15
OpenVPN-Server unter Windows Server 2008 - Internet funktioniert nicht
Guten Abend ihrs,
ich hatte vor Kurzem eine Testumgebung mit Windows 2008 Server R2 Standard und einem OpenVPN-Server eingerichtet.
Das Verbinden mittels OpenVPN funktioniert problemlos, auch kann ich den Host mittels IP-Adresse anpingen.
Wenn ich jedoch eine Internet-Seite (Google in meinem Testfall) anpingen will, dann wird die URL in die Adresse aufgelöst,
jedoch bekomme ich keine Antwort.
Ein Traceroute ergibt folgendes:
Leider funktioniert so auch das "Surfen" durch den Tunnel funktioniert nicht.
Die RRAS-Dienste sind nicht installiert, somit sollte da nichts im Wege stehen; das Routing hatte ich mittels Registry-Eintrag aktiviert.
Meine OpenVPN-Konfigurationen:
Server.ovpn:
Client.ovpn:
Ich stehe mal wieder auf'm Schlauch; habe bereits einige OpenVPN-Server unter Linux eingerichtet und genanntes Problem hatte ich bisher (zum Glück) noch nicht.
Wäre super wenn mir wer auf die Sprünge helfen könnte.
Danke im Voraus
Grüße
Thomas
ich hatte vor Kurzem eine Testumgebung mit Windows 2008 Server R2 Standard und einem OpenVPN-Server eingerichtet.
Das Verbinden mittels OpenVPN funktioniert problemlos, auch kann ich den Host mittels IP-Adresse anpingen.
ping 192.168.1.2
Ping wird ausgeführt für 192.168.1.2 mit 32 Bytes Daten:
Antwort von 192.168.1.2: Bytes=32 Zeit=61ms TTL=127
Antwort von 192.168.1.2: Bytes=32 Zeit=61ms TTL=127
Antwort von 192.168.1.2: Bytes=32 Zeit=62ms TTL=127
Antwort von 192.168.1.2: Bytes=32 Zeit=62ms TTL=127
Ping-Statistik für 192.168.1.2:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 61ms, Maximum = 62ms, Mittelwert = 61msWenn ich jedoch eine Internet-Seite (Google in meinem Testfall) anpingen will, dann wird die URL in die Adresse aufgelöst,
jedoch bekomme ich keine Antwort.
ping www.google.de
Ping wird ausgeführt für www-cctld.l.google.com [173.194.69.94] mit 32 Bytes Daten:
Zeitberschreitung der Anforderung.
Zeitberschreitung der Anforderung.
Zeitberschreitung der Anforderung.
Zeitberschreitung der Anforderung.
Ping-Statistik für 173.194.69.94:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
(100% Verlust),Ein Traceroute ergibt folgendes:
tracert www.google.de
Routenverfolgung zu www-cctld.l.google.com [173.194.69.94] ber maximal 30 Abschnitte:
1 61 ms 61 ms 61 ms DC1 [10.8.0.1]
2 * * * Zeitberschreitung der Anforderung.
3 * * * Zeitberschreitung der Anforderung.
4 * * * Zeitberschreitung der Anforderung.
...Leider funktioniert so auch das "Surfen" durch den Tunnel funktioniert nicht.
Die RRAS-Dienste sind nicht installiert, somit sollte da nichts im Wege stehen; das Routing hatte ich mittels Registry-Eintrag aktiviert.
Meine OpenVPN-Konfigurationen:
Server.ovpn:
server 10.8.0.0 255.255.255.0
port 1294
proto udp
dev tun
dh "C:\\Program Files (x86)\\OpenVPN\\server-keys\\dh2048.pem"
ca "C:\\Program Files (x86)\\OpenVPN\\server-keys\\ca.crt"
cert "C:\\Program Files (x86)\\OpenVPN\\server-keys\\DC1.crt"
key "C:\\Program Files (x86)\\OpenVPN\\server-keys\\DC1.key"
push "redirect-gateway def1"
push "redirect-gateway def1 bypass-dhcp"
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.2"
ifconfig-pool-persist "C:\\Program Files (x86)\\OpenVPN\\ipp.txt"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"
verb 3Client.ovpn:
#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
float
remote meine.domain.ltd 1294
ca "C:\\Pfad\\zum\\Zertifikat\\ca.crt"
cert "C:\\Pfad\\zum\\Zertifikat\\client.crt"
key "C:\\Pfad\\zum\\Zertifikat\\client.key"
comp-lzo
verb 3
ns-cert-type serverIch stehe mal wieder auf'm Schlauch; habe bereits einige OpenVPN-Server unter Linux eingerichtet und genanntes Problem hatte ich bisher (zum Glück) noch nicht.
Wäre super wenn mir wer auf die Sprünge helfen könnte.
Danke im Voraus
Grüße
Thomas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 190115
Url: https://administrator.de/contentid/190115
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
15 Kommentare
Neuester Kommentar
Moin,
Ist das 10-er Netz im router (192.168.1.1?) eingetragen?
lks
Ist das 10-er Netz im router (192.168.1.1?) eingetragen?
lks
Hallo und danke für deinen Hinweis.
Die Situation ist folgende:
GREEN Interface -> ...
/
ADSL -> Firewall <
\
DMZ (ORANGE Interface) |192.168.1.1| -> Windows 2008 Server R2 Standard |192.168.1.2| (mit OpenVPN)
Mein Verständnis hängt nun grad wieder ein Bisschen; muss die Route auf dem Windows Server eingetragen werden, oder in der Firewall davor? Irgendwie drängt sich mir der Windows-Server auf... also so in etwas Route zwischen 192.168.1.0 und 10.8.0.0 - wobei diese Route ja gesetzt wurde (und automatisch beim Start von OpenVPN gestartet wird).
Danke und Grüße
Thomas
Die Situation ist folgende:
GREEN Interface -> ...
/
ADSL -> Firewall <
\
DMZ (ORANGE Interface) |192.168.1.1| -> Windows 2008 Server R2 Standard |192.168.1.2| (mit OpenVPN)
Mein Verständnis hängt nun grad wieder ein Bisschen; muss die Route auf dem Windows Server eingetragen werden, oder in der Firewall davor? Irgendwie drängt sich mir der Windows-Server auf... also so in etwas Route zwischen 192.168.1.0 und 10.8.0.0 - wobei diese Route ja gesetzt wurde (und automatisch beim Start von OpenVPN gestartet wird).
Danke und Grüße
Thomas
Hi,
wenn du schon Erfahrung mit OpenVPN unter Linux hast, dann solltest du auch dabei bleiben, ich würde dir davon abraten einen produktiven Server direkt in Internet zu hängen. Oder läuft der VPNServer auf deiner Firewall?
wenn du schon Erfahrung mit OpenVPN unter Linux hast, dann solltest du auch dabei bleiben, ich würde dir davon abraten einen produktiven Server direkt in Internet zu hängen. Oder läuft der VPNServer auf deiner Firewall?
Hallo,
würde nix lieber machen als diesen unter Linux zu betreiben, aber kann's mir leider nicht aussuchen, da dieser für unsere Entwickler als Testumgebung funktionieren soll (und sie brauchen unbedingt Ms Windows).
Der Server hängt nicht "direkt" im Internet, sondern im DMZ hinter unserer Firewall. Darauf wurde auch nur der entsprechende UDP-Port für das OpenVPN weitergeleitet - von daher mache ich mir somit erstmal keine Sorgen ;)
Grüße
Thomas
würde nix lieber machen als diesen unter Linux zu betreiben, aber kann's mir leider nicht aussuchen, da dieser für unsere Entwickler als Testumgebung funktionieren soll (und sie brauchen unbedingt Ms Windows).
Der Server hängt nicht "direkt" im Internet, sondern im DMZ hinter unserer Firewall. Darauf wurde auch nur der entsprechende UDP-Port für das OpenVPN weitergeleitet - von daher mache ich mir somit erstmal keine Sorgen ;)
Grüße
Thomas
nachdem der openVPN-Server auf dem W2K8 läuft, weiß der, wo 10.8.0.0/24 liegt. Das einfachste ist, die Route nach 10.8.0.0/24 auf dem default-Router in 192.168.1.0/24 einzutragen. Ob das die Firewall (192.168.1.1) ist (höchstwahrscheinlich sagt mir meine Kristallkugel), oder ein anderer weißt Du besser. Du kannst es durch eine ping auf 192.168.1.1 testen, ob Du überhaupt eine Antwort von der Firewall bekommst.
Läßt Die Firewall überhaupt Pakete aus 10.8.0.0/24 raus? -> Eventuell regeln anpassen.
Warum läuft openVPN überhaupt auf dem W2K8 und nicht auf der Firewall?
lks
Läßt Die Firewall überhaupt Pakete aus 10.8.0.0/24 raus? -> Eventuell regeln anpassen.
Warum läuft openVPN überhaupt auf dem W2K8 und nicht auf der Firewall?
lks
Hallo,
also auf dem Windows Server werden die Routen beim Start von OpenVPN gesetzt.
Der Default-Router ist die Firewall (192.168.1.1).
Wenn ich vom Server aus einen TraceRoute nach Google mache, dann kommt folgendes:
Ob die Firewall aus dem DMZ anfragen vom 10.8.0.0/24 Netz rauslässt überprüfe ich gleich.
OpenVPN läuft gezwungenermaßen hinter der Firewall auf dem Server im DMZ, da auf der Firewall bereits ein OpenVPN für den Produktivbetrieb läuft, welcher aber nur für Verbindungen von unseren Aussendienstlern auf unseren Datenbestand gedacht ist und somit nicht den gesamten Traffic von denen durchreichen soll (also ohne push "redirect-gateway def1".
Unsere externen Entwickler allerdings benötigen, dass deren Traffic über unser Gateway hier raus geht.
Gruß
Thomas
also auf dem Windows Server werden die Routen beim Start von OpenVPN gesetzt.
Der Default-Router ist die Firewall (192.168.1.1).
Wenn ich vom Server aus einen TraceRoute nach Google mache, dann kommt folgendes:
tracert www.google.de
Tracing route to www-cctld.l.google.com [173.194.69.94]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.1.1 (Gateway aka interne IP der Firewall im DMZ)
2 1 ms <1 ms 1 ms 192.168.2.250 (internet IP des Routers vor der Firewall)
...Ob die Firewall aus dem DMZ anfragen vom 10.8.0.0/24 Netz rauslässt überprüfe ich gleich.
OpenVPN läuft gezwungenermaßen hinter der Firewall auf dem Server im DMZ, da auf der Firewall bereits ein OpenVPN für den Produktivbetrieb läuft, welcher aber nur für Verbindungen von unseren Aussendienstlern auf unseren Datenbestand gedacht ist und somit nicht den gesamten Traffic von denen durchreichen soll (also ohne push "redirect-gateway def1".
Unsere externen Entwickler allerdings benötigen, dass deren Traffic über unser Gateway hier raus geht.
Gruß
Thomas
Zitat von @d0ckw0rka:
Hallo,
Tracing route to www-cctld.l.google.com [173.194.69.94]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.1.1 (Gateway aka interne IP der Firewall im DMZ)
2 1 ms <1 ms 1 ms 192.168.2.250 (internet IP des Routers vor der Firewall)
...
Ob die Firewall aus dem DMZ anfragen vom 10.8.0.0/24 Netz rauslässt überprüfe ich gleich.
Hallo,
Tracing route to www-cctld.l.google.com [173.194.69.94]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.1.1 (Gateway aka interne IP der Firewall im DMZ)
2 1 ms <1 ms 1 ms 192.168.2.250 (internet IP des Routers vor der Firewall)
...
Ob die Firewall aus dem DMZ anfragen vom 10.8.0.0/24 Netz rauslässt überprüfe ich gleich.
Dabei auch gleich checken, ob auch ICMP irgendwo geblockt wird.
lks
Nutzt ihr evtl. einen Proxy in der Firma?
Hallo,
ja, haben einen Proxy im Einsatz, jedoch greift dieser nicht für's DMZ
Gruß
Thomas
ja, haben einen Proxy im Einsatz, jedoch greift dieser nicht für's DMZ
Gruß
Thomas
Zitat von @d0ckw0rka:
Hallo,
ja, haben einen Proxy im Einsatz, jedoch greift dieser nicht für's DMZ
Gruß
Thomas
Hallo,
ja, haben einen Proxy im Einsatz, jedoch greift dieser nicht für's DMZ
Gruß
Thomas
Ist schon klar. Aber geht der Laptop, nachdem er sich im VPN angemeldet hat, nicht ins "normale" Netz? Versuchs doch einfach mal und trag den Proxy ein.
Also der Client (mit welchem ich teste) ist über UMTS im Internet (hatte das aber auch von zuhause aus (über einen anderen DSL-Anschluss). Darüber verbindet er sich mittels OpenVPN mit dem OpenVPN-Server, welcher im DMZ (also nicht internes LAN, welches auch den Proxy verwendet) steht.
Vom DMZ aus kann ich nach draussen PINGEN und auch der normale Internetverkehr funktioniert; nur eben nicht wenn ich im DMZ mit einer von OpenVPN vergebenen Adresse bin.
Ich denke Lochkartenstanzer's Ansatz ist der Richtige - nämlich dass die Firewall keinen Traffic vom 10.8.0.0/24 Netz nach draussen lässt.
Da ich aber auf der Stelle trete werde ich gerne auch Mal versuchen, die Proxy-Einstellungen zu testen (hab mittlerweile allerhand versucht, welches kurzzeitig "vernünftig" klang)
Gruß
Thomas
Vom DMZ aus kann ich nach draussen PINGEN und auch der normale Internetverkehr funktioniert; nur eben nicht wenn ich im DMZ mit einer von OpenVPN vergebenen Adresse bin.
Ich denke Lochkartenstanzer's Ansatz ist der Richtige - nämlich dass die Firewall keinen Traffic vom 10.8.0.0/24 Netz nach draussen lässt.
Da ich aber auf der Stelle trete werde ich gerne auch Mal versuchen, die Proxy-Einstellungen zu testen (hab mittlerweile allerhand versucht, welches kurzzeitig "vernünftig" klang
)Gruß
Thomas
Du hast immer noch nicht beantwortet wie du am Router/Firewall DMZ Interface mit dem 10.8.0.0er Netz verfährst.
Bedeneke immer das alle OVPN Clients aus dem VPN mit 10.8er Absender IPs ankommen am DMZ Router.
Es ist also essentiell wichtig WAS dieser Router mit diesen Paketen macht ?!
Du musst zwingend sofern es eine Firewall ist die die DMZ bedient diese IP Adressen passieren lassen in einer inbound Regel. Ferner musst du ebenso diese IPs im NAT/Masquerading dort zulassen, das die ins Internet geNATtet werden.
Auch MUSS auf dem Router/Firewall eine statische Route aufs 10.8er netz eingetragen sein mit Gateway auf die lokale OVPN Server LAN IP. Klar, denn der OVPN Server ist aus IP Sicht ja sowas wie ein Router fürs VPN.
Hast du das alles entsprechend gemacht im Router Firewall ??
Lies dir bitte dieses Tutorial dazu durch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
im Abschnitt: "OpenVPN hinter einem bestehenden NAT Router betreiben"
Bedeneke immer das alle OVPN Clients aus dem VPN mit 10.8er Absender IPs ankommen am DMZ Router.
Es ist also essentiell wichtig WAS dieser Router mit diesen Paketen macht ?!
Du musst zwingend sofern es eine Firewall ist die die DMZ bedient diese IP Adressen passieren lassen in einer inbound Regel. Ferner musst du ebenso diese IPs im NAT/Masquerading dort zulassen, das die ins Internet geNATtet werden.
Auch MUSS auf dem Router/Firewall eine statische Route aufs 10.8er netz eingetragen sein mit Gateway auf die lokale OVPN Server LAN IP. Klar, denn der OVPN Server ist aus IP Sicht ja sowas wie ein Router fürs VPN.
Hast du das alles entsprechend gemacht im Router Firewall ??
Lies dir bitte dieses Tutorial dazu durch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
im Abschnitt: "OpenVPN hinter einem bestehenden NAT Router betreiben"
Hallo nochmal,
wie bereits zuvor Lochkartenstanzer meinte, war genau das das Problem, nämlich, dass die Firewall den ausgehenden Traffic vom 10.8er Netz aus unterband. Das war auch der Ansatz, welchen ich gefolgt war.
Der Satz,
hat mir schließlich die richtige Biege gegeben.
Die Lösung lag in (auf der Firewall):
Hatte zuvor fälschlicherweise die 10.8.0.1 als Gateway verwendet.
Vielen Danke allen
Thema gelöst!
Gruß
Thomas
wie bereits zuvor Lochkartenstanzer meinte, war genau das das Problem, nämlich, dass die Firewall den ausgehenden Traffic vom 10.8er Netz aus unterband. Das war auch der Ansatz, welchen ich gefolgt war.
Der Satz,
Zitat von @aqui:
Auch MUSS auf dem Router/Firewall eine statische Route aufs 10.8er netz eingetragen sein mit Gateway auf die lokale OVPN Server LAN IP.
Auch MUSS auf dem Router/Firewall eine statische Route aufs 10.8er netz eingetragen sein mit Gateway auf die lokale OVPN Server LAN IP.
hat mir schließlich die richtige Biege gegeben.
Die Lösung lag in (auf der Firewall):
route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.2 dmz-1Hatte zuvor fälschlicherweise die 10.8.0.1 als Gateway verwendet.
Vielen Danke allen
Thema gelöst!
Gruß
Thomas
Zitat von @d0ckw0rka:
Hatte zuvor fälschlicherweise die 10.8.0.1 als Gateway verwendet.
> route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.2 dmz-1
> Hatte zuvor fälschlicherweise die 10.8.0.1 als Gateway verwendet.
Das ist doch ganz einfach zu merken. Der "next hop" sprich das gateway muß i.d.R. immer im gleichen Netz liegen wie die Maschine, auf der die Route eingerichtet wird. Ausnahmen sind bei PPP- und SLIP-verbindungen vorhanden.
lks
Müssen wir wohl nochmal ein Tutorial schreiben zum Prinzip statischer Routen damit man das hier nicht immer täglich 3mal erklären muss 
Gut wenns nun alles klappt !
Gut wenns nun alles klappt !
