gelöst OpenVPN auf Win10 Routing zu anderen PCs

Mitglied: frank69

frank69 (Level 1) - Jetzt verbinden

05.03.2020, aktualisiert 10:38 Uhr, 684 Aufrufe, 9 Kommentare

Hallo, ich habe folgendes Problem.

Ich habe hinter einem Lancom Router einen Windows 10 PC der als Server dient. Auf dem läuft OpenVPN als Server. IP-Forwarding ist aktiviert. Von außen kann ich mich verbinden als OpenVPN Client. Der Server-PC hat die Adresse 10.8.0.1 und die Adresse 192.168.2.10. Beide Adressen kann ich von außen erreichen.

Ich würde gerne auch die anderen PCs im Netzwerk erreichen können. Das funktioniert leider nicht.

Die Server OpenVPN Config sieht wie folgt aus

port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.2.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"
client-to-client
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
explicit-exit-notify 1
management localhost 7000

Ich hatte gelesen, dass man eine Route auf dem Router setzten muss. Kenne mich mit Routing nicht so gut aus und wenn ich mir die Routing Tabelle von Lancom anschaue, verstehe ich nur noch Bahnhof

Kann mir hier einer Helfen?

Herzlichen Dank

Frank
Mitglied: Uschade
05.03.2020 um 15:07 Uhr
Zitat von frank69:


Ich würde gerne auch die anderen PCs im Netzwerk erreichen können. Das funktioniert leider nicht.


Du willst welche anderen PCs von wo aus genau erreichen? Das ist mir nicht so ganz klar...


Grüße
Uwe
Bitte warten ..
Mitglied: frank69
05.03.2020 um 16:11 Uhr
Sorry, eindeutig unklar ausgedrückt Ich möchte von dem OpenVPN Client die PCs im Netzwerk des Servers erreichen, also die im Netzwerk 192.168.2.0.

Schöne Grüße

Frank
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.03.2020, aktualisiert 06.03.2020
Einfach mal die Suchfunktion benutzen, denn das hatten wir hier bereits vor ein paar Tagen !
Eine kurze Übersichts Skizze zu deinem Design um dir mal die IP Flows und die damit verbundenen Routings zu erklären in der Hoffnung das sich dein rudimentäres Routing Wissen damit etwas verbessert ?!:
ovpn - Klicke auf das Bild, um es zu vergrößern

Hier steht die einfache Lösung !
https://administrator.de/forum/openvpn-fritz-box-7590-routing-probleme-5 ...

Hilfreich dazu auch diese Threads:
https://administrator.de/content/detail.php?id=530283&token=984#comm ...
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
https://administrator.de/content/detail.php?id=359367&token=695#comm ...
https://administrator.de/forum/openvpn-einrichtungsprobleme-392194.html# ...

WICHTIGE ToDos für dich:
  • IPv4 Forwarding (Routing) auf der Winblows Kiste (OVPN Server) zwingend aktivieren ! Regedit starten und unter HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Tcpip\ Parameters den Parameter "IPEnableRouter" als Datentyp REG_DWORD auf den Wert auf 1 setzen. Siehe auch HIER: http://www.winfaq.de/faq_html/Content/tip0500/onlinefaq.php?h=tip0908.h ...
  • Ggf. lokale Winblows Firewall entsprechend customizen !
  • Statische Route zum internen OpenVPN IP Netz auf dem Lancom konfigurieren !
push "route 192.168.2.0 255.255.255.0"
push "redirect-gateway def1 bypass-dhcp"

parallel in die Server Konfig zu packen ist natürlich völliger Quatsch. Denke einmal bitte selber etwas nach über die Sinnhaftigkeit !!
Ein Kommando allein geht aber niemals beide. Warum ??
  • push "route 192.168.2.0 255.255.255.0" = Routet allein nur den 192.168.2.0er Traffic in den VPN Tunnel. Alles andere wird lokal am Client Standort geroutet
  • push "redirect-gateway def1 bypass-dhcp" = Routet den gesamten Traffic des Clients in den Tunnel !
Du siehst den Unsinn vermutlich jetzt auch selber ? Hoffentlich...?!
Kenne mich mit Routing nicht so gut aus
Das merkt man leider an der, in der Beziehung, falschen OVPN Server Konfig deutlich.
Wenn du beide Kommandos: push "redirect-gateway def1 bypass-dhcp" konfigurierst, inkludiert das natürlich auch das 192.168.2.0er IP Netz und das Push Route Kommando zusätzlich noch dafür zu konfigurieren ist dann natürlich sinnfrei. Kann also gelöscht werden !
push "route 192.168.2.0 255.255.255.0" allein, routet allein nur diesen Traffic in den Tunnel und fackelt den gesamten Resttraffic lokal ab. (sog. Split Tunneling).
Genau DAS will man ja (fast) immer weil man den VPN Tunnel Traffic so nicht mit überflüssigem Internet Traffic des Clients belasten will und ihn so performant hält.
Alles ins VPN zu routen macht nur dann Sinn wenn man aus Sicherheitsgünden sämtlichen Client Taffic schützen will z.B. in einem öffentlichen Hotspot usw.
Fakt ist das nur ein Einziges dieser beiden Kommandos Sinn macht ! Welches musst du für dich entscheiden. Das andere dann löschen !

Warum man generell, wenn man mit dem Lancom eigentlich einen wunderbaren VPN Router in der Peripherie hat, dann trotzdem noch ein Loch in seine Firewall bohrt um einen unsicheren und eigentlich auch überflüssigen VPN Server im internen LAN zu betreiben erschliesst sich einem normalen Netzwerker nicht !?!
Generell gilt das die Lösungen mit einem internen VPN Server nie gut sind. Klar, denn man muss mit dem Port Forwarding immer ungeschützten Internet Traffic in sein an sonsten sicher abgeschottetes lokales Netzwerk leiten. Kein gutes Design also und auch der Grund warum VPN Server immer besser in die Peripherie gehören auf Router oder Firewall wie deinen Lancom !
Wer aber mit dem Sicherheitsrisiko leben kann kann es natürlich so umsetzen. Unverständlich und gefährlich bleibt es trotzdem.
Bitte warten ..
Mitglied: frank69
06.03.2020 um 16:25 Uhr
Vielen Dank für die ausführliche Antwort und Hinweise. Das mit dem push "redirect-gateway def1 bypass-dhcp" ist natürlich totaler Blödsinn.

Ich hatte die Route im Lancom dann doch eingerichtet. Nach ich mir das genauer angeschaut hatte, war es dann doch einfach und klar, was da einzutragen ist. Es lief aber immer noch nicht. Dann hab ich mal zum testen die Firewall ausgeschaltet und dann lief es endlich.

Ich musste bei der Security For Endpoints 2019 - Bitdefender lange suchen um den richtigen Schalter zu finden. Letztendlich war es das Häkchen bei "Gemeinsame Nutzung der Internetverbindung (ICS) zulassen". Dann kam ich auch auf die anderen Geräte neben den Server-PC.

Die Route im Lancom konnte ich raus nehmen und es funktioniert trotzdem.

Bei Lancom kostet der VPN-Client eine Lizenz. Ich hatte schon den ShrewVPN wo anders genommen im Zusammenhang mit Lancom Router. Das ging auch. Aber der ShrewVPN wird schon lange nicht mehr weiter entwickelt. Das finde ich beängstigend.
Bitte warten ..
Mitglied: aqui
06.03.2020, aktualisiert um 16:43 Uhr
Das finde ich beängstigend.
Ist Blödsinn und unbegrundet, denn der Grund ist das sich am IPsec protokoll nichts verändert hat. Warum sollte sich dann was an der SW ändern. Vergiss das, das ist völlig unbegründet.
Sogar AVM/FritzBox macht aktiv Werbung für den Einsatz des Shrew Clients.
Sinnvoller, da erheblich sicherer, ist es in jedem Falle das VPN auf dem Lancom in der Peripherie zu terminieren !

Wenn's das denn war bitte dann auch
https://administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: frank69
06.03.2020 um 18:32 Uhr
Ok. Dann werde ich doch ShrewVPN verwenden. Gibt es da eine aktuelle Anleitung, hab die noch mit den ganz alten LanCom Einstellungen. Da hat sich ja einiges geändert.

Ich musste übrigens doch das Routing im Lancom setzten. Ich hatte den OpenVPN-Client noch in einem andern Gerät konfiguriert und der konnte dann nicht mehr auf das ganze Netzwerk des OpenVPN Servers zugreifen. Nach dem setzten der Route ging es dann. Muss jetzt weg. Werde später noch die Einstellungen des Lancom posten, falls die mal jemand braucht. Werde später den Thread als gelöst schließen.
Bitte warten ..
Mitglied: aqui
07.03.2020, aktualisiert um 09:01 Uhr
Du kannst die gleiche verwenden wie auch AVM mit der fritzBox. Beides ist identisch bei IPsec mit IKEv1 und immer die gleiche Prozedur. Oder auch hier:
https://administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik-pfs ...
Wichtig ist nur das die Krypto Credentials und hashes übereinstimmen. Üblich und Standard ist heute AES128 oder AES256 mit SHA1 oder SHA256 und DH Group 2. Musst du aber mal checken was der Lancom kann.
Wenn du z.B. aktuelle iPhones usw. als Clients hast akzeptieren die nur noch AES256.

Ideal wäre es wenn dein Lancom IKEv2 supportet, denn dann müsstest du keinerlei externen Client nutzen sondern kannst in allen erdenklichen Betriebssystemen den Onboard VPN Client benutzen !!
Guckst du dazu auch hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Das ist sehr bequem und befreit dich von der Frickelei mit externer VPN Client Software !
Bitte warten ..
Mitglied: frank69
09.03.2020 um 08:25 Uhr
Super, danke! Das werde ich testen. Der Lancom unterstützt IKEv2. Hier noch meine Lancom Routing-Einstellung
lancom-routing-fuer-vpn-wenn-server-192-168-2-10 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
09.03.2020 um 09:10 Uhr
Der Lancom unterstützt IKEv2.
Na perfekt !!!
Dann richtest du das genau so ein wie hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Druckserver Domäne GPO
arik12FrageWindows Server22 Kommentare

Hallo zusammen, Ich möchte einen Druckserver einrichten und Drucker auf dem Druckserver installieren. Die Drucker sollen dann per GPO ...

Off Topic
Adventskalender 2020
LochkartenstanzerInformationOff Topic18 Kommentare

Was haltet ihr von einer Sammlung von Adventskalendern? (Hier im Thread z.B.) Ich fang mal mit dem Heise-Kalender an: ...

Internet
Über meinen WAN ist lidl.de nicht ereichbar
gelöst NetGodFrageInternet16 Kommentare

Hallo zusammen, mit meinem DTAG-Anschluß ist derzeit kein Durchkommen zu www.lidl.de möglich. Zu den selben Zeitpunkten ist es aber ...

Netzwerke
Router1, Router2 + Repeater untereinander erreichbar machen (OpenWrt)
WinstarFrageNetzwerke15 Kommentare

Guten Abend! Kurz vorweg ja, ich weiß dass es hier bereits eine Anleitung gibt, wie man verschiedene Netzwerke zusammen ...

Router & Routing
RDP nur im internen Netz möglich nicht aber per vpn?
einfach112FrageRouter & Routing13 Kommentare

Hallo zusammen. Beim Kunden habe ich einen Server mit VMWARE laufen. Darauf ein Windows Server 2016 Essentials als VM ...

Hardware
Verwertung alter Hardware
quin83FrageHardware13 Kommentare

Hallo zusammen, bei uns liegt immer mehr Hardware im Lager, welche eigentlich nicht alt ist, aber bei uns keine ...

Ähnliche Inhalte
Router & Routing
OpenVPN Routing
gelöst sebastian2608FrageRouter & Routing2 Kommentare

Seid gegrüßt, würde gerne mal euren Input zu einem OpenVPN Routing "Problem" hören. Zur Situation: Privates Netzwerk; 10.0.0.0/24 Firmennetzwerk ...

Router & Routing
OPENVPN Routing Frage
gelöst stefan2k1FrageRouter & Routing8 Kommentare

Hallo zusammen, kann mir bitte jemand einen Tip geben? Wenn ich mit OpenVPN eine VPN-Verbindung in die Firma aufbaue, ...

Linux Netzwerk
OpenVPN Routing - Forwarding
gelöst behumiFrageLinux Netzwerk5 Kommentare

Hallo zusammen, und noch schöne Weihnachten. Ich habe ein Problem mit dem OpenVPN routing und hoffe ihr könnt mir ...

Router & Routing
OpenVPN Installation Routing Problem
intaneFrageRouter & Routing48 Kommentare

Huhu, ich habe Schwierigkeiten bei der Installation von OpenVPN auf einen Win10 Rechner. Auf dem Rechner ist eine Software ...

Router & Routing
OpenVPN Routing - zwei Interfaces
gelöst Steffen.MFrageRouter & Routing1 Kommentar

Hallo Leute, ich habe ein Problem. Ich nutze Ubuntu testweise als VPN Gateway. ens38 hängt am Router. Darüber wird ...

Router & Routing
Openvpn Routing in beide richtungen
fundave3FrageRouter & Routing3 Kommentare

Guten Abend, Ih brauche mal einen Rat, da ich gerade einen Denkfehler habe. Meinen Raspberry nutze ich als Openvpn ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud