g0drealm
Goto Top

Routing Problem mit OpenVPN Server unter Windows Server 2016

Hallo zusammen,

wir haben gestern einen neuen Windows Server 2016 aufgesetzt, welcher unseren Zentyal SBS in verschiedenen Anwendungsgebieten ersetzen soll.

Hierzu zählt z.B VPN. Hier ist momentan OpenVPN im Einsatz, was auch auch künftig so bleiben soll. Ich weiß das Windows Server eigene Mittel für VPN mitbringt, jedoch müsste ich hierfür Portweiterleitungen in unserem Lancom vornehmen, die aus anderen netzwerktechnischen Gründen (Lancom Site-to-Site VPN, Webmail) nicht umsetzbar sind.

Deswegen habe ich einfach OpenVPN mithilfe dieser Anleitung aufgesetzt

https://www.huerter.me/index.php/2019/03/02/howto-openvpn-server-unter-w ...

Bis auf den 2. Adapter wurde alles so gemacht, wie in der Beschreibung angegeben und mein OpenVPN Client verbindet sich auch erfolgreich mit dem Server.
Leider komme ich nur bis zum Windows Server. Der Rest des Netzes ist trotz push route nicht erreichbar.

Ich habe schon die Rolle Remotezugriff mit RAS und Routing installiert, statische Routen auf dem Server ausprobiert, Firewall angepasst (Portfreigabe) sowie komplett abgeschaltet und in der Registry IP-Routing eingeschaltet.

Alles jedoch ohne Erfolg.
Meine Kenntnise beschränken sich fast ausschließlich auf Linux weswegen ich jetzt leider ein bisschen ratlos bin.

Vielleicht kann hier jmd helfen.

Beste Grüße,

g0drealm

Content-Key: 517562

Url: https://administrator.de/contentid/517562

Printed on: February 3, 2023 at 05:02 o'clock

Member: g0drealm
g0drealm Nov 21, 2019 at 15:36:47 (UTC)
Goto Top
Zusatzinfo:

lokales Netz: 192.168.170.0/24
VPN-Netz : 10.0.100.0/24
Windows Server IP: 192.168.170.75
TAP IP: 10.0.100.1

Lokales Netz befindet sich hinter einer Endian Firewall und dem Lancom Router.
Port Forwarding wurde gemacht und funktioniert.
Member: jenni
jenni Nov 21, 2019 updated at 16:04:46 (UTC)
Goto Top
Moin.,

Firewall?
Was sagen die Logs?
Was sagt ein Tracert?

Gruß
der jenni
Member: g0drealm
g0drealm Nov 21, 2019 updated at 16:25:37 (UTC)
Goto Top
Hallo,

bis auf die Windows-Firewall ist nichts dazwischen. Diese habe ich schon komplett deaktiviert, jedoch auch ohne Erfolg.

Tracert stoppt, wenn ich andere Server erreichen will, bei 10.0.100.1

Welche Logs genau?

Gruß
Member: jenni
jenni Nov 21, 2019 at 18:39:51 (UTC)
Goto Top
Zb. Die Logs der FW
Und die des OpenVPN Servers...

Welche FW würde deaktiviert?
Welchen Port benutzt du?
Windows Firewall richtig eingestellt?
Member: aqui
aqui Nov 22, 2019 updated at 14:58:38 (UTC)
Goto Top
Leider komme ich nur bis zum Windows Server.
Das kann 2 Gründe haben:
1.)
Das falsche Windows Firewall Profil auf dem virtuellen VPN Adapter !
Da die automatische Netzwerkennung auf dem Adapter unter Winblows fehlschlägt (fehlendes Gateway) deklariert Winblows diesen Adapter dann mit einem öffentlichen FW Profil, was dann alles blockt.
Das musst du also auf Privat umstellen in der Firewall.
2.)
Wenn der Server im internen Netz steht musst du zwingend eine statische Route auf dem Internet Router konfigurieren !!
Diese Skizze verdeutlicht das Problem bei so einem Design:

ovpn

Die Clients und Endgeräte haben ja den Internet Router als Default Gateway. Kommen nun über den OVPN Server VPN Clients rein haben die als Absender IP Adresse immer eine IP aus dem internen OVPN Netz (hier im Beispiel 10.10.10.0 /24).
Spricht man damit ein Endgerät im netz an will das natürlich antworten auf die 10.10.10.x und sendet die Antwortpakete an den Internet Router. Der wiederum muss dies dann mit einer statischen Route zum Windows Server routen damit der das ins OVPN Netz forwarden kann...logisch !
Fehlt diese Route sendet der Internet Router diese Pakete statt zum OVPN Server zu seinem Default Gateway was dann der Internet Provider ist. Dort verschwinden sie dann im Nirwana.
Fazit:
  • Statische Route am Internet Router eintragen aufs interne OVPN Netz !
  • Routing (RAS, IPv4 Forwarding) aktivieren am Winblows Server wenn nicht schon geschehen !
Mit den 2 Dingen rennt das sofort !
Siehe auch hier:
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
Member: g0drealm
g0drealm Nov 23, 2019 at 17:53:45 (UTC)
Goto Top
Vielen Dank für die Antworten.

Ich werde es mir Anfang der Woche anschauen und Rückmeldung geben face-smile
Member: aqui
aqui Nov 24, 2019 at 11:23:19 (UTC)
Goto Top
Wir sind gespannt ! face-wink