OpenVPN-Server unter Windows Server 2008 - Internet funktioniert nicht
Guten Abend ihrs,
ich hatte vor Kurzem eine Testumgebung mit Windows 2008 Server R2 Standard und einem OpenVPN-Server eingerichtet.
Das Verbinden mittels OpenVPN funktioniert problemlos, auch kann ich den Host mittels IP-Adresse anpingen.
Wenn ich jedoch eine Internet-Seite (Google in meinem Testfall) anpingen will, dann wird die URL in die Adresse aufgelöst,
jedoch bekomme ich keine Antwort.
Ein Traceroute ergibt folgendes:
Leider funktioniert so auch das "Surfen" durch den Tunnel funktioniert nicht.
Die RRAS-Dienste sind nicht installiert, somit sollte da nichts im Wege stehen; das Routing hatte ich mittels Registry-Eintrag aktiviert.
Meine OpenVPN-Konfigurationen:
Server.ovpn:
Client.ovpn:
Ich stehe mal wieder auf'm Schlauch; habe bereits einige OpenVPN-Server unter Linux eingerichtet und genanntes Problem hatte ich bisher (zum Glück) noch nicht.
Wäre super wenn mir wer auf die Sprünge helfen könnte.
Danke im Voraus
Grüße
Thomas
ich hatte vor Kurzem eine Testumgebung mit Windows 2008 Server R2 Standard und einem OpenVPN-Server eingerichtet.
Das Verbinden mittels OpenVPN funktioniert problemlos, auch kann ich den Host mittels IP-Adresse anpingen.
ping 192.168.1.2
Ping wird ausgeführt für 192.168.1.2 mit 32 Bytes Daten:
Antwort von 192.168.1.2: Bytes=32 Zeit=61ms TTL=127
Antwort von 192.168.1.2: Bytes=32 Zeit=61ms TTL=127
Antwort von 192.168.1.2: Bytes=32 Zeit=62ms TTL=127
Antwort von 192.168.1.2: Bytes=32 Zeit=62ms TTL=127
Ping-Statistik für 192.168.1.2:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 61ms, Maximum = 62ms, Mittelwert = 61ms
Wenn ich jedoch eine Internet-Seite (Google in meinem Testfall) anpingen will, dann wird die URL in die Adresse aufgelöst,
jedoch bekomme ich keine Antwort.
ping www.google.de
Ping wird ausgeführt für www-cctld.l.google.com [173.194.69.94] mit 32 Bytes Daten:
Zeitberschreitung der Anforderung.
Zeitberschreitung der Anforderung.
Zeitberschreitung der Anforderung.
Zeitberschreitung der Anforderung.
Ping-Statistik für 173.194.69.94:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
(100% Verlust),
Ein Traceroute ergibt folgendes:
tracert www.google.de
Routenverfolgung zu www-cctld.l.google.com [173.194.69.94] ber maximal 30 Abschnitte:
1 61 ms 61 ms 61 ms DC1 [10.8.0.1]
2 * * * Zeitberschreitung der Anforderung.
3 * * * Zeitberschreitung der Anforderung.
4 * * * Zeitberschreitung der Anforderung.
...
Leider funktioniert so auch das "Surfen" durch den Tunnel funktioniert nicht.
Die RRAS-Dienste sind nicht installiert, somit sollte da nichts im Wege stehen; das Routing hatte ich mittels Registry-Eintrag aktiviert.
Meine OpenVPN-Konfigurationen:
Server.ovpn:
server 10.8.0.0 255.255.255.0
port 1294
proto udp
dev tun
dh "C:\\Program Files (x86)\\OpenVPN\\server-keys\\dh2048.pem"
ca "C:\\Program Files (x86)\\OpenVPN\\server-keys\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\server-keys\\DC1.crt"
key "C:\\Program Files (x86)\\OpenVPN\\server-keys\\DC1.key"
push "redirect-gateway def1"
push "redirect-gateway def1 bypass-dhcp"
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.2"
ifconfig-pool-persist "C:\\Program Files (x86)\\OpenVPN\\ipp.txt"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"
verb 3
Client.ovpn:
#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
float
remote meine.domain.ltd 1294
ca "C:\\Pfad\\zum\\Zertifikat\\ca.crt"
cert "C:\\Pfad\\zum\\Zertifikat\\client.crt"
key "C:\\Pfad\\zum\\Zertifikat\\client.key"
comp-lzo
verb 3
ns-cert-type server
Ich stehe mal wieder auf'm Schlauch; habe bereits einige OpenVPN-Server unter Linux eingerichtet und genanntes Problem hatte ich bisher (zum Glück) noch nicht.
Wäre super wenn mir wer auf die Sprünge helfen könnte.
Danke im Voraus
Grüße
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 190115
Url: https://administrator.de/forum/openvpn-server-unter-windows-server-2008-internet-funktioniert-nicht-190115.html
Ausgedruckt am: 23.12.2024 um 00:12 Uhr
15 Kommentare
Neuester Kommentar
nachdem der openVPN-Server auf dem W2K8 läuft, weiß der, wo 10.8.0.0/24 liegt. Das einfachste ist, die Route nach 10.8.0.0/24 auf dem default-Router in 192.168.1.0/24 einzutragen. Ob das die Firewall (192.168.1.1) ist (höchstwahrscheinlich sagt mir meine Kristallkugel), oder ein anderer weißt Du besser. Du kannst es durch eine ping auf 192.168.1.1 testen, ob Du überhaupt eine Antwort von der Firewall bekommst.
Läßt Die Firewall überhaupt Pakete aus 10.8.0.0/24 raus? -> Eventuell regeln anpassen.
Warum läuft openVPN überhaupt auf dem W2K8 und nicht auf der Firewall?
lks
Läßt Die Firewall überhaupt Pakete aus 10.8.0.0/24 raus? -> Eventuell regeln anpassen.
Warum läuft openVPN überhaupt auf dem W2K8 und nicht auf der Firewall?
lks
Zitat von @d0ckw0rka:
Hallo,
Tracing route to www-cctld.l.google.com [173.194.69.94]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.1.1 (Gateway aka interne IP der Firewall im DMZ)
2 1 ms <1 ms 1 ms 192.168.2.250 (internet IP des Routers vor der Firewall)
...
Ob die Firewall aus dem DMZ anfragen vom 10.8.0.0/24 Netz rauslässt überprüfe ich gleich.
Hallo,
Tracing route to www-cctld.l.google.com [173.194.69.94]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.1.1 (Gateway aka interne IP der Firewall im DMZ)
2 1 ms <1 ms 1 ms 192.168.2.250 (internet IP des Routers vor der Firewall)
...
Ob die Firewall aus dem DMZ anfragen vom 10.8.0.0/24 Netz rauslässt überprüfe ich gleich.
Dabei auch gleich checken, ob auch ICMP irgendwo geblockt wird.
lks
Nutzt ihr evtl. einen Proxy in der Firma?
Zitat von @d0ckw0rka:
Hallo,
ja, haben einen Proxy im Einsatz, jedoch greift dieser nicht für's DMZ
Gruß
Thomas
Hallo,
ja, haben einen Proxy im Einsatz, jedoch greift dieser nicht für's DMZ
Gruß
Thomas
Ist schon klar. Aber geht der Laptop, nachdem er sich im VPN angemeldet hat, nicht ins "normale" Netz? Versuchs doch einfach mal und trag den Proxy ein.
Du hast immer noch nicht beantwortet wie du am Router/Firewall DMZ Interface mit dem 10.8.0.0er Netz verfährst.
Bedeneke immer das alle OVPN Clients aus dem VPN mit 10.8er Absender IPs ankommen am DMZ Router.
Es ist also essentiell wichtig WAS dieser Router mit diesen Paketen macht ?!
Du musst zwingend sofern es eine Firewall ist die die DMZ bedient diese IP Adressen passieren lassen in einer inbound Regel. Ferner musst du ebenso diese IPs im NAT/Masquerading dort zulassen, das die ins Internet geNATtet werden.
Auch MUSS auf dem Router/Firewall eine statische Route aufs 10.8er netz eingetragen sein mit Gateway auf die lokale OVPN Server LAN IP. Klar, denn der OVPN Server ist aus IP Sicht ja sowas wie ein Router fürs VPN.
Hast du das alles entsprechend gemacht im Router Firewall ??
Lies dir bitte dieses Tutorial dazu durch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
im Abschnitt: "OpenVPN hinter einem bestehenden NAT Router betreiben"
Bedeneke immer das alle OVPN Clients aus dem VPN mit 10.8er Absender IPs ankommen am DMZ Router.
Es ist also essentiell wichtig WAS dieser Router mit diesen Paketen macht ?!
Du musst zwingend sofern es eine Firewall ist die die DMZ bedient diese IP Adressen passieren lassen in einer inbound Regel. Ferner musst du ebenso diese IPs im NAT/Masquerading dort zulassen, das die ins Internet geNATtet werden.
Auch MUSS auf dem Router/Firewall eine statische Route aufs 10.8er netz eingetragen sein mit Gateway auf die lokale OVPN Server LAN IP. Klar, denn der OVPN Server ist aus IP Sicht ja sowas wie ein Router fürs VPN.
Hast du das alles entsprechend gemacht im Router Firewall ??
Lies dir bitte dieses Tutorial dazu durch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
im Abschnitt: "OpenVPN hinter einem bestehenden NAT Router betreiben"
Zitat von @d0ckw0rka:
Hatte zuvor fälschlicherweise die 10.8.0.1 als Gateway verwendet.
> route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.2 dmz-1
>
Hatte zuvor fälschlicherweise die 10.8.0.1 als Gateway verwendet.
Das ist doch ganz einfach zu merken. Der "next hop" sprich das gateway muß i.d.R. immer im gleichen Netz liegen wie die Maschine, auf der die Route eingerichtet wird. Ausnahmen sind bei PPP- und SLIP-verbindungen vorhanden.
lks