bloodstix
30.10.2021, aktualisiert um 14:27:59 Uhr
view1287
view5
0
Goto Top

OpenVPN - Win10 Client, Linux Root-Server

gelöstFrageNetzwerke
Hallo zusammen,

ich wollte mir auf meinem Root-Server einen VPN-Server aufsetzen um mit meinem Win10 Client mich damit zu verbinden und darüber zu surfen.
Ich habe das nach diesem Tutorial gemacht: OpenVPN-Server on Debian10.
Ich bekomme eine Verbindung mit dem Client, kann die VPN-IP des OpenVPN-Servers auch anpingen, aber bei jeglichem Surfen oder pingen auf dem Client auf Webseiten bzw. externe IP-Adressen (also wohl kein DNS-Problem) gibt es einen Timeout.

Hier mal die Server und Client-Config:
## /etc/openvpn/server.conf
port 443
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key  # This file should be kept secret
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"  
push "dhcp-option DNS 208.67.222.222"  
push "dhcp-option DNS 208.67.220.220"  
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 0

## client1.ovpn
client
dev tun
proto tcp
remote xx.xxx.xx.xxx 443
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
key-direction 1
verb 3

## Zertifikate ausgelassen
Ich habe auch Protokoll UDP und den Standard-Port versucht, ändert aber nichts.
Kann mir jemand auf die Sprünge helfen was ich ggf. übersehe? Firewall gibt es keine außer die Windows-Firewall auf dem Client, ohne jegliche Modifikationen.


Grüße und schönes WE
bloody
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 1448727474

Url: https://administrator.de/contentid/1448727474

Ausgedruckt am: 09.11.2024 um 00:11 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
aqui
Lösung aqui 30.10.2021 aktualisiert um 15:16:20 Uhr
Goto Top
2 mögliche Ursachen:
  • Im Server ist vergessen worden IP Forwarding in der /etc/sysctl.conf zu aktivieren. Ohne das kann der Server die Client Pakete nicht routen und es funktioniert nur die Connectivity auf den Server
  • Du nutzt im internen Client Netz Absender IPs aus dem privaten RFC 1918 Bereich die im Internet bekanntlich nicht routebar sind. Du musst also zwangsweise irgendeine Art von NAT (Masquerading,iptables) machen wenn diese IPs ins Internet sollen.
Eins und/oder beide dieser Fehlerquellen wirds wohl sein. Für genauere Analyse fehlen leider diese Konfig Infos oder ein entsprechender tcpdump Trace vom WAN Port. face-sad
Feinheiten dazu sind alle im hiesigen OpenVPN_Tutorial beschrieben.
Tip:
TCP Encapsulation sollte man niemals nutzen. Sogar OpenVPN rät selber davon ab weil das wegen des größeren Encapsulation Overheads zu ziemlichen Perfomance Einbußen führt und Problemen mit der MTU/MSS und möglicher Fragmentierung die die Performance noch weiter runterreisst.
magicteddy
magicteddy 30.10.2021 um 19:15:03 Uhr
Goto Top
Vielleicht solltest du die Jungs und Mädels von Mikrotik mal besuchen und über OpenVPN und TCP aufklären, oder haben die inzwischen dazu gelernt? face-wink
bloodstix
bloodstix 30.10.2021 um 19:31:34 Uhr
Goto Top
Hallo,

ip-forwarding habe ich aktiviert. Ich denke am Masquerading wirds liegen, ich hätte gedacht das macht OpenVPN automatisch ...
TCP hab ich nur ausprobiert weil ich dachte ggf. ist der UDP-Port für OpenVPN gesperrt (sitze in einer KLinik aktuell und nutze dort das WLAN).
Ich schau mal in das von dir genannte Tut @aqui

Grüße
bloody
bloodstix
bloodstix 30.10.2021 um 19:44:48 Uhr
Goto Top
Ja, lag am Masquerading. Habs jetzt auf UDP4 umgestellt und mit
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
das Masquerading aktiviert, nun kann ich surfen!

Grüße
bloody
aqui
aqui 31.10.2021 aktualisiert um 12:16:30 Uhr
Goto Top
oder haben die inzwischen dazu gelernt?
Ja, die haben endlich dazugelernt. Die aktuelle Version supportet nun auch UDP ! face-wink
gelöstFrageNetzwerke
Mehr von bloodstixbloodstixFrage zu github.com E-Mail ändernbloodstix - 5 KommentarebloodstixSamsung Galaxy Watch - Typ und Modell auslesenbloodstix - 3 KommentarebloodstixFrage zu OpenVPNbloodstix - 17 KommentarebloodstixFirefox darkmode funktioniert nichtbloodstix - 9 Kommentare
Heiß diskutiert
ds6.euAktuelle Probleme mit der XG(s) Serie von Sophosds6.eu - 89 Kommentareopc123Excel Kundendatenbankopc123 - 46 KommentareMysticFoxDESERVER 2025 - HARDWAREANFORDERUNGEN - Ich habe da einige FragenMysticFoxDE - 43 KommentareDumpfbackeFirewall ersetzenDumpfbacke - 39 KommentareUeba3baI7 12700K vs Xeon Gold 6246Ueba3ba - 26 KommentareElmerAcmeeeSQL Restore ohne jeglichen Verlust möglich?ElmerAcmeee - 20 KommentareOliverXGäste IP-Bereich mit Internet aber kein Zugriff auf Büro IP-BereichOliverX - 20 Kommentareonel01Frage: managed Switch und Inbetriebnahmeonel01 - 19 KommentarejsysdeServer 2025 Update blockierenjsysde - 19 KommentareDarkened1645Welchen Hypervisor für Zuhause?Darkened1645 - 16 Kommentarebulldozer90Win11 Master Image mit OEM Lizenzen möglich?bulldozer90 - 15 KommentareFISI-LehrlingIPv6 only in Unifi UDM Pro oder Cloud Gateway UltraFISI-Lehrling - 15 Kommentare