Routing Problem mit OpenVPN Server unter Windows Server 2016

g0drealm
Hallo zusammen,

wir haben gestern einen neuen Windows Server 2016 aufgesetzt, welcher unseren Zentyal SBS in verschiedenen Anwendungsgebieten ersetzen soll.

Hierzu zählt z.B VPN. Hier ist momentan OpenVPN im Einsatz, was auch auch künftig so bleiben soll. Ich weiß das Windows Server eigene Mittel für VPN mitbringt, jedoch müsste ich hierfür Portweiterleitungen in unserem Lancom vornehmen, die aus anderen netzwerktechnischen Gründen (Lancom Site-to-Site VPN, Webmail) nicht umsetzbar sind.

Deswegen habe ich einfach OpenVPN mithilfe dieser Anleitung aufgesetzt

https://www.huerter.me/index.php/2019/03/02/howto-openvpn-server-unter-w ...

Bis auf den 2. Adapter wurde alles so gemacht, wie in der Beschreibung angegeben und mein OpenVPN Client verbindet sich auch erfolgreich mit dem Server.
Leider komme ich nur bis zum Windows Server. Der Rest des Netzes ist trotz push route nicht erreichbar.

Ich habe schon die Rolle Remotezugriff mit RAS und Routing installiert, statische Routen auf dem Server ausprobiert, Firewall angepasst (Portfreigabe) sowie komplett abgeschaltet und in der Registry IP-Routing eingeschaltet.

Alles jedoch ohne Erfolg.
Meine Kenntnise beschränken sich fast ausschließlich auf Linux weswegen ich jetzt leider ein bisschen ratlos bin.

Vielleicht kann hier jmd helfen.

Beste Grüße,

g0drealm

Content-Key: 517562

Url: https://administrator.de/contentid/517562

Ausgedruckt am: 27.01.2022 um 17:01 Uhr

Mitglied: g0drealm
g0drealm 21.11.2019 um 16:36:47 Uhr
Goto Top
Zusatzinfo:

lokales Netz: 192.168.170.0/24
VPN-Netz : 10.0.100.0/24
Windows Server IP: 192.168.170.75
TAP IP: 10.0.100.1

Lokales Netz befindet sich hinter einer Endian Firewall und dem Lancom Router.
Port Forwarding wurde gemacht und funktioniert.
Mitglied: jenni
jenni 21.11.2019 aktualisiert um 17:04:46 Uhr
Goto Top
Moin.,

Firewall?
Was sagen die Logs?
Was sagt ein Tracert?

Gruß
der jenni
Mitglied: g0drealm
g0drealm 21.11.2019 aktualisiert um 17:25:37 Uhr
Goto Top
Hallo,

bis auf die Windows-Firewall ist nichts dazwischen. Diese habe ich schon komplett deaktiviert, jedoch auch ohne Erfolg.

Tracert stoppt, wenn ich andere Server erreichen will, bei 10.0.100.1

Welche Logs genau?

Gruß
Mitglied: jenni
jenni 21.11.2019 um 19:39:51 Uhr
Goto Top
Zb. Die Logs der FW
Und die des OpenVPN Servers...

Welche FW würde deaktiviert?
Welchen Port benutzt du?
Windows Firewall richtig eingestellt?
Mitglied: aqui
aqui 22.11.2019 aktualisiert um 15:58:38 Uhr
Goto Top
Leider komme ich nur bis zum Windows Server.
Das kann 2 Gründe haben:
1.)
Das falsche Windows Firewall Profil auf dem virtuellen VPN Adapter !
Da die automatische Netzwerkennung auf dem Adapter unter Winblows fehlschlägt (fehlendes Gateway) deklariert Winblows diesen Adapter dann mit einem öffentlichen FW Profil, was dann alles blockt.
Das musst du also auf Privat umstellen in der Firewall.
2.)
Wenn der Server im internen Netz steht musst du zwingend eine statische Route auf dem Internet Router konfigurieren !!
Diese Skizze verdeutlicht das Problem bei so einem Design:

ovpn

Die Clients und Endgeräte haben ja den Internet Router als Default Gateway. Kommen nun über den OVPN Server VPN Clients rein haben die als Absender IP Adresse immer eine IP aus dem internen OVPN Netz (hier im Beispiel 10.10.10.0 /24).
Spricht man damit ein Endgerät im netz an will das natürlich antworten auf die 10.10.10.x und sendet die Antwortpakete an den Internet Router. Der wiederum muss dies dann mit einer statischen Route zum Windows Server routen damit der das ins OVPN Netz forwarden kann...logisch !
Fehlt diese Route sendet der Internet Router diese Pakete statt zum OVPN Server zu seinem Default Gateway was dann der Internet Provider ist. Dort verschwinden sie dann im Nirwana.
Fazit:
  • Statische Route am Internet Router eintragen aufs interne OVPN Netz !
  • Routing (RAS, IPv4 Forwarding) aktivieren am Winblows Server wenn nicht schon geschehen !
Mit den 2 Dingen rennt das sofort !
Siehe auch hier:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
Mitglied: g0drealm
g0drealm 23.11.2019 um 18:53:45 Uhr
Goto Top
Vielen Dank für die Antworten.

Ich werde es mir Anfang der Woche anschauen und Rückmeldung geben :) face-smile
Mitglied: aqui
aqui 24.11.2019 um 12:23:19 Uhr
Goto Top
Wir sind gespannt ! ;-) face-wink
Heiß diskutierte Beiträge
question
Marode Netzwerk-Infrastruktur im kleinen Unternehmen - wo anfangen?StephanXVor 1 TagFrageNetzwerkmanagement48 Kommentare

Guten Abend zusammen, es geht um einen kleinen Betrieb (Kfz-Werkstatt) mit einer recht wirren und planlosen Netzwerkstruktur und Datensicherung, welche ich so langsam mal richten ...

general
Generator für endlose, kostenlose Energie? Ein gut gemachter Schwindel? gelöst beidermachtvongreyscullVor 1 TagAllgemeinOff Topic32 Kommentare

Mahlzeit Kollegen! Wenn ich mich strikt an physikalische Grundsätze halte, müsste ich sagen: Nein. Es ist nicht möglich. Ich stieß aber im Internet auf ein ...

general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 23 StundenAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
"minimale" Cloud-Telefonanlage gesuchtDatenreiseVor 1 TagFrageVoice over IP13 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer Cloud-Telefonanlage, die sich für einen einzelnen Arbeitsplatz eignet und wollte hier fragen, ob jemand dazu einen ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 19 StundenAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Vorkehrungen für einen StromausfallahussainVor 9 StundenFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 8 StundenFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...