Jun 17, 2020, updated at 20:53:04 (UTC)

1423

OpenVPN Routing unter Windows Server 2012 r2

Schönen Guten Abend liebes Forum, ich habe so weit es geht versucht den Text leserlich zu machen und meine Schritte zu Dokumentieren und hoffe das man alle meine Schritte nachvollziehen kann.

Frage:

Wie bekomme ich das Routing so hin, dass ich auf Clienten hinterm VPN Server zugreifen kann?

Alles was Lokal ist wird in Orange gefärbt und alles was ein Subnetz von OpenVPN ist in Rot

Mein Momentanes Setup sieht wie folgt aus:

Windows 2012 R2 /VPN Server
IP Adresse: 192.168.75.23/24 (lokal) / Adresse über den VPN Tunnel : 10.19.15.1/24
Der Client (Arbeitsrechner) auf den ich Zugreifen will: 192.168.75.20/24

* Fritzbox (DHCP Server)

IP Adresse: 192.168.75.1

VPN Tunnel: 10.19.15.0/24

Was funktioniert:

Ich kann über einen Client eine VPN Verbindung aufbauen und bekomme die Adresse 10.19.15.6/24. zugewiesen.
Über den Client kann ich den VPN Server (10.19.15.1/24) ,welcher sich auf dem Windows Server befindet, anpingen.

Was nicht funktioniert:

Zugriff auf Clienten im Heimnetzwerk (zB. andere Rechner, Router oder Drucker)

Weitere Schritte die ich unternommen habe:

Des Weiteren habe ich IP forwarding auf dem Win Server mittels "netsh interface ipv4 set int "NameDesAdapters" forwarding=enabled" aktiviert und eine statische Route in der Fritzbox gesetzt, die auf meinen Windows Server zeigt (der ja auch der VPN Server ist).

Das sieht so aus:

Als letzten Schritt habe ich auf dem Client (Arbeitsrechner) folgende Route via cmd hinzugefügt: route add 10.19.15.0 mask 255.255.255.0 192.168.75.23.

Konfigurationen

Server conf:

local 192.168.75.23
port 1194
proto udp4
dev tun

# ----------------------------------------------
# Zertifikate
# ----------------------------------------------

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"  
cert "C:\\Program Files\\OpenVPN\\config\\vpn_aster.crt"  
key "C:\\Program Files\\OpenVPN\\config\\vpn_aster.key"   
dh "C:\\Program Files\\OpenVPN\\config\\dh2048.pem"  

# ----------------------------------------------
# Server-Setup
# ----------------------------------------------

server 10.19.15.0 255.255.255.0
ifconfig-pool-persist "C:\\Programme\\OpenVPN\\ipp.txt"  
client-to-client

# ----------------------------------------------
# Client-Settings (inkl Special Dir)Files
# ----------------------------------------------

client-config-dir "C:\\Programme\\OpenVPN\\ccd"  
route 192.168.75.0 255.255.255.0
push "route 192.168.75.0 255.255.255.0"  
push "dhcp-option DNS 192.168.75.23"  

# ----------------------------------------------
# Defaults
# ----------------------------------------------

keepalive 10 120
compress lz4
persist-key
persist-tun

# ----------------------------------------------
# Logging
# ----------------------------------------------

status "C:\\Programme\\OpenVPN\\log\\openvpn-status.log"  
log "C:\\Programme\\OpenVPN\\log\\openvpn.log"  
log-append "C:\\Programme\\OpenVPN\\log\\openvpn.log"  
verb 3

Client conf:

dev-node tun0
client
proto udp4
remote public adresse 1194
resolv-retry infinite
keepalive 5 10
nobind
persist-key
persist-tun
compress lz4
verb 3

Ca, Crt und Key sind in der ovpn datei schon drinne.

Please also mark the comments that contributed to the solution of the article

Content-Key: 579892

Url: https://administrator.de/contentid/579892

Printed on: April 25, 2024 at 00:04 o'clock

10 Comments

Latest comment

Bitte lese dir das hiesige OVPN Tutorial genau durch ! Dort werden ALLE deine Fragen umfassend beantwortet inklusive einer lauffähigen Konfig.
Merkzettel: VPN Installation mit OpenVPN
Bzw. hier im Detail mit der LAN zu LAN Kopplung:
OpenVPN - Erreiche Netzwerk hinter Client nicht
Setze das entsprechend um, dann kommt das auch sofort zum Fliegen !
Deine 3 Kardinalsfehler vorab:

Das Route Kommando ist vollkommender Quatsch. Mit dem Push Route Kommando distribuierst du das ja schon automatisch auf den OVPN Client. Das Route Kommando brauchst du nur wenn du ein vollständiges LAN am OVPN Client routen willst. Wenn du lediglich ein reines Client VPN hast kann das komplett entfallen !!
Du nutzt das völlig veraltete net30 Konzept. Stelle das um auf das empfohlene subnet Verfahren.
Compression sollte man wegen eines Sicherheits_Bugs generell NICHT nutzen und deaktivieren. Bringt eh wenig denn die meisten Daten sind schon komprimiert.

Als letzten Schritt habe ich auf dem Client (Arbeitsrechner) folgende Route via cmd hinzugefügt:

Das ist natürlich überflüssiger Unsinn, denn der Client Rechner hat als Default gateway die FritzBox die wiederum eine statische Route auf das 10.19.15er Netz hat. Die solltest du also wieder entfernen da überflüssig.
Bedenke immer die lokale Windows Firewall auf dem Client auf den du zugreifen willst. Die blockiert alles gnadenlos was aus fremden IP Adressen zugreift wie du z.B. über den VPN Tunnel.
Hier musst du also den Dienst den du nutzt entsprechend freigeben auf der Firewall mit erweiterten Eigenschaften !
Hier z.B. für das ICMP Protokoll:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Entsprechend gilt das für alle anderen Dienste wie RDP, Datei- und Druckerdienst usw.

Kannst du den Zielrechner denn überhaupt anpingen bzw. tracerouten über den VPN Tunnel ?
Leider fehlt auch die entsprechende OVPN Client Konfig für eine zielführende Hilfe.

Vielen Dank für dein Feedback,
Ich werde den verlinkten Thread durchlesen.
Ich füge gleich nochmal die Client OVPN hinzu.

Den Zielrechner (Arbeitsrechner) kann ich ausm VPN nicht anpingen.
Ich kann nur die IP Adresse erreichen die von OpenVPN zugewiesen wird.

Zitat von @aqui:

* Du nutzt das völlig veraltete net30 Konzept. Stelle das um auf das empfohlene subnet Verfahren.

Das habe ich nur verwendet um im Forum kompakter zuschreiben

Den Zielrechner (Arbeitsrechner) kann ich ausm VPN nicht anpingen.

Kein Wunder denn deine Server Konfig ist falsch !
Beachte unbedingt auch die pestige Firewall bei Windows. Diese MUSS angepasst werden.

Das habe ich nur verwendet um im Forum kompakter zuschreiben

Bahnhof, Ägypten...?! Bitte lies das Tutorial !! Das ist ein OVPN Server Konfig Kommando und hat hier NICHTS mit dem Forum zu tun.

Zitat von @aqui:

Den Zielrechner (Arbeitsrechner) kann ich ausm VPN nicht anpingen.

Kein Wunder denn deine Server Konfig ist falsch !

Könntest du mir evtl einen Tipp geben in welchen Zeilen der Fehler ist.

Beachte unbedingt auch die pestige Firewall bei Windows. Diese MUSS angepasst werden.

Was meinst du damit? Das ICMP Protokoll?

Das habe ich nur verwendet um im Forum kompakter zuschreiben

Bahnhof, Ägypten...?! Bitte lies das Tutorial !! Das ist ein OVPN Server Konfig Kommando und hat hier NICHTS mit dem Forum zu tun.

Da hab ich das falsch verstanden
Bin bei net30 von dieser Art von Notation /24 ausgegangen.

Wie gesagt ich lese mir erstmal das Tutorial nochmal durch und versuche den Fehler zu finden.

Könntest du mir evtl einen Tipp geben in welchen Zeilen der Fehler ist.

Deine 3 schlimmsten Fehler sind oben aufgelistet.
Firewall kommt dazu.
Ein route print (Windows) mit aktivem Client wäre ebenso hilfreich.

Okay das habe ich jetzt bei der Server Conf gemacht:
- route entfernt und nur push route gelassen
-auf subnet mithilfe von --topology subnet umgestellt.
-compression entfernt

So sieht jetzt die Server Conf aus:

local 192.168.75.23
port 1194
proto udp4
dev tun

# ----------------------------------------------
# Zertifikate
# ----------------------------------------------

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"  
cert "C:\\Program Files\\OpenVPN\\config\\vpn_aster.crt"  
key "C:\\Program Files\\OpenVPN\\config\\vpn_aster.key"   
dh "C:\\Program Files\\OpenVPN\\config\\dh2048.pem"  

# ----------------------------------------------
# Server-Setup
# ----------------------------------------------

server 10.19.15.0 255.255.255.0
topology subnet
push "topology subnet"  
ifconfig-pool-persist "C:\\Programme\\OpenVPN\\ipp.txt"  
client-to-client

# ----------------------------------------------
# Client-Settings (inkl Special Dir)Files
# ----------------------------------------------

client-config-dir "C:\\Programme\\OpenVPN\\ccd"  
push "route 192.168.75.0 255.255.255.0"  
push "dhcp-option DNS 192.168.75.23"  

# ----------------------------------------------
# Defaults
# ----------------------------------------------

keepalive 10 120
persist-key
persist-tun

# ----------------------------------------------
# Logging
# ----------------------------------------------

status "C:\\Programme\\OpenVPN\\log\\openvpn-status.log"  
log "C:\\Programme\\OpenVPN\\log\\openvpn.log"  
log-append "C:\\Programme\\OpenVPN\\log\\openvpn.log"  
verb 3

Firewall: Meinst du das ICMP Protokoll (den thread welchen du mir verlinkt hast?)
Route Print, soll ich diesem auf dem VPN Server (Windows) mit aktivem Clienten ausführen?

Route Print vom Windows Server/VPN Server (192.168.75.23)

===========================================================================
Schnittstellenliste
 43...00 ff a1 ab d8 2d ......TAP-Windows Adapter V9
 19...00 15 5d 4b 17 02 ......Hyper-V-Adapter - virtuelles Ethernet #3
 17...d0 50 99 a5 c8 33 ......Hyper-V-Adapter - virtuelles Ethernet #2
  1...........................Software Loopback Interface 1
 20...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
 13...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
 47...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0     192.168.75.1    192.168.75.23    261
          0.0.0.0          0.0.0.0   Auf Verbindung        10.19.15.1    266
       10.19.15.0    255.255.255.0   Auf Verbindung        10.19.15.1    266
       10.19.15.0    255.255.255.0   Auf Verbindung     192.168.75.23      6
       10.19.15.1  255.255.255.255   Auf Verbindung        10.19.15.1    266
     10.19.15.255  255.255.255.255   Auf Verbindung        10.19.15.1    266
     10.19.15.255  255.255.255.255   Auf Verbindung     192.168.75.23    261
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      169.254.0.0      255.255.0.0   Auf Verbindung    169.254.70.189    261
   169.254.70.189  255.255.255.255   Auf Verbindung    169.254.70.189    261
  169.254.255.255  255.255.255.255   Auf Verbindung    169.254.70.189    261
     192.168.75.0    255.255.255.0   Auf Verbindung     192.168.75.23    261
    192.168.75.23  255.255.255.255   Auf Verbindung     192.168.75.23    261
   192.168.75.255  255.255.255.255   Auf Verbindung     192.168.75.23    261
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.75.23    261
        224.0.0.0        240.0.0.0   Auf Verbindung    169.254.70.189    261
        224.0.0.0        240.0.0.0   Auf Verbindung        10.19.15.1    266
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.75.23    261
  255.255.255.255  255.255.255.255   Auf Verbindung    169.254.70.189    261
  255.255.255.255  255.255.255.255   Auf Verbindung        10.19.15.1    266
===========================================================================
St„ndige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0     192.168.75.1  Standard 
          0.0.0.0          0.0.0.0     192.168.75.1     256

ICMP Protokoll.
Pingen scheint schon für beliebige Adressen aktiviert zu sein:

OK, Hauptsache die Regel ist auch aktiv !
Wie sieht das denn mit dem LAN Interface der FritzBox aus ? Kannst du das über das VPN pingen ?

Route Print vom Windows Server/VPN Server

Es war die Routing Tabelle des Clients gemeint !
Hast du die Server Konfig Datei angepasst ?!

Zitat von @aqui:

OK, Hauptsache die Regel ist auch aktiv !

Ja ist Sie!

Wie sieht das denn mit dem LAN Interface der FritzBox aus ? Kannst du das über das VPN pingen ?

Nein.

Hast du die Server Konfig Datei angepasst ?!

Selbstverständlich!

Route Print vom Windows Server/VPN Server

Es war die Routing Tabelle des Clients gemeint !

Route Print:

===========================================================================
Schnittstellenliste
 19...14 dd a9 db b9 ce ......Realtek PCIe GbE Family Controller #2
 12...00 ac cf b6 89 f0 ......VPN Client Adapter - VPN
 15...00 1a 7d da 71 15 ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
 25...00 15 5d 2e 1c 11 ......Hyper-V Virtual Ethernet Adapter
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0     192.168.75.1    192.168.75.32    281
       10.19.15.0    255.255.255.0    192.168.75.23    192.168.75.32     26
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
     192.168.75.0    255.255.255.0   Auf Verbindung     192.168.75.32    281
    192.168.75.32  255.255.255.255   Auf Verbindung     192.168.75.32    281
   192.168.75.255  255.255.255.255   Auf Verbindung     192.168.75.32    281
   192.168.135.96  255.255.255.240   Auf Verbindung    192.168.135.97   5256
   192.168.135.97  255.255.255.255   Auf Verbindung    192.168.135.97   5256
  192.168.135.111  255.255.255.255   Auf Verbindung    192.168.135.97   5256
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.75.32    281
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.135.97   5256
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.75.32    281
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.135.97   5256
===========================================================================
St„ndige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0     192.168.75.1  Standard 
       10.19.15.0    255.255.255.0    192.168.75.23       1
===========================================================================

Nevermind.... nachdem ich beide TAP Adapter neugestartet habe, kann ich jetzt den Clienten und Router anpingen.
Windows Tap Treiber scheinen Buggy zu sein.

Danke für deine konstruktive Hilfe Aqui, ohne dich hätte ich das nicht geschafft!
Kann man dir paar Euro als Dank Donaten?

Nee, lieber ein virtuelles Bier solange es keins der üblichen Massenbiere ist !

Gut wenns nun rennt wie es soll.
Case closed... !

Bitte dann auch
How can I mark a post as solved?
nicht vergessen !

German solved Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments