istike2
Goto Top

SBS 2003 OpenVPN in lokalem Firewall erlauben

Hallo,

wir User "Aqui" hier (OpenVPN-Problem DHCP geht, PING nicht) schreibt, sollte ich mein lokaler Firewall - auf unserem SBS 2003 - entsprechend ändern, damit eine OpenVPN-Verbindung möglich ist.

Ich kenne mich mit SBS 2003 leider ziemlich wenig aus. So weit ich weiß sind solche Sachen mit dem Tool "RAS" verwaltet.

Was soll ich dort ganz genau machen?

So weit ich die anderen Punkte sehe, sind sie mittlerweile in Ordnung. Dies ist der einzige wo ich noch (Einstellungs)Fehler vermute.

Sollte aber sonst jemandem noch etwas optimierungsbedüftiges auffallen, danke fürs Feedback.

Gr. I.

Content-ID: 161668

Url: https://administrator.de/forum/sbs-2003-openvpn-in-lokalem-firewall-erlauben-161668.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

br4inbug
br4inbug 28.02.2011 um 04:49:44 Uhr
Goto Top
Hallo, der Artikel sollte dir weiterhelfen:

http://support.microsoft.com/kb/323441/de

Viele Grüße
br4inbug
istike2
istike2 28.02.2011 um 14:44:52 Uhr
Goto Top
Hallo,

danke! Scheint zu klappen.

Gr. I.
br4inbug
br4inbug 28.02.2011 um 14:46:12 Uhr
Goto Top
Freut mich face-wink

Viele Grüße
br4inbug
istike2
istike2 02.03.2011 um 00:13:08 Uhr
Goto Top
Da ich den VPN-Server vom Client nicht "anpingen" konnte, habe ich mit dem FW / RAS noch herumgespielt:

Der MS-Artikel passt zu meiner Situation nicht 100% weil dort es dort um IPsec-Verbindung geht.

Hier sind die aktuellen Ergebnisse: (Laut Log stimmt irgendetwas mit den Routing-Einstellungen nicht. Ich habe leider zu wenig Ahnung über Netzwerk, daher sehe ich ich den Wald von lauter Bäumen leider nicht wirklich.)


Ich habe versucht in dem Tool RAS and Routing das Port 1194 zu öffnen.

Ich habe unter den Eigenschafter des VPN-Netzwerkadapters noch die folgenden Einstellungen vorgenommen:

1. NAT / Basisfirewall der OVPN-Netzwerkverbindung:

"An das Internet angeschloßene öffentlichen Schnittestelle"

2. Adresspool:

172.16.2.1. - 172.16.2.255 (Maske 255.255.255.0)

3. Dienste und Ports:

Ich habe den Dienst "OpenVPN" hinzugefügt

"Auf dieser Schnittstelle"
Eingehender UDP-Port 1194
Private Adresse: 172.16.2.1
Ausgehender Port: 1194

4. ICMP

Ich habe alle Optionen aktiviert.

Ausserdem habe ich das statische Route

Ziel: 192.168.1.0
Mask: 255.255.255.0
Gateway: 172.16.2.1
Metrik: 1

hinzugefügt.

Ping geht aktuell zwischen 172.16.2.1 und 172.16.2.6 (Also zwischen dem OVPN Server und Client) wieder nicht.

!!!! was mir auffällt: Laut der Config-Datei des OVPN-Servers sollte das Subnetz 255.255.255.0 sein. Wenn ich mir aber die "Details anschaue steht dort 255.255.255.252.

Auch dieses Zitat aus dem Log (Siehe unten) kann auf dieses Problem hinweisen.
Tue Mar 01 20:51:18 2011 NOTE: FlushIpNetTable failed on interface [131074] {8E259414-9074-4AF0-9A00-E477AFCFF9EB} (status=259) : Es sind keine Daten mehr verfügbar.
Tue Mar 01 20:51:18 2011 C:\WINDOWS\system32\route.exe ADD 172.16.2.0 MASK 255.255.255.0 172.16.2.2
Tue Mar 01 20:51:18 2011 Warning: route gateway is not reachable on any active network adapters: 172.16.2.2
Tue Mar 01 20:51:18 2011 Route addition via IPAPI failed [adaptive]
Tue Mar 01 20:51:18 2011 Route addition fallback to route.exe
Hinzufgen der Route fehlgeschlagen: Entweder ist der Schnittstellenindex ungltig oder das Gateway befindet sich nicht im gleichen Netzwerk wie die Schnittstelle. šberprfen Sie die IP-Adresstabelle fr diesen Rechner.


Kann es der Grund des Problems sein?

Nachdem ich diese Einstellungen vorgennommen habe, habe ich die Verbindung sowohl Cliensseitig wie auch Serverseitig abgebrochen und neugestartet. Den SBS-Server habe ich also nicht neugestartet.

Hier ist das Log des Servers:

Tue Mar 01 20:51:08 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Tue Mar 01 20:51:08 2011 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Tue Mar 01 20:51:08 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 01 20:51:08 2011 Diffie-Hellman initialized with 1024 bit key
Tue Mar 01 20:51:08 2011 TLS-Auth MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Mar 01 20:51:08 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Mar 01 20:51:08 2011 ROUTE default_gateway=192.168.1.250
Tue Mar 01 20:51:08 2011 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\{8E259414-9074-4AF0-9A00-E477AFCFF9EB}.tap
Tue Mar 01 20:51:08 2011 TAP-Win32 Driver Version 9.7
Tue Mar 01 20:51:08 2011 TAP-Win32 MTU=1500
Tue Mar 01 20:51:08 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 172.16.2.1/255.255.255.252 on interface {8E259414-9074-4AF0-9A00-E477AFCFF9EB} [DHCP-serv: 172.16.2.2, lease-time: 31536000]
Tue Mar 01 20:51:08 2011 Sleeping for 10 seconds...
Tue Mar 01 20:51:18 2011 NOTE: FlushIpNetTable failed on interface [131074] {8E259414-9074-4AF0-9A00-E477AFCFF9EB} (status=259) : Es sind keine Daten mehr verfügbar.
Tue Mar 01 20:51:18 2011 C:\WINDOWS\system32\route.exe ADD 172.16.2.0 MASK 255.255.255.0 172.16.2.2
Tue Mar 01 20:51:18 2011 Warning: route gateway is not reachable on any active network adapters: 172.16.2.2
Tue Mar 01 20:51:18 2011 Route addition via IPAPI failed [adaptive]
Tue Mar 01 20:51:18 2011 Route addition fallback to route.exe
Hinzufgen der Route fehlgeschlagen: Entweder ist der Schnittstellenindex ungltig oder das Gateway befindet sich nicht im gleichen Netzwerk wie die Schnittstelle. šberprfen Sie die IP-Adresstabelle fr diesen Rechner.
Tue Mar 01 20:51:18 2011 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 01 20:51:18 2011 UDPv4 link local (bound): [undef]:1194
Tue Mar 01 20:51:18 2011 UDPv4 link remote: [undef]
Tue Mar 01 20:51:18 2011 MULTI: multi_init called, r=256 v=256
Tue Mar 01 20:51:18 2011 IFCONFIG POOL: base=172.16.2.4 size=62
Tue Mar 01 20:51:18 2011 Initialization Sequence Completed
Tue Mar 01 20:51:51 2011 MULTI: multi_create_instance called
Tue Mar 01 20:51:51 2011 xxxxxxxxxxxxxxxxx:64535 Re-using SSL/TLS context
Tue Mar 01 20:51:51 2011 xxxxxxxxxxxxxxxxx:64535 LZO compression initialized
Tue Mar 01 20:51:51 2011 xxxxxxxxxxxxxxxxx:64535 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Tue Mar 01 20:51:51 2011 xxxxxxxxxxxxxxxxx:64535 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Mar 01 20:51:51 2011 xxxxxxxxxxxxxxxxx:64535 Local Options hash (VER=V4): '530fdded'
Tue Mar 01 20:51:51 2011 xxxxxxxxxxxxxxxxx:64535 Expected Remote Options hash (VER=V4): '41690919'
Tue Mar 01 20:51:51 2011 xxxxxxxxxxxxxxxxx:64535 TLS: Initial packet from 85.216.120.63:64535, sid=a90eac17 b8de4fc1
Tue Mar 01 20:51:51 2011 xxxxxxxxxxxxxxxxx:64535 VERIFY OK: depth=1, /C=DE/ST=BW/L=Karlsruhe/O=xxxxxxxxxxxx_Tank/CN=Tank_CA/emailAddress=xxxxxxxxxxxxxxxxxxxxxxxxx
Tue Mar 01 20:51:51 2011 xxxxxxxxxxxxxxxxx:64535 VERIFY OK: depth=0, /C=DE/ST=BW/L=Karlsruhe/O=xxxxxxxxxxxxx_Tank/CN=Tank_Client1/emailAddress=xxxxxxxxxxxxxxxxxxxxxxxxx
Tue Mar 01 20:51:52 2011 xxxxxxxxxxxxxxxxx:64535 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 01 20:51:52 2011 xxxxxxxxxxxxxxxxx:64535 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 01 20:51:52 2011 xxxxxxxxxxxxxxxxx:64535 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Mar 01 20:51:52 2011 xxxxxxxxxxxxxxxxx:64535 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Mar 01 20:51:52 2011 xxxxxxxxxxxxxxxxx:64535 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Mar 01 20:51:52 2011 xxxxxxxxxxxxxxxxx:64535 [Tank_Client1] Peer Connection Initiated with xxxxxxxxxxxxxxxxx:64535
Tue Mar 01 20:51:52 2011 Tank_Client1/xxxxxxxxxxxxxxxxx:64535 MULTI: Learn: 172.16.2.6 -> Tank_Client1/xxxxxxxxxxxxxxxxx:64535
Tue Mar 01 20:51:52 2011 Tank_Client1/xxxxxxxxxxxxxxxxx:64535 MULTI: primary virtual IP for Tank_Client1/xxxxxxxxxxxxxxxxx:64535: 172.16.2.6
Tue Mar 01 20:51:54 2011 Tank_Client1/xxxxxxxxxxxxxxxxx:64535 PUSH: Received control message: 'PUSH_REQUEST'
Tue Mar 01 20:51:54 2011 Tank_Client1/xxxxxxxxxxxxxxxxx:64535 SENT CONTROL [Tank_Client1]: 'PUSH_REPLY,route 192.168.1.0 255.255.255.0,route 172.16.2.1,topology net30,ping 10,ping-restart 120,ifconfig 172.16.2.6 172.16.2.5' (status=1)