OpenVPN läuft trotz gleicher Config auf einem PC, aber nicht auf dem anderen - was ist denn da los?
Einen wunderschönen guten Abend liebe Helfer!
Ich habe schon eine Weile mein Firmennetzwerk über OpenVPN mit einer Nebenstelle ohne Server verbunden.
Vor ein paar Monaten fingen dann plötzlich nach und nach die Mitarbeiter drüben an, dass sie nicht gleichzeitig im Internet surfen und mit dem VPN verbunden sein können.
Sprich, wenn der OpenVPN Monitor grün leuchtet, kommen sie über Internet auf die Netzwerkordner in der Hauptstelle, aber können nicht parallel mit dem Browser surfen. Teamviewer geht aber auch...
Wenn ich jetzt von zu Hause mit genau der gleichen Konfiguration ins VPN gehe, kann ich aber trotzdem parallel im Internet surfen... Was soll diese Farce??
Ich habe schon ein paar andere Konfigurationen durch, aber ich bleibe jetzt bei der alten, die bei mir zu Hause klappt, aber in der Nebenstelle nicht.
Alle Systeme haben Windows 7 Professional und der Server 2008 R2 Enterprise.
Unten sind alle Configs noch mal komplett, aber ich denke es reichen folgende Angaben:
Fritzbox hat die IP-Adresse............192.168.1.1
Server hat die IP-Adresse...............192.168.1.5
Nebenstelle hat die IP-Adresse......192.168.0.0
Privat hat die IP-Adresse.................192.168.0.0
Die Nebenstelle hatte ursprünglich 192.168.178.0, aber weil es zu Hause funktionierte, habe ich das ebenfalls auf 0 umgestellt und es jetzt einfach so gelassen.
OpenVPN Server-Config
OpenVPN Client-Config
Ich verstehe nicht, warum das zu Hause funktioniert und in der Nebenstelle nicht. Ports sind auf beiden Routern geforwarded und Windows-FW OFF.
Bitte helft mir!
Liebe Grüße,
Dave
Hier die ipconfig /all
Server
Nebenstelle, wo surfen und Netzwerkordner nicht parallel funktionieren
Privat-PC, wo surfen und Netzwerkordner parallel funktionieren
Ich habe schon eine Weile mein Firmennetzwerk über OpenVPN mit einer Nebenstelle ohne Server verbunden.
Vor ein paar Monaten fingen dann plötzlich nach und nach die Mitarbeiter drüben an, dass sie nicht gleichzeitig im Internet surfen und mit dem VPN verbunden sein können.
Sprich, wenn der OpenVPN Monitor grün leuchtet, kommen sie über Internet auf die Netzwerkordner in der Hauptstelle, aber können nicht parallel mit dem Browser surfen. Teamviewer geht aber auch...
Wenn ich jetzt von zu Hause mit genau der gleichen Konfiguration ins VPN gehe, kann ich aber trotzdem parallel im Internet surfen... Was soll diese Farce??
Ich habe schon ein paar andere Konfigurationen durch, aber ich bleibe jetzt bei der alten, die bei mir zu Hause klappt, aber in der Nebenstelle nicht.
Alle Systeme haben Windows 7 Professional und der Server 2008 R2 Enterprise.
Unten sind alle Configs noch mal komplett, aber ich denke es reichen folgende Angaben:
Fritzbox hat die IP-Adresse............192.168.1.1
Server hat die IP-Adresse...............192.168.1.5
Nebenstelle hat die IP-Adresse......192.168.0.0
Privat hat die IP-Adresse.................192.168.0.0
Die Nebenstelle hatte ursprünglich 192.168.178.0, aber weil es zu Hause funktionierte, habe ich das ebenfalls auf 0 umgestellt und es jetzt einfach so gelassen.
OpenVPN Server-Config
# Zertifikate
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\Server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\Server.key"
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh4096.pem"
# Server und Netzwerk
port 1194
proto udp
dev tap
server 10.8.0.0 255.255.255.0 #Subnetz
ifconfig-pool-persist ipp.txt
comp-lzo
persist-key
persist-tun
keepalive 10 120
push "redirect-gateway def1"
# Log
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3
OpenVPN Client-Config
# Zertifikate
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\MeinClient.crt"
key "C:\\Program Files\\OpenVPN\\config\\MeinClient.key"
# Client-Setup
client
dev tap
proto udp
remote XX.XXX.XXX.XX 1194 #Hostname anpassen
resolv-retry infinite
nobind
persist-key
persist-tun
route-metric 512
route 0.0.0.0 0.0.0.0
comp-lzo
verb 3
Ich verstehe nicht, warum das zu Hause funktioniert und in der Nebenstelle nicht. Ports sind auf beiden Routern geforwarded und Windows-FW OFF.
Bitte helft mir!
Liebe Grüße,
Dave
Hier die ipconfig /all
Server
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : hera
Primäres DNS-Suffix . . . . . . . : juku.de
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : juku.de
Ethernet-Adapter LAN-Verbindung 5:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
Physikalische Adresse . . . . . . : 00-FF-42-B3-A8-70
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::941d:5a99:6728:7da0%21(Bevorzugt)
IPv4-Adresse (Auto. Konfiguration): 169.254.125.160(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 335609666
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-21-57-E4-37-00-15-17-98-74-82
DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter LAN-Verbindung 4:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 EB-Netzwerkverbindung mit E/A-Beschleunigung #2
Physikalische Adresse . . . . . . : 00-15-17-64-A5-39
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Ethernet-Adapter LAN-Verbindung 3:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 EB-Netzwerkverbindung mit E/A-Beschleunigung
Physikalische Adresse . . . . . . : 00-15-17-64-A5-38
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse . . . . . . . . . . : 192.168.1.5(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.1.1
DNS-Server . . . . . . . . . . . : 192.168.1.5
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter LAN-Verbindung 2:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 PT Dual Port Server Adapter #2
Physikalische Adresse . . . . . . : 00-15-17-98-74-83
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Ethernet-Adapter LAN-Verbindung:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) PRO/1000 PT Dual Port Server Adapter
Physikalische Adresse . . . . . . : 00-15-17-98-74-82
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.{F9234D43-E58F-4E13-8DA4-1791D7E956D6}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.{D69245D1-C4BE-4BC3-A14B-BDE5821AFA8B}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.{791F89A7-C65D-4771-B73F-7373A2CFDB5C}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.{4574B6EA-724E-4D6C-AC33-22B1CD46810F}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #4
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter Teredo Tunneling Pseudo-Interface:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.{42B3A870-5AEA-4D0D-A0C7-375F8C0599D8}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #5
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Nebenstelle, wo surfen und Netzwerkordner nicht parallel funktionieren
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : a20
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : fritz.box
Ethernet-Adapter LAN-Verbindung 2:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
Physikalische Adresse . . . . . . : 00-FF-CB-AF-1A-30
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::ada9:5462:c28a:5c16%16(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 10.19.15.6(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.252
Lease erhalten. . . . . . . . . . : Montag, 5. November 2018 19:26:06
Lease läuft ab. . . . . . . . . . : Dienstag, 5. November 2019 19:26:06
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 10.19.15.5
DHCPv6-IAID . . . . . . . . . . . : 352387019
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-8A-28-77-D0-50-99-5A-77-BD
DNS-Server . . . . . . . . . . . : 192.168.1.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: fritz.box
Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physikalische Adresse . . . . . . : D0-50-99-5A-77-BD
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::bd38:52ed:e19a:4c72%11(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.0.21(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Montag, 5. November 2018 16:09:49
Lease läuft ab. . . . . . . . . . : Freitag, 4. Januar 2019 16:09:49
Standardgateway . . . . . . . . . : 192.168.0.1
DHCP-Server . . . . . . . . . . . : 192.168.0.1
DHCPv6-IAID . . . . . . . . . . . : 241173138
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1D-8A-28-77-D0-50-99-5A-77-BD
DNS-Server . . . . . . . . . . . : 192.168.0.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Tunneladapter isatap.{CBAF1A30-31A9-4D76-9213-58641A6B53E8}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter Teredo Tunneling Pseudo-Interface:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.fritz.box:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix: fritz.box
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Privat-PC, wo surfen und Netzwerkordner parallel funktionieren
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : badass-pc
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : box
Ethernet-Adapter LAN-Verbindung 3:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
Physikalische Adresse . . . . . . : 00-FF-4B-74-57-6F
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::e0f3:475b:b777:535d%16(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 10.8.0.11(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Montag, 5. November 2018 20:41:03
Lease läuft ab. . . . . . . . . . : Dienstag, 5. November 2019 20:41:03
Standardgateway . . . . . . . . . : 10.8.0.1
DHCP-Server . . . . . . . . . . . : 10.8.0.0
DHCPv6-IAID . . . . . . . . . . . : 369164107
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1C-66-5C-A9-74-D4-35-EA-64-80
DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: box
Beschreibung. . . . . . . . . . . : Killer e2200 PCI-E Gigabit Ethernet Contr
oller (NDIS 6.20)
Physikalische Adresse . . . . . . : 74-D4-35-EA-64-80
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2a02:2450:1021:91:d1b0:6258:c077:d4c8(Bev
orzugt)
Temporäre IPv6-Adresse. . . . . . : 2a02:2450:1021:91:4df2:a0ba:741a:b871(Bev
orzugt)
Verbindungslokale IPv6-Adresse . : fe80::d1b0:6258:c077:d4c8%11(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.0.5(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Montag, 5. November 2018 14:55:24
Lease läuft ab. . . . . . . . . . : Montag, 5. November 2018 21:25:24
Standardgateway . . . . . . . . . : fe80::3a43:7dff:fea9:412a%11
192.168.0.1
DHCP-Server . . . . . . . . . . . : 192.168.0.1
DHCPv6-IAID . . . . . . . . . . . : 242537525
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1C-66-5C-A9-74-D4-35-EA-64-80
DNS-Server . . . . . . . . . . . : 2a02:2450:dd3f:400f::10
2a02:2450:dd3f:400f::11
89.16.129.121
89.16.129.122
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Tunneladapter isatap.{4B74576F-5380-4BAA-9D05-E4E76900B92D}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter Teredo Tunneling Pseudo-Interface:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.box:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix: box
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 391741
Url: https://administrator.de/contentid/391741
Ausgedruckt am: 08.11.2024 um 15:11 Uhr
8 Kommentare
Neuester Kommentar
Guten Abend,
Bitte was? Also nochmal gaanz langsam. Sofern der VPN aufgebaut wurde, können zwar die Mitarbeiter auf die Netzwerkordner bei der Hauptstelle via VPN erreichen. Allerdings funktioniert anschließend kein Zugriff aufs Internet mehr?
Erstmals musst du uns verraten, wie es eigentlich gedacht ist: soll der Internet Zugang über die Hauptstelle, also über den VPN erfolgen oder darf die Nebenstelle direkt ins Internet? Ich vemute mal das erstere, da du in der OpenVPN Server Konfiguration diesen Parameter angegeben hast? => push "redirect-gateway def1"
Ohje...also wild irgendwelche Konfigurationen erstellt, ohne überhaupt zu wissen oder geschweige mal in den OpenVPN Dokumentationen nachzuschlagen, was die einzelnen Parameter überhaupt bedeuten bzw. machen? -> Kann nur schief gehen...
Was mir aufgefallen ist: laut deiner OVPN Config hat der Tunnel das folgende Netz 10.8.0.0/24.
Bei der ipconfig Ausgabe hat kein Interface von dem Server und der Nebenstelle eine IP aus diesem Subnetz.
Bei deinem Server beim TAP Adapter hat eine link-lokal Adresse. Das deutet auf eine fehlerhafte Konfiguration hin.
Genaueres kann dir immer das Log verraten!
Siehe in der Server Config den Parameter "push "redirect-gateway def1"
Routing ist deutlich effizienter als L2 Bridging. Den Tap Modus sollte man nur mit bedacht und nur in Spezialfällen einsetzen.
Dir ist klar, dass bei einem /24 Netz die 0 reserviert für die Netzadresse ist?!
Zumindest gehe ich mal stark davon aus, da auch der OVPN Server ein /24 Netz hat.
Bezüglich Netzmasken hast du natürlich keine Angaben gemacht....
Bitte poste mal die Ausgabe dieser Datei.
Ansonsten schon mal in die Logs geschaut?
P.S: Ich würde dir raten, deinen Post zu editieren und persönliche Informationen. z.B. Primäres DNS-Suffix oder die öffentliche IP deines Servers zu zensieren. So weiß nun jeder, wo du arbeitest
Viele Grüße,
Exception
Vor ein paar Monaten fingen dann plötzlich nach und nach die Mitarbeiter drüben an, dass sie nicht gleichzeitig im Internet surfen und mit dem VPN verbunden sein können. Sprich, wenn der OpenVPN Monitor grün leuchtet, kommen sie über Internet auf die Netzwerkordner in der Hauptstelle, aber können nicht parallel mit dem Browser surfen. Teamviewer geht aber auch...
Bitte was? Also nochmal gaanz langsam. Sofern der VPN aufgebaut wurde, können zwar die Mitarbeiter auf die Netzwerkordner bei der Hauptstelle via VPN erreichen. Allerdings funktioniert anschließend kein Zugriff aufs Internet mehr?
Erstmals musst du uns verraten, wie es eigentlich gedacht ist: soll der Internet Zugang über die Hauptstelle, also über den VPN erfolgen oder darf die Nebenstelle direkt ins Internet? Ich vemute mal das erstere, da du in der OpenVPN Server Konfiguration diesen Parameter angegeben hast? => push "redirect-gateway def1"
Ich habe schon ein paar andere Konfigurationen durch, aber ich bleibe jetzt bei der alten, die bei mir zu Hause klappt, aber in der Nebenstelle nicht.
Ohje...also wild irgendwelche Konfigurationen erstellt, ohne überhaupt zu wissen oder geschweige mal in den OpenVPN Dokumentationen nachzuschlagen, was die einzelnen Parameter überhaupt bedeuten bzw. machen? -> Kann nur schief gehen...
Was mir aufgefallen ist: laut deiner OVPN Config hat der Tunnel das folgende Netz 10.8.0.0/24.
Bei der ipconfig Ausgabe hat kein Interface von dem Server und der Nebenstelle eine IP aus diesem Subnetz.
Bei deinem Server beim TAP Adapter hat eine link-lokal Adresse. Das deutet auf eine fehlerhafte Konfiguration hin.
Genaueres kann dir immer das Log verraten!
route 0.0.0.0 0.0.0.0
Die Angabe in der Client Config kannst du weglassen, da du bereits das Default Gateway pusht.Siehe in der Server Config den Parameter "push "redirect-gateway def1"
dev tap
Darf man Fragen, warum du nicht den Tunnel Modus verwendest?Routing ist deutlich effizienter als L2 Bridging. Den Tap Modus sollte man nur mit bedacht und nur in Spezialfällen einsetzen.
Die Nebenstelle hatte ursprünglich 192.168.178.0, aber weil es zu Hause funktionierte, habe ich das ebenfalls auf 0 umgestellt und es jetzt einfach so gelassen.
Dir ist klar, dass bei einem /24 Netz die 0 reserviert für die Netzadresse ist?!
Zumindest gehe ich mal stark davon aus, da auch der OVPN Server ein /24 Netz hat.
Bezüglich Netzmasken hast du natürlich keine Angaben gemacht....
ifconfig-pool-persist ipp.txt
Bitte poste mal die Ausgabe dieser Datei.
Ansonsten schon mal in die Logs geschaut?
P.S: Ich würde dir raten, deinen Post zu editieren und persönliche Informationen. z.B. Primäres DNS-Suffix oder die öffentliche IP deines Servers zu zensieren. So weiß nun jeder, wo du arbeitest
Viele Grüße,
Exception
Hey,
hier mal ein Tipp. Link
Damit habe ich meinen VPN Server unter Debian 9.5 eingerichtet.
Klappt alles Problemlos unter Windows 10, iOS, Linux Mint und Android 8
Gruß
hier mal ein Tipp. Link
Damit habe ich meinen VPN Server unter Debian 9.5 eingerichtet.
Klappt alles Problemlos unter Windows 10, iOS, Linux Mint und Android 8
Gruß
@134311: Netter Tipp, allerdings wird das ihm nicht weiterhelfen, da er offensichtlich den OpenVPN Server auf einer Windows Kiste betreibt und das Script, auf das was du verlinkt hast, nur unter Linux funktioniert.
Ich persönlich würde grundsätzlich immer den Hersteller bevorzugen. Die Dokumentation ist 1a und vor allem immer aktuell zu jeder Version.
Die Anleitungen sind sehr ausführlich. Aber wenns schnell gehen muss, dann gibts das auch als Step-by-Step.
https://openvpn.net/community-resources/how-to/
Doch beide Varianten ersetzen das notwendige Know How nicht. Und wenn man sich den Thread so anschaut, dann fehlt dem TO massenweiße an Grundwissen.
Ich persönlich würde grundsätzlich immer den Hersteller bevorzugen. Die Dokumentation ist 1a und vor allem immer aktuell zu jeder Version.
Die Anleitungen sind sehr ausführlich. Aber wenns schnell gehen muss, dann gibts das auch als Step-by-Step.
https://openvpn.net/community-resources/how-to/
Doch beide Varianten ersetzen das notwendige Know How nicht. Und wenn man sich den Thread so anschaut, dann fehlt dem TO massenweiße an Grundwissen.
Nebenstelle hat die IP-Adresse......192.168.0.0
Privat hat die IP-Adresse.................192.168.0.0
Was soll das sein ? Das sind IP Netzwerke (Host Adressteil = 0)Privat hat die IP-Adresse.................192.168.0.0
Wenn das 2 unterschiedliche Lokaltionen sind geht das so nicht. Die Netze müssen bei VPN unterschiedlich sein.
Siehe auch hier:
VPNs einrichten mit PPTP
Der Knackpunkt wird wohl "push "redirect-gateway def1"" in der Server Konfig sein.
Das bewirkt eine Default Gateway Redirection, sprich sämtlicher Traffic wird bei aktivem VPN in den Tunnel geroutet.
Bei einem Client Dialin VPN ist das in der Regel kontraproduktiv und macht man nie so, da man ja nur den Traffic des lokalen Netzes in den Tunnel routen will aber niemals den gesamten Traffic des Client.
Normal macht man hier immer ein Split Tunneling mit "push route 192.168.1.0 255.255.255.0".
Damit wird nur das lokale Netz in den Tunnel geroutet aber die Clients nutzen das Internet am lokalen Standort für den Resttraffic der nicht via VPN laufen soll. Das ist viel effizienter und belastet das VPN nicht unnötig.
2te Problematik dabei:
Wenn der Internet Router auf der Serverseite keine statische Route in das interne OVPN Netz hat scheitert das Redirect.
Bei dir müsste dazu in der Server seitigen FritzBox eine statische Route auf das interne OVPN Netz eingetragen werden.
In deinem Falls: Zielnetz: 10.8.0.0, Maske: 255.255.255.0, Gateway: 192.168.1.5"
Grundlagen dazu auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wenn der OVPN Server ne Winblows Gurke ist dann solltest du auch die lokale Windows Firewall checken.
Letztlich muss man auch nach der Sinnhaftigkeit eines internen VPN Servers fragen wo du eine VPN fähige FritzBox hast die das besser und sicherer erledigen könnte.
Warum also ein zusätzlich ein interner Server ?
Hallo Dave
Wenn du sowohl in der Nebenstelle wie auch Privat dieselbe Netzmaske hast, dann wirst du unweigerlich im Hauptsitz (Server) ein Routing-Problem haben. Ich würde in erster Linie mal dort ansetzen. Vielleicht kannst du die Netzmaske Privat oder Nebenstelle auf z.B. 192.168.5.0/24 umstellen.
Grüsse
Marc
Wenn du sowohl in der Nebenstelle wie auch Privat dieselbe Netzmaske hast, dann wirst du unweigerlich im Hauptsitz (Server) ein Routing-Problem haben. Ich würde in erster Linie mal dort ansetzen. Vielleicht kannst du die Netzmaske Privat oder Nebenstelle auf z.B. 192.168.5.0/24 umstellen.
Grüsse
Marc
@aqui @marc-1303
Nur im Routing bzw. Tunnel Modus.
Der TO nutzt aber Ethernet Bridging.
Hier wird der vollständige L2 Frame gekapselt. Man kann also zwei L2 Broadcast Domänen zu einer logischen L2 Domäne verknüpfen.
Siehe auch:
https://openvpn.net/community-resources/ethernet-bridging/
Die Netze müssen bei VPN unterschiedlich sein.
Nur im Routing bzw. Tunnel Modus.
Der TO nutzt aber Ethernet Bridging.
Hier wird der vollständige L2 Frame gekapselt. Man kann also zwei L2 Broadcast Domänen zu einer logischen L2 Domäne verknüpfen.
Siehe auch:
https://openvpn.net/community-resources/ethernet-bridging/
Was nicht so ganz beachtet wurde... bei meinem privaten PC zu Hause funktioniert es, aber in der Nebenstelle mit der gleichen Config nicht!
Deshalb bin ich mir auch gar nicht 100 %ig sicher, ob es an der Config vom Server liegt. Ich schaue mir das natürlich trotzdem noch mal an.
Deshalb bin ich mir auch gar nicht 100 %ig sicher, ob es an der Config vom Server liegt. Ich schaue mir das natürlich trotzdem noch mal an.
Solange du uns nicht die notwendigen Informationen lieferst, können wir logischerweise auch keine Hilfe geben, wo der Fehler liegt.
Allerdings würde ich dir, wie bereits @aqui geschrieben hat, zu einem generellen Redesign deines VPNs raten. Site to Site Tunnel macht man nur auf einer Firewall oder zumindest auf einem Router. Aber nicht auf einem internen Server. Abgesehen davon, wenn du bei OpenVPN bleibst, würde ich mir gut überlegen, ob du bei dieser Server Konfiguration bleiben möchtest. Genug Gründe dagegen wurden hier ja schon gepostet.
Wenn du wenig Kenntnisse in diesem Bereich hast, dann solltest du dich entsprechend informieren (siehe Links oben) oder einen IT-Dienstleister beauftragen, der für euch das professionell umsetzt.