vel2000
Goto Top

Openvpn Server auf Win7 - Routing Probleme

Hallo zusammen,
erster Post und gleich eine Frage.
Ich habe auf einem Win7/64 einen Openvpn Server installiert, so weit so gut.
Ich kann mit einem Win7 Client auch eine Verbindung ohne Error Meldung herstellen, aber der Internet Zugriff über den Server funktioniert nicht, dh. es können keine Seiten aufgerufen werden.
Ich kann den Server (10.0.0.1) aber anpingen.
Routing Problem?

Netzwerk Server: 192.168.0.x
Netzwerk Client: 192.168.2.x
MS Firewalls auf beiden Rechnern deaktiviert.

PS: Openvpn Verbindungen zu meinem Virtual Server, der auf Ubuntu läuft, funktionieren.
Somit denke ich, das "Client seitig" alles ok ist.

Leider beziehen sich die meisten Anleitungen auf Linux Server, ich bin aber gezwungen Openvpn auf Win7 laufen zu lassen und kann das NICHT ändern.
server.ovpn:
port 1194
proto udp
dev tun

ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"  
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"  
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"  

dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"  

server 10.0.0.0 255.255.255.0

ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\log\\ipp.txt"  
push "redirect-gateway def1 bypass-dhcp" #tells all Internet traffic to go through the tunnel  
push "dhcp-option DNS 208.67.222.222" #OpenDNS servers, makes it easy to check if the tunnel is working properly  
push "dhcp-option DNS 208.67.220.220"  


keepalive 10 120

cipher AES-128-CBC

persist-key
persist-tun

status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"  

verb 3

client.conf
client

dev tun
proto udp
remote 87.xxx.xxx.xxx
resolv-retry infinite
nobind
persist-key
persist-tun
ca flas.crt
cert rol.crt
key rol.key
ns-cert-type server
cipher AES-128-CBC
verb 3
ping 10
ping-restart 60

route print SERVER
IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.254    276
         10.0.0.0    255.255.255.0   Auf Verbindung     192.168.0.254     2
         10.0.0.0    255.255.255.0         10.0.0.2         10.0.0.1     20
         10.0.0.0  255.255.255.252   Auf Verbindung          10.0.0.1    27
         10.0.0.1  255.255.255.255   Auf Verbindung          10.0.0.1    27
         10.0.0.3  255.255.255.255   Auf Verbindung          10.0.0.1    27
       10.0.0.255  255.255.255.255   Auf Verbindung     192.168.0.254    27
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    30
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    30
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    30
      192.168.0.0    255.255.255.0   Auf Verbindung     192.168.0.254    27
    192.168.0.254  255.255.255.255   Auf Verbindung     192.168.0.254    27
    192.168.0.255  255.255.255.255   Auf Verbindung     192.168.0.254    27
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    30
        224.0.0.0        240.0.0.0   Auf Verbindung          10.0.0.1    27
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.0.254    27
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    30
  255.255.255.255  255.255.255.255   Auf Verbindung          10.0.0.1    27
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.0.254    27
===========================================================================

route print CLIENT:
IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.2.100    192.168.2.202     10
          0.0.0.0        128.0.0.0         10.0.0.5         10.0.0.6     20
         10.0.0.1  255.255.255.255         10.0.0.5         10.0.0.6     20
         10.0.0.4  255.255.255.252   Auf Verbindung          10.0.0.6    276
         10.0.0.6  255.255.255.255   Auf Verbindung          10.0.0.6    276
         10.0.0.7  255.255.255.255   Auf Verbindung          10.0.0.6    276
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
        128.0.0.0        128.0.0.0         10.0.0.5         10.0.0.6     20
  128.199.234.245  255.255.255.255    192.168.2.100    192.168.2.202     10
      192.168.2.0    255.255.255.0   Auf Verbindung     192.168.2.202    266
    192.168.2.100  255.255.255.255    192.168.2.100    192.168.2.202     10
    192.168.2.202  255.255.255.255   Auf Verbindung     192.168.2.202    266
    192.168.2.255  255.255.255.255   Auf Verbindung     192.168.2.202    266
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.2.202    266
        224.0.0.0        240.0.0.0   Auf Verbindung          10.0.0.6    276
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.2.202    266
  255.255.255.255  255.255.255.255   Auf Verbindung          10.0.0.6    276

Sollten weitere Logs, etc. nötig sein, einfach Bescheid geben.
Thanks im voraus

Content-Key: 295988

Url: https://administrator.de/contentid/295988

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: michi1983
michi1983 12.02.2016 um 08:11:58 Uhr
Goto Top
Hallo,

und Server und Client stehen im selben lokalen Netz?
Eine kleine Skizze deines Netzwerks wäre hilfreich.

Ev. Hairpin NAT?

Gruß
Mitglied: 117471
117471 12.02.2016 um 08:12:04 Uhr
Goto Top
Und auf dem "Server" ist das Routing auch aktiviert bzw. gestartet?
Mitglied: vel2000
vel2000 12.02.2016 um 09:57:18 Uhr
Goto Top
Hi, danke für eure Antworten,
ich habs jetzt endlich.
Auf dem "Server" muss zusätzlich der "Routing und RAS" Dienst, sowie "Internet Connection Sharing" aktiviert werden
Die Configs waren soweit ok.

Sollte vielleicht bei den HowTo's am Rande erwähnt werden. face-wink
Mitglied: michi1983
michi1983 12.02.2016 aktualisiert um 09:59:26 Uhr
Goto Top
Zitat von @vel2000:

Hi, danke für eure Antworten,
ich habs jetzt endlich.
Auf dem "Server" muss zusätzlich der "Routing und RAS" Dienst, sowie "Internet Connection Sharing" aktiviert werden
Naja, das ist aber eigentlich Basiswissen wenn ich ehrlich sein face-wink
Hauptsache es läuft jetzt!

Fairerweise solltest du die Antwort von Kollege @fa-jka als Lösung markieren face-wink
Just my 2 cents

Gruß
Mitglied: vel2000
vel2000 12.02.2016 um 10:09:51 Uhr
Goto Top
Zitat von @michi1983:

Naja, das ist aber eigentlich Basiswissen wenn ich ehrlich sein face-wink
Hauptsache es läuft jetzt!

Basiswissen?
Vielleicht bei jemanden der in den Thema "drinsteckt"
Ich habe bis dato in meinem ganzen Leben noch keinen Openvpn Server unter Windows aufgesetzt, denke nicht das so was dann vorausgesetzt werden kann.
Benutzt wurde dieses Howto und da fehlen diese Hinweise eben:
http://www.andysblog.de/openvpn-server-unter-windows-einrichten

Wie auch immer...
mfg
Mitglied: michi1983
michi1983 12.02.2016 aktualisiert um 10:22:45 Uhr
Goto Top
Zitat von @vel2000:
Benutzt wurde dieses Howto und da fehlen diese Hinweise eben:
http://www.andysblog.de/openvpn-server-unter-windows-einrichten

Aha
Das Routing muss stimmen

Das Routing muss nicht nur auf den Clients stimmig sein, damit diese den Weg zum Server und ggf. dem dahinter liegenden LAN finden. Für den Fall das Computer hinter dem Einwahlserver erreicht werden sollen, muss auf dem OpenVPN-Server an sich das Routing zwischen den Netzwerkverbindungen der LAN- und der OpenVPN-Schnittstelle aktiviert sein.

Bis einschließlich Windows XP und Server 2003 war dies nur generell für alle Netzwerkverbindungen über eine entsprechende Änderung in der Registrierung und einem Neustart möglich:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
IPEnableRouter=1

Diese Option funktioniert bislang immer noch, einschließlich Windows Server 2012 R2. Mittlerweile lässt sich das Routing etwas differenzierter und vor allem ohne händische Änderung der Registrierung samt Neustart aktivieren:

netsh interface ipv4 set int "LAN-Verbindung" forwarding=enabled
netsh interface ipv4 set int "LAN-Verbindung 2" forwarding=enabled

Da der vorhandene Router beim Kunden kein Setzen einer Route gestattet, wurde auf allem vom VPN aus zu erreichenden Computern eine entsprechende Route gesetzt. Unter Windows sieht der Befehl wie folgt aus:

route add VPN-NETZWERK mask SUBNETZMASKE OPENVPNSERVER -p

Passend zu diesem Beitrag ein Beispiel:

route add 10.0.0.0 mask 255.255.255.0 192.168.0.2 -p

Das IP-Netz 10.0.0.0/24 entspricht dem VPN-Netzwerk, 192.168.0.2 ist die IP-Adresse des OpenVPN-Servers und die Option „-p“ sorgt dafür, das die Route permanent gesetzt wird und damit auch nach einem Neustart des Computers zur Verfügung steht.
Mitglied: 117471
117471 12.02.2016 um 15:29:40 Uhr
Goto Top
Zitat von @vel2000:

Ich habe bis dato in meinem ganzen Leben noch keinen Openvpn Server unter Windows aufgesetzt,

Du beschäftigst dich mit dem route-Befehl und Routingtabellen (s.U.), weißt aber nicht, was ein Router macht.

Das dürfte dann der HiScore für diesen Freitag sein... face-smile