Probleme mit der Verbindung vom Openvpn Client zum Openvpn Server
Hallo,
ich habe mir gerade auf meinem Linux Server den Openvpn Dienst installiert.
Im Router habe ich den Port 1194 freigeschaltet. Über NAT. Interne IP vom Server 192.168.2.2
Leider funktioniert die Verbindung vom Client zum Server nicht.
Hier die Server Config Datei:
Hier die Client Config Datei:
Hier die Log Datei vom Client:
http://technoraver.com/network/Client_log.txt
Was muss ich ändern, damit die Verbindung zum Server läuft?
Vielen Dank schon mal im voraus für die Hilfe.
ich habe mir gerade auf meinem Linux Server den Openvpn Dienst installiert.
Im Router habe ich den Port 1194 freigeschaltet. Über NAT. Interne IP vom Server 192.168.2.2
Leider funktioniert die Verbindung vom Client zum Server nicht.
Hier die Server Config Datei:
# Port Standardport 1194
port 1194
# Die Revoke Liste überprüfen
#crl-verify /etc/ssl/crl.pem
# TCP oder UDP?
proto udp
mode server
tls-server
dev tap
#Unsere Server IP
ifconfig 192.168.2.2 255.255.255.0
ifconfig-pool 192.168.2.2 192.168.2.9
#Server IP Adresse (Adressbereich. in dem Fall alles von 10.10.10.0)
#server
#Wo liegen unsere Zertifikate
ca /etc/ssl/vpn-ca.pem
cert /etc/ssl/Zertifikate/server_cert.pem
key /etc/ssl/private/server_key.pem
#Diffie-Hellmann Parameter
dh /etc/ssl/dh2048.pem
#Die Selbe IP in der nächsten Sitzung vergeben
#ifconfig-pool-persist ipp.txt
#IPs in den IP Tables eintragen, DNS neu vergeben und über Den Server das Routing machen, dass man z.B. über den Tunnel auf ein
# lokales Intranet zuzugreifen
#push "route 10.0.0.0 255.0.0.0"
#push "dhcp-option DNS 192.168.1.xyz"
#push "redirect-gateway"
#push "route 0.0.0.0 0.0.0.0"
#Authentifizierungsmethode
auth SHA1
#Verschlüsselungs Algorithmus
cipher aes-256-cbc
#Benutze Komprimierung
comp-lzo
#Setzt die Rechte
user nobody
group nogroup
#Wird wegen user nobody/group nobody benötigt.
persist-key
persist-tun
#Logging 0, (Zum testen:5)
verb 7
Hier die Client Config Datei:
#Festlegen als was fungiert wird
tls-client
pull
# Methode festlegen tun oder tap
dev tap
# Protokoll auswaehlen udp oder tcp
proto udp
# IP/Name und Port des Servers
remote raver.ath.cx 1194
# Auflösen des Hostnames des Servers (wegen nicht permanent mit dem Internet verbundenen Rechnern)
resolv-retry infinite
# Localen Port festlegen oder freigeben
nobind
# Verbindung immer gleich halten
persist-key
persist-tun
#zu verwendende Zertifikate und Schlüssel
ca C:\\Programme\\Openvpn\\config\\vpn-ca.pem
cert C:\\Programme\\Openvpn\\config\\Client1_cert.pem
key C:\\Programme\\Openvpn\\config\\Client1_key.pem
# Verschlüsselung
cipher AES-256-CBC
# Komprimiernug
comp-lzo
# Authentifizierungsmethode
auth SHA1
# "Gesprächigkeit" des Tunnels
verb 3
# Silence repeating messages
mute 20
Hier die Log Datei vom Client:
http://technoraver.com/network/Client_log.txt
Was muss ich ändern, damit die Verbindung zum Server läuft?
Vielen Dank schon mal im voraus für die Hilfe.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 131693
Url: https://administrator.de/forum/probleme-mit-der-verbindung-vom-openvpn-client-zum-openvpn-server-131693.html
Ausgedruckt am: 24.12.2024 um 12:12 Uhr
15 Kommentare
Neuester Kommentar
Hi,
ich würd sagen, das du folgende Zeilen änderst:
#zu verwendende Zertifikate und Schlüssel
ca C:\Programme\Openvpn\config\vpn-ca.pem
cert C:\Programme\Openvpn\config\Client1_cert.pem
key C:\Programme\Openvpn\config\Client1_key.pem
Hab das mal mit meiner config verglichen.
Bei mir läuft es mit einem \
mfg
Sascha
ich würd sagen, das du folgende Zeilen änderst:
#zu verwendende Zertifikate und Schlüssel
ca C:\Programme\Openvpn\config\vpn-ca.pem
cert C:\Programme\Openvpn\config\Client1_cert.pem
key C:\Programme\Openvpn\config\Client1_key.pem
Hab das mal mit meiner config verglichen.
Bei mir läuft es mit einem \
mfg
Sascha
Das bedeutet das der Client sehr wohl auf den Server kommt (Was du oben schreibst stimmt also nicht !!) aber auch das diene Zertifikate nicht stimmen.
Probier es doch IMMER erst wasserdicht im lokalen Netzwerk aus !! Wenn der Client da eine Verbindung sauber hinbekommt klappt es auch immer remote !!
Hier kannst du nochmal nachlesen wie man korrekte Zertifikate generiert:
http://www.openvpn.net/index.php/open-source/documentation/howto.html#p ...
Dieses Tutorial sollte dir dann helfen es auch praktisch in die Tat umzusetzen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Probier es doch IMMER erst wasserdicht im lokalen Netzwerk aus !! Wenn der Client da eine Verbindung sauber hinbekommt klappt es auch immer remote !!
Hier kannst du nochmal nachlesen wie man korrekte Zertifikate generiert:
http://www.openvpn.net/index.php/open-source/documentation/howto.html#p ...
Dieses Tutorial sollte dir dann helfen es auch praktisch in die Tat umzusetzen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Rennt bei dir eine Firewall, iptables ?? Das ist in der Regel der böse Buhmann der den Zugriff verhindert...eigentlich auch logisch.
Customize also deine Firewall und das löst dein problem im Handumdrehen !!
Bedenke aber IMMER ein paar grundlegende Designregeln bei VPN:
VPNs einrichten mit PPTP
Von deinem Banal IP Netz 192.168.2.0 solltest du allso besser Abstand nehmen, denn das hat jeder Dummbatz Speetport Router und diverse andere auch ! Da wirst du also relativ schnell erhebliche Probleme bekommen.
Such dir also für dein lokales Netzwerk etwas mwhr exotischeres aus !!
Beispiel: Lokales Netzwerk: 172.30.202.0 /24 und das OpenVPN Servernetz: 10.30.202.0 /24
In der OpenVPN Server Konfig Datei sieht das dann so aus:
server 10.30.202.0 255.255.255.0
push "route 172.30.202.0 255.255.255.0"
Die lokale IP Server Adresse stellst du mit den normalen Netzwerk Tools um !!
Customize also deine Firewall und das löst dein problem im Handumdrehen !!
Bedenke aber IMMER ein paar grundlegende Designregeln bei VPN:
VPNs einrichten mit PPTP
Von deinem Banal IP Netz 192.168.2.0 solltest du allso besser Abstand nehmen, denn das hat jeder Dummbatz Speetport Router und diverse andere auch ! Da wirst du also relativ schnell erhebliche Probleme bekommen.
Such dir also für dein lokales Netzwerk etwas mwhr exotischeres aus !!
Beispiel: Lokales Netzwerk: 172.30.202.0 /24 und das OpenVPN Servernetz: 10.30.202.0 /24
In der OpenVPN Server Konfig Datei sieht das dann so aus:
server 10.30.202.0 255.255.255.0
push "route 172.30.202.0 255.255.255.0"
Die lokale IP Server Adresse stellst du mit den normalen Netzwerk Tools um !!
Der OpenVPN Server hat intern die 10.30.202.0 /24 also das VPN Netz. Lokal am Ethernet hat der Server logischerweise die 172.30.202.0 /24.
Diese Adressierung ist kein Muss sondern nur ein Vorschlag. Du kannst dir auch andere IP Netze aussuchen nur eben das allerwelts 192.168.2.0 sollte es besser nicht sein, denn damit kommst du bei VPN früher oder später in probleme wie dir das o.a. Tutorial ja beschreibt !
Diese Adressierung ist kein Muss sondern nur ein Vorschlag. Du kannst dir auch andere IP Netze aussuchen nur eben das allerwelts 192.168.2.0 sollte es besser nicht sein, denn damit kommst du bei VPN früher oder später in probleme wie dir das o.a. Tutorial ja beschreibt !
Wenn deine internes Netz des OpenVPN Servers die 192.168.2.0 /24 ist und auch das lokale Netz des Servers die 192.168.2.0 /24 hat ist eine VPN Verbindung unmöglich !!
Ist ja auch logisch da du dann 2 mal das gleiche IP Netz hast. Sowas ist im IP Umfeld generell nicht möglich, da ein Routing damit unmöglich wird !
Du musst also mindestens die Serverkonfig in z.B.
server 10.30.202.0 255.255.255.0
push "route 192.168.2.0.0 255.255.255.0"
ändern wenn dein OpenVPN Server auf dem lokalen Ethernet LAN eine IP aus dem 192.168.2.0er Netz konfiguriert hat !
Damit bekommt der Client dann eine IP aus dem internen OpenVPN Servernetz 10.30.202.0 und gleichzeitig die Route ins 192.168.2.0er Netz.
Das kannst du auch sauber kontrollieren indem du nach erfolgter OpenVPN Einwahl einmal
ipconfig in der Eingabeaufforderung am Client eingibst.
Hier siehst du jetzt am TUN0 Interface (VPN Netz) eine IP aus dem 10.30.202.0er Netz. Und mit...
route print in der Eingabeaufforderung am Client siehst du die Routing Tabelle.
Dort muss eine Eintarg zum 192.168.2.0er Netz sein mit einem next Hop Gateway im 10.30.202.0er Netz !
Dann ist alles richtig und klappt. Dann kannst du auch problemlos das LAN IP Interface des Servers anpingen sofern die Firewall ICMP Pakete zulässt !!??
Also ggf. immer die Firewall auch anpassen das die das remote Netz durchlässt !!
Ohne das wirds niemals was.
Ist ja auch logisch da du dann 2 mal das gleiche IP Netz hast. Sowas ist im IP Umfeld generell nicht möglich, da ein Routing damit unmöglich wird !
Du musst also mindestens die Serverkonfig in z.B.
server 10.30.202.0 255.255.255.0
push "route 192.168.2.0.0 255.255.255.0"
ändern wenn dein OpenVPN Server auf dem lokalen Ethernet LAN eine IP aus dem 192.168.2.0er Netz konfiguriert hat !
Damit bekommt der Client dann eine IP aus dem internen OpenVPN Servernetz 10.30.202.0 und gleichzeitig die Route ins 192.168.2.0er Netz.
Das kannst du auch sauber kontrollieren indem du nach erfolgter OpenVPN Einwahl einmal
ipconfig in der Eingabeaufforderung am Client eingibst.
Hier siehst du jetzt am TUN0 Interface (VPN Netz) eine IP aus dem 10.30.202.0er Netz. Und mit...
route print in der Eingabeaufforderung am Client siehst du die Routing Tabelle.
Dort muss eine Eintarg zum 192.168.2.0er Netz sein mit einem next Hop Gateway im 10.30.202.0er Netz !
Dann ist alles richtig und klappt. Dann kannst du auch problemlos das LAN IP Interface des Servers anpingen sofern die Firewall ICMP Pakete zulässt !!??
Also ggf. immer die Firewall auch anpassen das die das remote Netz durchlässt !!
Ohne das wirds niemals was.
push "route 172.30.202.0 255.255.255.0" (man achte auf die BEIDEN Ausrufezeichen !!)
macht nur Sinn wenn auch das LAN Interface des Servers eine IP Adresse aus diesem Netz hat.
Z.B. 172.30.202.254, Maske 255.255.255.0 !!
Vermutlich hast du aber wohl nur ein Ausrufezeichen in der Konfig datei vergessen, denn dann bricht der Server mit einem Konfig Eror ab..
macht nur Sinn wenn auch das LAN Interface des Servers eine IP Adresse aus diesem Netz hat.
Z.B. 172.30.202.254, Maske 255.255.255.0 !!
Vermutlich hast du aber wohl nur ein Ausrufezeichen in der Konfig datei vergessen, denn dann bricht der Server mit einem Konfig Eror ab..
Na klar ! Das ist doch der Sinn deines VPNs, oder ??
Du hast so über das VPN Zugriff auf das gesamte remote Netzwerk. Mit push "route 192.168.2.0 255.255.255.0" wird dir ja das gesamte remote Netz auf den Client geroutet und du hast da transparenten Zugriff wie als ob du lokal im 192.168.2.0er netz bist.
Wie gesagt der tiefere Sinn eines VPNs !!
Aufpassen musst du nur wenn Endgeräte die du über das VPN ansprechen willst den DSL Router als Gateway haben und wenn zusätzlich dann dein OpenVPN Server im Internen Netz.
Hier musst du dann ggf. noch eine statische Route auf dem DSL Router angeben zum internen OpenVPN Netz via lokaler OpenVPN Server IP.
Das hängt aber von deinem Netzdesign ab zu dem du ja leider nichts mitteilst
Du hast so über das VPN Zugriff auf das gesamte remote Netzwerk. Mit push "route 192.168.2.0 255.255.255.0" wird dir ja das gesamte remote Netz auf den Client geroutet und du hast da transparenten Zugriff wie als ob du lokal im 192.168.2.0er netz bist.
Wie gesagt der tiefere Sinn eines VPNs !!
Aufpassen musst du nur wenn Endgeräte die du über das VPN ansprechen willst den DSL Router als Gateway haben und wenn zusätzlich dann dein OpenVPN Server im Internen Netz.
Hier musst du dann ggf. noch eine statische Route auf dem DSL Router angeben zum internen OpenVPN Netz via lokaler OpenVPN Server IP.
Das hängt aber von deinem Netzdesign ab zu dem du ja leider nichts mitteilst
Ja, über die Server Config Datei kannst du eine IP Adresse auf dem OpenVPN Client erzwingen wenn du willst. Die OpenVPN Doku beschreibt das ganz gut.
Hier ist auch entsprechnder Thread der es ebenfalls genau beschreibt:
OpenVPN unter Windows begrenzung anhand des Subnetzes 255.255.255.252 ?
Deine Server Konfig ist eigentlich ganz OK und auch richtig.
Problematisch ist das lokale Allerwelts LAN mit der 192.168.2.0er IP Adresse was die halbe Welt benutzt. Da wirst du relativ schnell Probleme bekommen. Warum... lies dir bitte das hier durch:
VPNs einrichten mit PPTP
Vermutlich ist das auch dein Problem !
Poste bitte mal ein ipconfig des Clients und vor allen Dingen ein route print des Clients bei aktiver VPN Session !!
Das route print sollte in jedem Falle eine Route ins 192.168.2.0er netz via der 10.68.1er Server IP anzeigen !!!
Und....änder das dumme 192.168.2.er Netzwerk lokal auf etwas VPN freundliches (siehe Tutorial oben ) !!
Hier ist auch entsprechnder Thread der es ebenfalls genau beschreibt:
OpenVPN unter Windows begrenzung anhand des Subnetzes 255.255.255.252 ?
Deine Server Konfig ist eigentlich ganz OK und auch richtig.
Problematisch ist das lokale Allerwelts LAN mit der 192.168.2.0er IP Adresse was die halbe Welt benutzt. Da wirst du relativ schnell Probleme bekommen. Warum... lies dir bitte das hier durch:
VPNs einrichten mit PPTP
Vermutlich ist das auch dein Problem !
Poste bitte mal ein ipconfig des Clients und vor allen Dingen ein route print des Clients bei aktiver VPN Session !!
Das route print sollte in jedem Falle eine Route ins 192.168.2.0er netz via der 10.68.1er Server IP anzeigen !!!
Und....änder das dumme 192.168.2.er Netzwerk lokal auf etwas VPN freundliches (siehe Tutorial oben ) !!