in der Hauptstelle, aber können nicht parallel mit dem Browser surfen. Teamviewer geht aber auch...

Wenn ich jetzt von zu Hause mit genau der gleichen Konfiguration ins VPN gehe, kann ich aber trotzdem parallel im Internet surfen... Was soll diese Farce??

Ich habe schon ein paar andere Konfigurationen durch, aber ich bleibe jetzt bei der alten, die bei mir zu Hause klappt, aber in der Nebenstelle nicht.

Alle Systeme haben Windows 7 Professional und der Server 2008 R2 Enterprise.

Unten sind alle Configs noch mal komplett, aber ich denke es reichen folgende Angaben:

Fritzbox hat die IP-Adresse............192.168.1.1
Server hat die IP-Adresse...............192.168.1.5
Nebenstelle hat die IP-Adresse......192.168.0.0
Privat hat die IP-Adresse.................192.168.0.0

Die Nebenstelle hatte ursprünglich 192.168.178.0, aber weil es zu Hause funktionierte, habe ich das ebenfalls auf 0 umgestellt und es jetzt einfach so gelassen.

OpenVPN Server-Config
# Zertifikate
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"  
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\Server.crt"  
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\Server.key"  
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh4096.pem"  

# Server und Netzwerk

port 1194
proto udp
dev tap
server 10.8.0.0 255.255.255.0 #Subnetz
ifconfig-pool-persist ipp.txt
comp-lzo
persist-key
persist-tun
keepalive 10 120

push "redirect-gateway def1"  


# Log
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"  
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"  
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"  
verb 3 

OpenVPN Client-Config
# Zertifikate
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"  
cert "C:\\Program Files\\OpenVPN\\config\\MeinClient.crt"  
key "C:\\Program Files\\OpenVPN\\config\\MeinClient.key"  

# Client-Setup
client
dev tap
proto udp
remote XX.XXX.XXX.XX 1194 #Hostname anpassen
resolv-retry infinite
nobind
persist-key
persist-tun
route-metric 512
route 0.0.0.0 0.0.0.0
comp-lzo
verb 3

Ich verstehe nicht, warum das zu Hause funktioniert und in der Nebenstelle nicht. Ports sind auf beiden Routern geforwarded und Windows-FW OFF.

Bitte helft mir!

Liebe Grüße,

Dave


Hier die ipconfig /all

Server
Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : hera
   Primäres DNS-Suffix . . . . . . . : juku.de
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : juku.de

Ethernet-Adapter LAN-Verbindung 5:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
   Physikalische Adresse . . . . . . : 00-FF-42-B3-A8-70
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::941d:5a99:6728:7da0%21(Bevorzugt)
   IPv4-Adresse (Auto. Konfiguration): 169.254.125.160(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
   Standardgateway . . . . . . . . . :
   DHCPv6-IAID . . . . . . . . . . . : 335609666
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-21-57-E4-37-00-15-17-98-74-82
   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter LAN-Verbindung 4:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 EB-Netzwerkverbindung mit E/A-Beschleunigung #2
   Physikalische Adresse . . . . . . : 00-15-17-64-A5-39
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Ethernet-Adapter LAN-Verbindung 3:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 EB-Netzwerkverbindung mit E/A-Beschleunigung
   Physikalische Adresse . . . . . . : 00-15-17-64-A5-38
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.1.5(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 192.168.1.1
   DNS-Server  . . . . . . . . . . . : 192.168.1.5
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter LAN-Verbindung 2:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 PT Dual Port Server Adapter #2
   Physikalische Adresse . . . . . . : 00-15-17-98-74-83
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Ethernet-Adapter LAN-Verbindung:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 PT Dual Port Server Adapter
   Physikalische Adresse . . . . . . : 00-15-17-98-74-82
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{F9234D43-E58F-4E13-8DA4-1791D7E956D6}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{D69245D1-C4BE-4BC3-A14B-BDE5821AFA8B}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{791F89A7-C65D-4771-B73F-7373A2CFDB5C}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{4574B6EA-724E-4D6C-AC33-22B1CD46810F}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #4
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter Teredo Tunneling Pseudo-Interface:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.{42B3A870-5AEA-4D0D-A0C7-375F8C0599D8}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #5
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Nebenstelle, wo surfen und Netzwerkordner nicht parallel funktionieren

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : a20
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : fritz.box

Ethernet-Adapter LAN-Verbindung 2:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
   Physikalische Adresse . . . . . . : 00-FF-CB-AF-1A-30
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::ada9:5462:c28a:5c16%16(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 10.19.15.6(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.252
   Lease erhalten. . . . . . . . . . : Montag, 5. November 2018 19:26:06
   Lease läuft ab. . . . . . . . . . : Dienstag, 5. November 2019 19:26:06
   Standardgateway . . . . . . . . . :
   DHCP-Server . . . . . . . . . . . : 10.19.15.5
   DHCPv6-IAID . . . . . . . . . . . : 352387019
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-8A-28-77-D0-50-99-5A-77-BD
   DNS-Server  . . . . . . . . . . . : 192.168.1.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter LAN-Verbindung:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Physikalische Adresse . . . . . . : D0-50-99-5A-77-BD
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::bd38:52ed:e19a:4c72%11(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.0.21(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Montag, 5. November 2018 16:09:49
   Lease läuft ab. . . . . . . . . . : Freitag, 4. Januar 2019 16:09:49
   Standardgateway . . . . . . . . . : 192.168.0.1
   DHCP-Server . . . . . . . . . . . : 192.168.0.1
   DHCPv6-IAID . . . . . . . . . . . : 241173138
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-8A-28-77-D0-50-99-5A-77-BD
   DNS-Server  . . . . . . . . . . . : 192.168.0.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{CBAF1A30-31A9-4D76-9213-58641A6B53E8}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter Teredo Tunneling Pseudo-Interface:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.fritz.box:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Privat-PC, wo surfen und Netzwerkordner parallel funktionieren

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : badass-pc
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein
   DNS-Suffixsuchliste . . . . . . . : box

Ethernet-Adapter LAN-Verbindung 3:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
   Physikalische Adresse . . . . . . : 00-FF-4B-74-57-6F
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::e0f3:475b:b777:535d%16(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 10.8.0.11(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Montag, 5. November 2018 20:41:03
   Lease läuft ab. . . . . . . . . . : Dienstag, 5. November 2019 20:41:03
   Standardgateway . . . . . . . . . : 10.8.0.1
   DHCP-Server . . . . . . . . . . . : 10.8.0.0
   DHCPv6-IAID . . . . . . . . . . . : 369164107
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1C-66-5C-A9-74-D4-35-EA-64-80

   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Ethernet-Adapter LAN-Verbindung:

   Verbindungsspezifisches DNS-Suffix: box
   Beschreibung. . . . . . . . . . . : Killer e2200 PCI-E Gigabit Ethernet Contr
oller (NDIS 6.20)
   Physikalische Adresse . . . . . . : 74-D4-35-EA-64-80
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv6-Adresse. . . . . . . . . . . : 2a02:2450:1021:91:d1b0:6258:c077:d4c8(Bev
orzugt)
   Temporäre IPv6-Adresse. . . . . . : 2a02:2450:1021:91:4df2:a0ba:741a:b871(Bev
orzugt)
   Verbindungslokale IPv6-Adresse  . : fe80::d1b0:6258:c077:d4c8%11(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.0.5(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Montag, 5. November 2018 14:55:24
   Lease läuft ab. . . . . . . . . . : Montag, 5. November 2018 21:25:24
   Standardgateway . . . . . . . . . : fe80::3a43:7dff:fea9:412a%11
                                       192.168.0.1
   DHCP-Server . . . . . . . . . . . : 192.168.0.1
   DHCPv6-IAID . . . . . . . . . . . : 242537525
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1C-66-5C-A9-74-D4-35-EA-64-80

   DNS-Server  . . . . . . . . . . . : 2a02:2450:dd3f:400f::10
                                       2a02:2450:dd3f:400f::11
                                       89.16.129.121
                                       89.16.129.122
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.{4B74576F-5380-4BAA-9D05-E4E76900B92D}:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter Teredo Tunneling Pseudo-Interface:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Tunneladapter isatap.box:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix: box
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja

Content-Key: 391741

Url: https://administrator.de/contentid/391741

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: 129580
129580 05.11.2018 aktualisiert um 22:28:58 Uhr
Goto Top
Guten Abend,

Vor ein paar Monaten fingen dann plötzlich nach und nach die Mitarbeiter drüben an, dass sie nicht gleichzeitig im Internet surfen und mit dem VPN verbunden sein können. Sprich, wenn der OpenVPN Monitor grün leuchtet, kommen sie über Internet auf die Netzwerkordner in der Hauptstelle, aber können nicht parallel mit dem Browser surfen. Teamviewer geht aber auch...

Bitte was? Also nochmal gaanz langsam. Sofern der VPN aufgebaut wurde, können zwar die Mitarbeiter auf die Netzwerkordner bei der Hauptstelle via VPN erreichen. Allerdings funktioniert anschließend kein Zugriff aufs Internet mehr?

Erstmals musst du uns verraten, wie es eigentlich gedacht ist: soll der Internet Zugang über die Hauptstelle, also über den VPN erfolgen oder darf die Nebenstelle direkt ins Internet? Ich vemute mal das erstere, da du in der OpenVPN Server Konfiguration diesen Parameter angegeben hast? => push "redirect-gateway def1"

Ich habe schon ein paar andere Konfigurationen durch, aber ich bleibe jetzt bei der alten, die bei mir zu Hause klappt, aber in der Nebenstelle nicht.

Ohje...also wild irgendwelche Konfigurationen erstellt, ohne überhaupt zu wissen oder geschweige mal in den OpenVPN Dokumentationen nachzuschlagen, was die einzelnen Parameter überhaupt bedeuten bzw. machen? -> Kann nur schief gehen...

Was mir aufgefallen ist: laut deiner OVPN Config hat der Tunnel das folgende Netz 10.8.0.0/24.
Bei der ipconfig Ausgabe hat kein Interface von dem Server und der Nebenstelle eine IP aus diesem Subnetz.
Bei deinem Server beim TAP Adapter hat eine link-lokal Adresse. Das deutet auf eine fehlerhafte Konfiguration hin.
Genaueres kann dir immer das Log verraten!

route 0.0.0.0 0.0.0.0
Die Angabe in der Client Config kannst du weglassen, da du bereits das Default Gateway pusht.
Siehe in der Server Config den Parameter "push "redirect-gateway def1"

dev tap
Darf man Fragen, warum du nicht den Tunnel Modus verwendest?
Routing ist deutlich effizienter als L2 Bridging. Den Tap Modus sollte man nur mit bedacht und nur in Spezialfällen einsetzen.

Die Nebenstelle hatte ursprünglich 192.168.178.0, aber weil es zu Hause funktionierte, habe ich das ebenfalls auf 0 umgestellt und es jetzt einfach so gelassen.

Dir ist klar, dass bei einem /24 Netz die 0 reserviert für die Netzadresse ist?!
Zumindest gehe ich mal stark davon aus, da auch der OVPN Server ein /24 Netz hat.
Bezüglich Netzmasken hast du natürlich keine Angaben gemacht....

ifconfig-pool-persist ipp.txt

Bitte poste mal die Ausgabe dieser Datei.

Ansonsten schon mal in die Logs geschaut?

P.S: Ich würde dir raten, deinen Post zu editieren und persönliche Informationen. z.B. Primäres DNS-Suffix oder die öffentliche IP deines Servers zu zensieren. So weiß nun jeder, wo du arbeitest face-wink

Viele Grüße,
Exception
Mitglied: 134311
134311 05.11.2018 um 22:17:18 Uhr
Goto Top
Hey,

hier mal ein Tipp. Link

Damit habe ich meinen VPN Server unter Debian 9.5 eingerichtet.
Klappt alles Problemlos unter Windows 10, iOS, Linux Mint und Android 8

Gruß
Mitglied: 129580
129580 05.11.2018 aktualisiert um 22:25:53 Uhr
Goto Top
@134311: Netter Tipp, allerdings wird das ihm nicht weiterhelfen, da er offensichtlich den OpenVPN Server auf einer Windows Kiste betreibt und das Script, auf das was du verlinkt hast, nur unter Linux funktioniert.

Ich persönlich würde grundsätzlich immer den Hersteller bevorzugen. Die Dokumentation ist 1a und vor allem immer aktuell zu jeder Version.
Die Anleitungen sind sehr ausführlich. Aber wenns schnell gehen muss, dann gibts das auch als Step-by-Step. face-wink

https://openvpn.net/community-resources/how-to/

Doch beide Varianten ersetzen das notwendige Know How nicht. Und wenn man sich den Thread so anschaut, dann fehlt dem TO massenweiße an Grundwissen. face-sad
Mitglied: aqui
aqui 05.11.2018 aktualisiert um 23:03:02 Uhr
Goto Top
Nebenstelle hat die IP-Adresse......192.168.0.0
Privat hat die IP-Adresse.................192.168.0.0
Was soll das sein ? Das sind IP Netzwerke (Host Adressteil = 0)
Wenn das 2 unterschiedliche Lokaltionen sind geht das so nicht. Die Netze müssen bei VPN unterschiedlich sein.
Siehe auch hier:
VPNs einrichten mit PPTP

Der Knackpunkt wird wohl "push "redirect-gateway def1"" in der Server Konfig sein.
Das bewirkt eine Default Gateway Redirection, sprich sämtlicher Traffic wird bei aktivem VPN in den Tunnel geroutet.
Bei einem Client Dialin VPN ist das in der Regel kontraproduktiv und macht man nie so, da man ja nur den Traffic des lokalen Netzes in den Tunnel routen will aber niemals den gesamten Traffic des Client.
Normal macht man hier immer ein Split Tunneling mit "push route 192.168.1.0 255.255.255.0".
Damit wird nur das lokale Netz in den Tunnel geroutet aber die Clients nutzen das Internet am lokalen Standort für den Resttraffic der nicht via VPN laufen soll. Das ist viel effizienter und belastet das VPN nicht unnötig.
2te Problematik dabei:
Wenn der Internet Router auf der Serverseite keine statische Route in das interne OVPN Netz hat scheitert das Redirect.
Bei dir müsste dazu in der Server seitigen FritzBox eine statische Route auf das interne OVPN Netz eingetragen werden.
In deinem Falls: Zielnetz: 10.8.0.0, Maske: 255.255.255.0, Gateway: 192.168.1.5"
Grundlagen dazu auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wenn der OVPN Server ne Winblows Gurke ist dann solltest du auch die lokale Windows Firewall checken.
Letztlich muss man auch nach der Sinnhaftigkeit eines internen VPN Servers fragen wo du eine VPN fähige FritzBox hast die das besser und sicherer erledigen könnte.
Warum also ein zusätzlich ein interner Server ?
Mitglied: DaveDave
DaveDave 06.11.2018 um 04:04:09 Uhr
Goto Top
Hui, danke für die ganzen Antworten - ich lese mir das in Ruhe morgen noch mal durch.

Was nicht so ganz beachtet wurde... bei meinem privaten PC zu Hause funktioniert es, aber in der Nebenstelle mit der gleichen Config nicht!
Deshalb bin ich mir auch gar nicht 100 %ig sicher, ob es an der Config vom Server liegt. Ich schaue mir das natürlich trotzdem noch mal an.

Wenn ich "192.168.1.0 schreibe, meinte ich, dass der Client irgendeine IP in der Range hat. Also 192.168.1.2 - .254! Sorry, wenn das nicht korrekt war und für Verwirrung sorgte.

Ich habe Privat und Nebenstelle separat getestet, die IPs kamen sich also nicht in die Quere.

Gute Nacht,

Dave
Mitglied: marc-1303
marc-1303 06.11.2018 um 07:59:25 Uhr
Goto Top
Hallo Dave

Wenn du sowohl in der Nebenstelle wie auch Privat dieselbe Netzmaske hast, dann wirst du unweigerlich im Hauptsitz (Server) ein Routing-Problem haben. Ich würde in erster Linie mal dort ansetzen. Vielleicht kannst du die Netzmaske Privat oder Nebenstelle auf z.B. 192.168.5.0/24 umstellen.

Grüsse
Marc
Mitglied: 129580
129580 06.11.2018 um 11:44:09 Uhr
Goto Top
@aqui @marc-1303

Die Netze müssen bei VPN unterschiedlich sein.

Nur im Routing bzw. Tunnel Modus.
Der TO nutzt aber Ethernet Bridging.

Hier wird der vollständige L2 Frame gekapselt. Man kann also zwei L2 Broadcast Domänen zu einer logischen L2 Domäne verknüpfen.

Siehe auch:
https://openvpn.net/community-resources/ethernet-bridging/
Mitglied: 129580
129580 06.11.2018 aktualisiert um 14:05:53 Uhr
Goto Top
Was nicht so ganz beachtet wurde... bei meinem privaten PC zu Hause funktioniert es, aber in der Nebenstelle mit der gleichen Config nicht!
Deshalb bin ich mir auch gar nicht 100 %ig sicher, ob es an der Config vom Server liegt. Ich schaue mir das natürlich trotzdem noch mal an.

Solange du uns nicht die notwendigen Informationen lieferst, können wir logischerweise auch keine Hilfe geben, wo der Fehler liegt.

Allerdings würde ich dir, wie bereits @aqui geschrieben hat, zu einem generellen Redesign deines VPNs raten. Site to Site Tunnel macht man nur auf einer Firewall oder zumindest auf einem Router. Aber nicht auf einem internen Server. Abgesehen davon, wenn du bei OpenVPN bleibst, würde ich mir gut überlegen, ob du bei dieser Server Konfiguration bleiben möchtest. Genug Gründe dagegen wurden hier ja schon gepostet.

Wenn du wenig Kenntnisse in diesem Bereich hast, dann solltest du dich entsprechend informieren (siehe Links oben) oder einen IT-Dienstleister beauftragen, der für euch das professionell umsetzt.