12
OpenVPN mit Windows 7 (Server) und Linux (Client)
Hallo Gemeinde,
bevor ich völlig bekloppt werde, frage ich hier mal um Rat - vorab: Bin alles andere als ein Netzwerkexperte...
Also: Für einen Freund habe ich schon vor längerer Zeit OpenVPN 2.2.2 auf dessen Desktop (Server) und Notebook (Client) installiert - läuft alles bestens, bislang aber alles unter Windows XP. Ich selbst bin fast nur mit Linux unterwegs, kann damit aber ebenfalls problemlos auf den Server zugreifen.
Nun wurde ein neuer Desktop-Rechner mit Windows 7 angeschafft, auf dem ich nun das aktuelle OpenVPN 2.3.2 installiert habe. Die server.ovpn habe ich "im Wesentlichen" von dem alten Rechner übernommen...
..., ist also nichts besonderes und entspricht der mitgelieferten Server-Beispiel-Konfiguration.
Der Server kann problemlos gestartet werden und liefert die folgende Ausgabe:
Habe ein paar Sachen ausge-X-t, wahrscheinlich Schwachsinn, aber egal - sieht für mich jedenfalls normal aus.
Konnte mich von Linux aus (ab jetzt alles "von Linux aus") erst gar nicht verbinden, nach etwas Schrauben an der Windows-7-Firewall klappt es aber scheinbar und es erscheint folgendes im Logfile des Servers:
Sieht für mich "normal" aus (auch, weil sehr ähnlich der Ausgabe unter OpenVPN 2.2.2 auf dem Windows-XP-Rechner) und Linux signalisiert auch, dass die VPN-Verbindung steht (benutzt dafür eine GUI (Netzwerk-Manager-Applet), sehe darum auch keine Logfiles, oder so).
Und nun kommt's: Zu dem alten XP-Server kann ich nun problemlos eine RDP-Verbindung herstellen, auch ein ping auf den Windows-VPN-Server klappt.
Unter Windows-7 aber: Tote Hose! Obwohl mir "route" unter Linux genau den gleichen Senf ausgibt.
Sehe ich mir diesen TAP-Netzwerkadapter unter Windows-7 an, kommen da auch Daten rein, es geht aber nix raus, 0 Bytes!
Remotezugriff meine ich auf dem Windows-Rechner korrekt konfiguriert zu haben, inkl. Freigabe in der Firewall, etc. - RDP-Zugriff von dem alten Windows-XP-Server (allerdings im gleichen lokalen Netz) funktioniert auch - aber es kommt ja auch (von extern) nicht mal ein ping durch.
Habe jetzt schon etliches ausprobiert, ist schon der zweite Abend, den ich mir hier um die Ohren schlage, habe endlos gegoogled, etc. und versuche es nun hier mal, bevor ich gleich ins Bett falle. Bin also für jeden Rat dankbar und liefere auch gerne noch weitere Infos nach.
Gute Nacht!
erwin65
bevor ich völlig bekloppt werde, frage ich hier mal um Rat - vorab: Bin alles andere als ein Netzwerkexperte...
Also: Für einen Freund habe ich schon vor längerer Zeit OpenVPN 2.2.2 auf dessen Desktop (Server) und Notebook (Client) installiert - läuft alles bestens, bislang aber alles unter Windows XP. Ich selbst bin fast nur mit Linux unterwegs, kann damit aber ebenfalls problemlos auf den Server zugreifen.
Nun wurde ein neuer Desktop-Rechner mit Windows 7 angeschafft, auf dem ich nun das aktuelle OpenVPN 2.3.2 installiert habe. Die server.ovpn habe ich "im Wesentlichen" von dem alten Rechner übernommen...
port 1196
proto udp
dev tun
ca "C:\\Programme\\OpenVPN\\config\\keys\\ca.crt"
cert "C:\\Programme\\OpenVPN\\config\\keys\\server.crt"
key "C:\\Programme\\OpenVPN\\config\\keys\\server.key" # This file should be kept secret
dh "C:\\Programme\\OpenVPN\\config\\keys\\dh1024.pem"
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
# push "route 192.168.1.0 255.255.255.0"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3Der Server kann problemlos gestartet werden und liefert die folgende Ausgabe:
Fri Nov 15 00:16:38 2013 OpenVPN 2.3.2 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Aug 22 2013
Enter Management Password:
Fri Nov 15 00:16:38 2013 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Nov 15 00:16:38 2013 Need hold release from management interface, waiting...
Fri Nov 15 00:16:39 2013 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Nov 15 00:16:39 2013 MANAGEMENT: CMD 'state on'
Fri Nov 15 00:16:39 2013 MANAGEMENT: CMD 'log all on'
Fri Nov 15 00:16:39 2013 MANAGEMENT: CMD 'hold off'
Fri Nov 15 00:16:39 2013 MANAGEMENT: CMD 'hold release'
Fri Nov 15 00:16:39 2013 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Fri Nov 15 00:16:39 2013 Diffie-Hellman initialized with 1024 bit key
Fri Nov 15 00:16:39 2013 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Nov 15 00:16:39 2013 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Nov 15 00:16:39 2013 MANAGEMENT: >STATE:1384470999,ASSIGN_IP,,10.8.0.1,
Fri Nov 15 00:16:39 2013 open_tun, tt->ipv6=0
Fri Nov 15 00:16:39 2013 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}.tap
Fri Nov 15 00:16:39 2013 TAP-Windows Driver Version 9.9
Fri Nov 15 00:16:39 2013 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.1/255.255.255.252 on interface {XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX} [DHCP-serv: 10.8.0.2, lease-time: 31536000]
Fri Nov 15 00:16:39 2013 Sleeping for 10 seconds...
Fri Nov 15 00:16:49 2013 Successful ARP Flush on interface [22] {XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX}
Fri Nov 15 00:16:49 2013 MANAGEMENT: >STATE:1384471009,ADD_ROUTES,,,
Fri Nov 15 00:16:49 2013 C:\Windows\system32\route.exe ADD 10.8.0.0 MASK 255.255.255.0 10.8.0.2
Fri Nov 15 00:16:49 2013 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Fri Nov 15 00:16:49 2013 Route addition via IPAPI succeeded [adaptive]
Fri Nov 15 00:16:49 2013 UDPv4 link local (bound): [undef]
Fri Nov 15 00:16:49 2013 UDPv4 link remote: [undef]
Fri Nov 15 00:16:49 2013 MULTI: multi_init called, r=256 v=256
Fri Nov 15 00:16:49 2013 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0
Fri Nov 15 00:16:49 2013 ifconfig_pool_read(), in='alder,10.8.0.4', TODO: IPv6
Fri Nov 15 00:16:49 2013 succeeded -> ifconfig_pool_set()
Fri Nov 15 00:16:49 2013 ifconfig_pool_read(), in='glenmobil,10.8.0.8', TODO: IPv6
Fri Nov 15 00:16:49 2013 succeeded -> ifconfig_pool_set()
Fri Nov 15 00:16:49 2013 ifconfig_pool_read(), in='revo,10.8.0.12', TODO: IPv6
Fri Nov 15 00:16:49 2013 succeeded -> ifconfig_pool_set()
Fri Nov 15 00:16:49 2013 ifconfig_pool_read(), in='mobil,10.8.0.16', TODO: IPv6
Fri Nov 15 00:16:49 2013 succeeded -> ifconfig_pool_set()
Fri Nov 15 00:16:49 2013 IFCONFIG POOL LIST
Fri Nov 15 00:16:49 2013 alder,10.8.0.4
Fri Nov 15 00:16:49 2013 glenmobil,10.8.0.8
Fri Nov 15 00:16:49 2013 revo,10.8.0.12
Fri Nov 15 00:16:49 2013 mobil,10.8.0.16
Fri Nov 15 00:16:49 2013 Initialization Sequence Completed
Fri Nov 15 00:16:49 2013 MANAGEMENT: >STATE:1384471009,CONNECTED,SUCCESS,10.8.0.1,Konnte mich von Linux aus (ab jetzt alles "von Linux aus") erst gar nicht verbinden, nach etwas Schrauben an der Windows-7-Firewall klappt es aber scheinbar und es erscheint folgendes im Logfile des Servers:
Fri Nov 15 00:25:35 2013 88.70.94.36:40401 TLS: Initial packet from [AF_INET]88.70.94.36:40401, sid=5b9d7e85 7e9800c8
Fri Nov 15 00:25:36 2013 88.70.94.36:40401 VERIFY OK: depth=1, C=DE, ST=Niedersachsen, [Rest gelöscht]
Fri Nov 15 00:25:36 2013 88.70.94.36:40401 VERIFY OK: depth=0, C=DE, ST=Niedersachsen, [Rest gelöscht]
Fri Nov 15 00:25:36 2013 88.70.94.36:40401 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Nov 15 00:25:36 2013 88.70.94.36:40401 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Nov 15 00:25:36 2013 88.70.94.36:40401 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Nov 15 00:25:36 2013 88.70.94.36:40401 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Nov 15 00:25:36 2013 88.70.94.36:40401 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Fri Nov 15 00:25:36 2013 88.70.94.36:40401 [mobil] Peer Connection Initiated with [AF_INET]88.70.94.36:40401
Fri Nov 15 00:25:36 2013 mobil/88.70.94.36:40401 MULTI_sva: pool returned IPv4=10.8.0.18, IPv6=(Not enabled)
Fri Nov 15 00:25:36 2013 mobil/88.70.94.36:40401 MULTI: Learn: 10.8.0.18 -> mobil/88.70.94.36:40401
Fri Nov 15 00:25:36 2013 mobil/88.70.94.36:40401 MULTI: primary virtual IP for mobil/88.70.94.36:40401: 10.8.0.18
Fri Nov 15 00:25:39 2013 mobil/88.70.94.36:40401 PUSH: Received control message: 'PUSH_REQUEST'
Fri Nov 15 00:25:39 2013 mobil/88.70.94.36:40401 send_push_reply(): safe_cap=940
Fri Nov 15 00:25:39 2013 mobil/88.70.94.36:40401 SENT CONTROL [mobil]: 'PUSH_REPLY,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.18 10.8.0.17' (status=1) Und nun kommt's: Zu dem alten XP-Server kann ich nun problemlos eine RDP-Verbindung herstellen, auch ein ping auf den Windows-VPN-Server klappt.
Unter Windows-7 aber: Tote Hose! Obwohl mir "route" unter Linux genau den gleichen Senf ausgibt.
Sehe ich mir diesen TAP-Netzwerkadapter unter Windows-7 an, kommen da auch Daten rein, es geht aber nix raus, 0 Bytes!
Remotezugriff meine ich auf dem Windows-Rechner korrekt konfiguriert zu haben, inkl. Freigabe in der Firewall, etc. - RDP-Zugriff von dem alten Windows-XP-Server (allerdings im gleichen lokalen Netz) funktioniert auch - aber es kommt ja auch (von extern) nicht mal ein ping durch.
Habe jetzt schon etliches ausprobiert, ist schon der zweite Abend, den ich mir hier um die Ohren schlage, habe endlos gegoogled, etc. und versuche es nun hier mal, bevor ich gleich ins Bett falle. Bin also für jeden Rat dankbar und liefere auch gerne noch weitere Infos nach.
Gute Nacht!
erwin65
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 222014
Url: https://administrator.de/contentid/222014
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo Erwin,
das Problem wird die Firewall auf dem TAP-Adapter sein, nicht die auf dem physischen. Konfigurieren oder auf dem Adapter ganz ausschalten; ich weiß jetzt nicht auswendig, was Windows in der Hinsicht auf dem Adapter erlaubt (es wird wahrscheinlich erst mal das öffentliche Netzwerkprofil angewandt).
Grüße
Richard
das Problem wird die Firewall auf dem TAP-Adapter sein, nicht die auf dem physischen. Konfigurieren oder auf dem Adapter ganz ausschalten; ich weiß jetzt nicht auswendig, was Windows in der Hinsicht auf dem Adapter erlaubt (es wird wahrscheinlich erst mal das öffentliche Netzwerkprofil angewandt).
Grüße
Richard
Hallo Richard!
Habe ich gestern total vergessen zu erwähnen: Komplettes Ausschalten der Firewall ändert nichts an dem beobachteten Verhalten!
Abgesehen davon: Wenn die Firewall den TAP-Adapter irgendwie "blockieren" würde, dann hätte ich doch erst gar keine VPN-Verbindung bekommen, oder?
Es sieht ja so aus, als ob die VPN-Verbindung stünde, komme "nur" nicht auf den Windows-Rechner ( = VPN-Server ) rauf, weder per ping noch per RDP.
Gestern hatte ich noch die Idee, dass ich es vielleicht mal anders herum probieren sollte: Ping vom Windows-Rechner auf meine Linux-Kiste.
Was für die Fehlersuche evtl. noch von Interesse ist: Die Windows-Rechner (alt und neu) stehen bei dem Kumpel, also nicht bei mir zuhause. Gehe via DSL/OpenVPN/RDP auf den alten Rechner rauf und von da aus per RDP auf den neuen, um diesen zu konfigurieren. Wenn ich die Konfiguration testen will, löse ich die RDP-Verbindungen und die VPN-Verbindung zum alten Rechner und starte eine neue VPN-Verbindung auf den neuen Rechner - wo ich dann aber nicht weiterkomme. Der OpenVPN-2.2.2-Server auf dem alten Windows-Rechner läuft dabei allerdings weiter (auch, wenn ich nicht mit ihm verbunden bin, logo) - kann es sein, dass die sich irgendwie gegenseitig behindern (weil im gleichen lokalen Netz?) - kann ich mir eigentlich nicht vorstellen, aber ich erwähne es mal sicherheitshalber. Ports (und NAT-Weiterleitungen im 0815-Router) sind natürlich unterschiedlich und ich kann ja auch zu beiden eine VPN-Verbindung herstellen, nur unter Win-7 komme ich dann nicht weiter.
Oder kann es sein, dass ich durch mehrfache Installation und Deinstallation von OpenVPN 2.2.2 und 2.3.2 auf dem Win-7-Rechner dort irgendetwas zerschossen habe? Kann ich mir eigentlich auch nicht vorstellen - und wie gesagt, Aufbau der OpenVPN-Verbindung *scheint* ja auch zu klappen... *ARGH*, ich drehe mich schon wieder im Kreis!
Also, bin weiterhin für jeden Tipp dankbar, wie ich dem Fehler auf die Schliche kommen könnte!
Schönen Tag!
erwin65
Habe ich gestern total vergessen zu erwähnen: Komplettes Ausschalten der Firewall ändert nichts an dem beobachteten Verhalten!
Abgesehen davon: Wenn die Firewall den TAP-Adapter irgendwie "blockieren" würde, dann hätte ich doch erst gar keine VPN-Verbindung bekommen, oder?
Es sieht ja so aus, als ob die VPN-Verbindung stünde, komme "nur" nicht auf den Windows-Rechner ( = VPN-Server ) rauf, weder per ping noch per RDP.
Gestern hatte ich noch die Idee, dass ich es vielleicht mal anders herum probieren sollte: Ping vom Windows-Rechner auf meine Linux-Kiste.
Was für die Fehlersuche evtl. noch von Interesse ist: Die Windows-Rechner (alt und neu) stehen bei dem Kumpel, also nicht bei mir zuhause. Gehe via DSL/OpenVPN/RDP auf den alten Rechner rauf und von da aus per RDP auf den neuen, um diesen zu konfigurieren. Wenn ich die Konfiguration testen will, löse ich die RDP-Verbindungen und die VPN-Verbindung zum alten Rechner und starte eine neue VPN-Verbindung auf den neuen Rechner - wo ich dann aber nicht weiterkomme. Der OpenVPN-2.2.2-Server auf dem alten Windows-Rechner läuft dabei allerdings weiter (auch, wenn ich nicht mit ihm verbunden bin, logo) - kann es sein, dass die sich irgendwie gegenseitig behindern (weil im gleichen lokalen Netz?) - kann ich mir eigentlich nicht vorstellen, aber ich erwähne es mal sicherheitshalber. Ports (und NAT-Weiterleitungen im 0815-Router) sind natürlich unterschiedlich und ich kann ja auch zu beiden eine VPN-Verbindung herstellen, nur unter Win-7 komme ich dann nicht weiter.
Oder kann es sein, dass ich durch mehrfache Installation und Deinstallation von OpenVPN 2.2.2 und 2.3.2 auf dem Win-7-Rechner dort irgendetwas zerschossen habe? Kann ich mir eigentlich auch nicht vorstellen - und wie gesagt, Aufbau der OpenVPN-Verbindung *scheint* ja auch zu klappen... *ARGH*, ich drehe mich schon wieder im Kreis!
Also, bin weiterhin für jeden Tipp dankbar, wie ich dem Fehler auf die Schliche kommen könnte!
Schönen Tag!
erwin65
Grundlagen der OVPN Konfiguratuon erklärt dieses Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die Hardware spielt dabei keinerlei Rolle, denn die Konfig ist davon unabhängig.
Bei Win 7 ist in der Regel die lokale Firewall am virtuellen TUN Adapter das Problem. Du kannst OVPN nur als Administrator starten oder musst ein paar Klimmzüge machen damit der Daemon richtig startet. Problem bei 7 ist immer die lokale Firewall die man entsprechend customizen muss bei OVPN. Wie das geht erklären zig Tutorials im Web wie z.B. hier:
http://social.technet.microsoft.com/Forums/windows/en-US/6f5eb33b-e048- ...
oder
https://www.vpnreactor.com/w7_openvpn.html
usw.
2 Fragen:
1.) Kannst du bei aktivem Client die interne OVPN Server IP 10.8.0.1 pingen ?
2.) Warum ist das push route Kommando auskommentiert ?? Ohne das funktioniert das VPN niemals, da die IP Route in dieses lokale Netzwerk sonst nicht in die Client Routing Table übernommen wird ! Das kannst du mit "route print" (Winblows) oder "netstat -r" (Linux) checken.
Die generelle Frage die man sich stellen muss warum du als Linux Spezi dann als VPN Server sinnlos einen ganzen Win 7 Rechner verschwendest statt dort einen kleinen Raspberry Pi für 25 Euro hinstellst und den das machen lässt.
Netzwerk Management Server mit Raspberry Pi
Viel sinnvoller, weniger Stromkosten, always on und weniger Stress mit den ganzen Winblows Firewall Gefrickel !
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die Hardware spielt dabei keinerlei Rolle, denn die Konfig ist davon unabhängig.
Bei Win 7 ist in der Regel die lokale Firewall am virtuellen TUN Adapter das Problem. Du kannst OVPN nur als Administrator starten oder musst ein paar Klimmzüge machen damit der Daemon richtig startet. Problem bei 7 ist immer die lokale Firewall die man entsprechend customizen muss bei OVPN. Wie das geht erklären zig Tutorials im Web wie z.B. hier:
http://social.technet.microsoft.com/Forums/windows/en-US/6f5eb33b-e048- ...
oder
https://www.vpnreactor.com/w7_openvpn.html
usw.
2 Fragen:
1.) Kannst du bei aktivem Client die interne OVPN Server IP 10.8.0.1 pingen ?
2.) Warum ist das push route Kommando auskommentiert ?? Ohne das funktioniert das VPN niemals, da die IP Route in dieses lokale Netzwerk sonst nicht in die Client Routing Table übernommen wird ! Das kannst du mit "route print" (Winblows) oder "netstat -r" (Linux) checken.
Die generelle Frage die man sich stellen muss warum du als Linux Spezi dann als VPN Server sinnlos einen ganzen Win 7 Rechner verschwendest statt dort einen kleinen Raspberry Pi für 25 Euro hinstellst und den das machen lässt.
Netzwerk Management Server mit Raspberry Pi
Viel sinnvoller, weniger Stromkosten, always on und weniger Stress mit den ganzen Winblows Firewall Gefrickel !
Hi aqui,
vielen Dank auch für Deine Antwort inkl. der Links (teilweise bekannt, wenn auch nicht komplett "durchgearbeitet")!
Kurze Antwort:
1. Selbst bei komplett ausgeschalteter Firewall komme ich ja nicht weiter, siehe mein Nachtrag zu meinem ersten Geschreibsel von letzter Nacht.
2. Raspi ist schön und gut, aber mein Bekannter möchte eigentlich nur von extern (mit seinem Notebook) auf seinen Windows-Desktop-Rechner rauf, um da irgendwelche Programme zu handeln - das Ding muss also sowieso laufen und unter Win-XP (mit RDP, etc.) läuft das auch wie am Schnürchen, also erstaunlich flüssig (nur kommt der Rechner langsam in die Jahre und Win-XP läuft aus, etc.). Gaaanz am Anfang hatte ich mal eine OpenVPN-Variante(?) auf seinem NAS (klein(st)es QNAP-Teil) installiert und bin von da aus auf seinen Windows-Rechner rauf - lief deutlich langsamer.
Wie gesagt, dass ich selbst mit abgeschalteter Firewall nicht weiterkomme, kapiere ich einfach nicht.
Gruß
erwin65
vielen Dank auch für Deine Antwort inkl. der Links (teilweise bekannt, wenn auch nicht komplett "durchgearbeitet")!
Kurze Antwort:
1. Selbst bei komplett ausgeschalteter Firewall komme ich ja nicht weiter, siehe mein Nachtrag zu meinem ersten Geschreibsel von letzter Nacht.
2. Raspi ist schön und gut, aber mein Bekannter möchte eigentlich nur von extern (mit seinem Notebook) auf seinen Windows-Desktop-Rechner rauf, um da irgendwelche Programme zu handeln - das Ding muss also sowieso laufen und unter Win-XP (mit RDP, etc.) läuft das auch wie am Schnürchen, also erstaunlich flüssig (nur kommt der Rechner langsam in die Jahre und Win-XP läuft aus, etc.). Gaaanz am Anfang hatte ich mal eine OpenVPN-Variante(?) auf seinem NAS (klein(st)es QNAP-Teil) installiert und bin von da aus auf seinen Windows-Rechner rauf - lief deutlich langsamer.
Wie gesagt, dass ich selbst mit abgeschalteter Firewall nicht weiterkomme, kapiere ich einfach nicht.
Gruß
erwin65
Hi,
fürs Verständnis die erste Frage: Haben der alte XP- und der neue Win7-Rechner jeweils eine eigene Portweiterleitung und Du änderst beim Wechsel der Verbindung einfach den Zielport?
Und bist Du Dir wirklich sicher, dass die Windows7-Firewall komplett ausgeschaltet ist? Es gibt ja 3 verschiedene Netzwerktypen, für die man die FW separat abschalten kann und manchmal wird nur der private Teil abgeschaltet - aber das OpenVPN-Netz wird, wenn man nichts dran ändert, als öffentliches Netzwerk erkannt!
Achja, und was mir auch noch einfällt, es gibt manchmal Szenarien, in denen Windows die Daten über IPv6 verschicken will, was aber nicht klappt, wenn die Verbindung nicht mit entsprechender, routbarer Adresse ausgestattet ist. Du könntest also testweise mal die IPv6-Unterstützung in den Netzwerkadaptern (sowohl physikalisch als auch TAP) deaktivieren und dann nochmal testen. Vielleicht hilft das.
Grüße und viel Erfolg,
kingkong
fürs Verständnis die erste Frage: Haben der alte XP- und der neue Win7-Rechner jeweils eine eigene Portweiterleitung und Du änderst beim Wechsel der Verbindung einfach den Zielport?
Und bist Du Dir wirklich sicher, dass die Windows7-Firewall komplett ausgeschaltet ist? Es gibt ja 3 verschiedene Netzwerktypen, für die man die FW separat abschalten kann und manchmal wird nur der private Teil abgeschaltet - aber das OpenVPN-Netz wird, wenn man nichts dran ändert, als öffentliches Netzwerk erkannt!
Achja, und was mir auch noch einfällt, es gibt manchmal Szenarien, in denen Windows die Daten über IPv6 verschicken will, was aber nicht klappt, wenn die Verbindung nicht mit entsprechender, routbarer Adresse ausgestattet ist. Du könntest also testweise mal die IPv6-Unterstützung in den Netzwerkadaptern (sowohl physikalisch als auch TAP) deaktivieren und dann nochmal testen. Vielleicht hilft das.
Grüße und viel Erfolg,
kingkong
Hi kingkong,
so ist es, der neue hat 1196, der alte 1195 - laut den Logfiles lande ich auch auf dem jeweils anvisierten Rechner, sieht auch alles ok und mehr oder weniger identisch aus (die Abweichungen ergeben sich wohl aus den unterschiedlichen OpenVPN-Versionen, 2.2.2 vs. 2.3.2), nur auf dem Win-7-Rechner komme ich nicht weiter.
Zu 99,9%, würde ich mal sagen.
Stimmt. Habe dieses auch schon separat abgeschaltet, half nix. Direkt nach dem Installieren von OpenVPN 2.3.2 konnte ich auch erst gar keine Verbindung herstellen, musste erst "openvpn" als "erlaubtes Programm" für das öffentliche Profil/Netzwerk in die Firewall aufnehmen - meine, das war alles, was ich gemacht hatte - danach klappte es mit der VPN-Verbindung. Das gleiche habe ich dann auch noch für die "Remote-Access-Programme" gemacht (glaube, es waren zwei, noch etwas mit -fx, oder so), half aber bzgl. der gewünschten RDP-Verbindung nicht weiter.
Ok, danke, das werde ich heute abend mal ausprobieren! Aber was meinst Du mit "physikalisch als auch TAP"? Ich kenne nur diesen Dialog, den man bekommt, wenn man auf "Eigenschaften des Netzwerks" (oder so) geht, wo man dann verschiedene Protokolle an- und abwählen kann. Ist das "physikalisch" oder "TAP"? Und was ist dann der andere?
Ich mache drei Kreuze, wenn ich das Ding an Laufen kriege, ehrlich...
erwin65
Zitat von @kingkong:
Hi,
fürs Verständnis die erste Frage: Haben der alte XP- und der neue Win7-Rechner jeweils eine eigene Portweiterleitung und
Du änderst beim Wechsel der Verbindung einfach den Zielport?
Hi,
fürs Verständnis die erste Frage: Haben der alte XP- und der neue Win7-Rechner jeweils eine eigene Portweiterleitung und
Du änderst beim Wechsel der Verbindung einfach den Zielport?
so ist es, der neue hat 1196, der alte 1195 - laut den Logfiles lande ich auch auf dem jeweils anvisierten Rechner, sieht auch alles ok und mehr oder weniger identisch aus (die Abweichungen ergeben sich wohl aus den unterschiedlichen OpenVPN-Versionen, 2.2.2 vs. 2.3.2), nur auf dem Win-7-Rechner komme ich nicht weiter.
Und bist Du Dir wirklich sicher, dass die Windows7-Firewall komplett ausgeschaltet ist?
Zu 99,9%, würde ich mal sagen.
Es gibt ja 3 verschiedene Netzwerktypen,
für die man die FW separat abschalten kann und manchmal wird nur der private Teil abgeschaltet - aber das OpenVPN-Netz wird,
wenn man nichts dran ändert, als öffentliches Netzwerk erkannt!
für die man die FW separat abschalten kann und manchmal wird nur der private Teil abgeschaltet - aber das OpenVPN-Netz wird,
wenn man nichts dran ändert, als öffentliches Netzwerk erkannt!
Stimmt. Habe dieses auch schon separat abgeschaltet, half nix. Direkt nach dem Installieren von OpenVPN 2.3.2 konnte ich auch erst gar keine Verbindung herstellen, musste erst "openvpn" als "erlaubtes Programm" für das öffentliche Profil/Netzwerk in die Firewall aufnehmen - meine, das war alles, was ich gemacht hatte - danach klappte es mit der VPN-Verbindung. Das gleiche habe ich dann auch noch für die "Remote-Access-Programme" gemacht (glaube, es waren zwei, noch etwas mit -fx, oder so), half aber bzgl. der gewünschten RDP-Verbindung nicht weiter.
Achja, und was mir auch noch einfällt, es gibt manchmal Szenarien, in denen Windows die Daten über IPv6 verschicken
will, was aber nicht klappt, wenn die Verbindung nicht mit entsprechender, routbarer Adresse ausgestattet ist. Du könntest
also testweise mal die IPv6-Unterstützung in den Netzwerkadaptern (sowohl physikalisch als auch TAP) deaktivieren und dann
nochmal testen. Vielleicht hilft das.
will, was aber nicht klappt, wenn die Verbindung nicht mit entsprechender, routbarer Adresse ausgestattet ist. Du könntest
also testweise mal die IPv6-Unterstützung in den Netzwerkadaptern (sowohl physikalisch als auch TAP) deaktivieren und dann
nochmal testen. Vielleicht hilft das.
Ok, danke, das werde ich heute abend mal ausprobieren! Aber was meinst Du mit "physikalisch als auch TAP"? Ich kenne nur diesen Dialog, den man bekommt, wenn man auf "Eigenschaften des Netzwerks" (oder so) geht, wo man dann verschiedene Protokolle an- und abwählen kann. Ist das "physikalisch" oder "TAP"? Und was ist dann der andere?
Grüße und viel Erfolg,
kingkong
kingkong
Ich mache drei Kreuze, wenn ich das Ding an Laufen kriege, ehrlich...
erwin65
Hi, leider noch keine Erfolgsmeldung meinerseits:
Von Win-7 aus gelingt immerhin ein Ping auf diese 10.8.0.x-Adresse, die meiner Linux-Kiste zugewiesen wurde, ein ping auf deren reale/interne IP scheitert aber (vermute, dass das normal ist).
Tja, bin mit meinem Latein am Ende.
Gibt's hier den *irgendeinen* Menschen (..., der einen kennt, der einen kennt, ...), der unter Windows-7 erfolgreich einen OpenVPN-Server betreibt???
Laut meiner Google-Recherche sind einige Leute ja schon daran gescheitert, überhaupt eine VPN-Connection zustande zu bekommen - das habe ich ja scheinbar relativ schnell hinbekommen, nur danach (Zugriff per RDP (oder wenigestens ein ping) auf den Windows-7-Rechner)) ist bei mir leider Feierabend.
Bin nach wie vor für jede Hilfe dankbar! Selbst wenn ich nur ein Schrittchen weiterkäme...
Viele Grüße
erwin65
- nochmal mit definitiv deaktivierter Firewall versucht, per ping oder RDP auf den Win-7-Rechner raufzukommen: Nix.
- IPV6 auf beiden Netzwerkadaptern ("normal" und TAP) deaktiviert - hilft auch nix.
Von Win-7 aus gelingt immerhin ein Ping auf diese 10.8.0.x-Adresse, die meiner Linux-Kiste zugewiesen wurde, ein ping auf deren reale/interne IP scheitert aber (vermute, dass das normal ist).
Tja, bin mit meinem Latein am Ende.
Gibt's hier den *irgendeinen* Menschen (..., der einen kennt, der einen kennt, ...), der unter Windows-7 erfolgreich einen OpenVPN-Server betreibt???
Laut meiner Google-Recherche sind einige Leute ja schon daran gescheitert, überhaupt eine VPN-Connection zustande zu bekommen - das habe ich ja scheinbar relativ schnell hinbekommen, nur danach (Zugriff per RDP (oder wenigestens ein ping) auf den Windows-7-Rechner)) ist bei mir leider Feierabend.
Bin nach wie vor für jede Hilfe dankbar! Selbst wenn ich nur ein Schrittchen weiterkäme...
Viele Grüße
erwin65
Hi erwin65,
sorry, war sehr lange weg ... Klappt es jetzt?
Ansonsten hätte ich in meinem Beitrag auch noch mal direkt sicher stellen können, dass Du den VPN-Server auch wirklich mit einem Admin-Konto UND Admin-Rechten startest (unter XP hatte ein Admin-Konto ja immer die entsprechenden Rechte, unter Windows 7 musst Du das normalerweise explizit veranlassen).
Es ist nämlich durchaus denkbar, dass Du den Verbindungsaufbau auf das physische Interface noch durchführen kannst, dann aber das Routing über das virtuelle Interface nicht mehr funktioniert, weil die entsprechenden Routen ohne Adminrechte nicht gesetzt werden können.
Grüße,
kingkong
sorry, war sehr lange weg ... Klappt es jetzt?
Ansonsten hätte ich in meinem Beitrag auch noch mal direkt sicher stellen können, dass Du den VPN-Server auch wirklich mit einem Admin-Konto UND Admin-Rechten startest (unter XP hatte ein Admin-Konto ja immer die entsprechenden Rechte, unter Windows 7 musst Du das normalerweise explizit veranlassen).
Es ist nämlich durchaus denkbar, dass Du den Verbindungsaufbau auf das physische Interface noch durchführen kannst, dann aber das Routing über das virtuelle Interface nicht mehr funktioniert, weil die entsprechenden Routen ohne Adminrechte nicht gesetzt werden können.
Grüße,
kingkong
1
Hi kingkong,
das ist ja nett, dass Du Dich nochmal meldest!
Also, leider funktioniert es immer noch nicht wie gewünscht (aktuell läuft nur ein "workaround" mit dem alten XP-Rechner, der aber mehr als gruselig ist (der workaround und auch der steinalte Rechner).
Der VPN-Server wird als Service gestartet, ob jetzt "nur" über ein Admin-Konto oder auch mit vollen Admin-Rechten, weiß ich gerade nicht - ist mir aber auch komplett neu, dass ein Admin-Konto (unter Win-7) keine vollen Admin-Rechte hat, also z.B. nicht das Routing ändern kann.
Könntest Du mir einen Tipp geben, wie ich das auf die Schnelle austesten (z.B. als eingeloggter Admin versuchen, das Routing zu ändern - kenne mich mit der Syntax / in diesem Bereich nicht so gut aus) bzw. "richtig" einstellen könnte?! Das wäre super!
Vielen Dank und schönes WE!
erwin65
das ist ja nett, dass Du Dich nochmal meldest!
Also, leider funktioniert es immer noch nicht wie gewünscht (aktuell läuft nur ein "workaround" mit dem alten XP-Rechner, der aber mehr als gruselig ist (der workaround und auch der steinalte Rechner
).Der VPN-Server wird als Service gestartet, ob jetzt "nur" über ein Admin-Konto oder auch mit vollen Admin-Rechten, weiß ich gerade nicht - ist mir aber auch komplett neu, dass ein Admin-Konto (unter Win-7) keine vollen Admin-Rechte hat, also z.B. nicht das Routing ändern kann.
Könntest Du mir einen Tipp geben, wie ich das auf die Schnelle austesten (z.B. als eingeloggter Admin versuchen, das Routing zu ändern - kenne mich mit der Syntax / in diesem Bereich nicht so gut aus) bzw. "richtig" einstellen könnte?! Das wäre super!
Vielen Dank und schönes WE!
erwin65
Im Grunde ist das Setup doch kinderleicht. Wenn du diesem Forumstutorial folgst:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wird dir das doch Schritt für Schritt erklärt !? Das Setup bei OVPN ist übrigens immer daselbe völlig egal welche Hardware und OS (Winblows, Linux) du verwendest ! Die Schritte sind also völlig identisch.
Zusätzlichen helfen noch diese Tutorials:
OpenVPN - Teil 1 - Installation, Konfiguration und erstellung der Zertifikate
und
OpenVPN - Teil 2 - OpenVPN Konfiguration
Wo ist denn nun noch dein eigentliches Problem ??
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wird dir das doch Schritt für Schritt erklärt !? Das Setup bei OVPN ist übrigens immer daselbe völlig egal welche Hardware und OS (Winblows, Linux) du verwendest ! Die Schritte sind also völlig identisch.
Zusätzlichen helfen noch diese Tutorials:
OpenVPN - Teil 1 - Installation, Konfiguration und erstellung der Zertifikate
und
OpenVPN - Teil 2 - OpenVPN Konfiguration
Wo ist denn nun noch dein eigentliches Problem ??
Hi aqui, mein Problem habe ich in meinen vorherigen Posts schon beschrieben: Mit Win-XP als openvpn-Server klappt alles bestens, mit Win-7 als Server sieht "auf den ersten Blick" (am Client, in den Logfiles auf Client/Server, etc.) alles bestens aus, ich komme aber von extern nicht auf den Win-7-Rechner drauf (vermutlich, weil das Routing auf dem Win-7-Server nicht korrekt ist / korrekt gesetzt werden kann). Win-7 scheint als openvpn-Server nicht ganz unproblematisch zu sein, habe ich seinerzeit auch mehrfach beim Googeln gelesen.
Gruß
erwin65
Gruß
erwin65
ich komme aber von extern nicht auf den Win-7-Rechner drauf (vermutlich, weil das Routing auf dem Win-7-Server nicht korrekt ist / korrekt gesetzt werden kann)
Nein, das stimmt generell nicht. Aber die klassischen Fallen die bei Winblows 7 lauert und in die Laien reintappen:1.) OVPN muss mit Administrator Rechten ausgeführt werden, denn sonst kann das tap 32 Interface nicht gesetzt werden und die Routing Tabelle nicht erweitert werden !
2.) Hat man die obigen Hürden aus dem Weg geräumt ist die 2te Falle die lokale Win7 Firewall. Das Tunnel Netz wird als "public" also öffentlich deklariert und damit die Firewall komplett dichtgemacht.
Hier muss man lediglich in das Firewall Profil an diesem Port auf "Privat" setzen bzw. das tap win32 Interface im Öffentlichen Profil rausnehmen und fertig ist der Lack. Dann klappts auch mit Win 7 auf Anhieb.
http://asktheoracle.com/blog/how-to-make-openvpn-work-with-the-windows- ...
