1
OpenVPN unter Windows7 (von Windows7 zu Windows7)
Hi,
da ich bei meiner Suche des öfteren hier und auch im OpenVPN-Forum gelandet bin, jedoch nicht so recht weiter kam, habe ich meine erste Anfrage im OpenVPN-Forum gestellt. Leider bekam ich dort noch keine Antwort und versuche ich es mal hier mit meinem Problem.
Ich versuche mich schon seit einigen Wochen mit OpenVPN unter Windows 7 und habe da irgendwie ein Verständnisproblem mit den Routen.
Dabei möchte ich jeweils einen Server auf zwei Festrechner einrichten und auf einem der beiden Festrechner noch einen Clienten, der auf den anderen Festrechner zugreift. Dann möchte ich mit meinen Laptop von unterwegs auf beide Festrechner zugreifen können.
Es ist von mir nicht erwünscht alles durch den Tunnel zu leiten. Ich möchte lediglich jeweils die Festrechner und die sich dahinter befindlichen Rechner in der Netzwerkumgebung erreichen und somit zwei Netzwerke vereinen. Die Rechnernamen sollten auch aufgelöst werden.
Ich fange mal mit dem einem Tunnel an.
Rechner 1 heißt jetzt mal Paul, steht bei meinen Vater, hat die feste IP 192.168.52.201 und hängt an einem Samsung-Router SMT-G3210 der die IP 192.168.52.99 hat. DHCP ist auf dem Router auch aktiv und wird zwischen 192.168.52.100 und 192.168.52.200 vergeben. Dort hängt manchmal noch ein Laptop per W-Lan dran, der jetzt mal Paula heißt und auf den ich dann auch zugreifen möchte. Auf diesen erstbenannten Rechner "Paul" läuft dann erst einmal der OpenVPN-Server als Dienst.
Nun zum zweiten Rechner, der bei mir hier steht, Papa heißt, die IP 192.168.51.201 hat und an einer FRITZ!Box Fon WLAN 7270 hängt, welche die IP 192.168.51.99 hat. Auch hier ist DHCP auch aktiv und vergibt die Adressen zwischen 192.168.51.100 bis 192.168.51.200. An dieser Fritzbox sind noch weitere 2-3 Rechner, welche eine Feste IP (192.168.51.202, 192.168.51.203, 192.168.51.204 usw.) haben. Dann habe ich noch einen Laptop, der endweder über Lan mit fester IP oder Wlan mitfester IP oder DHCP an der Fritzbox hängt. Der Rechner "Papa" ist nun der Client und die Rechner, welche sich noch in diesem Netzwerk befinden, möchte ich alle auch von der Serverseite erreichen. Auf diesen Rechner Papa soll nun noch ein Server laufen, damit ich von Unterwegs auch auf diesen Rechner Zugriff habe. Beides sollte dann auch auf diesen Rechner als Dienst gestartet werden. 2 Adapter habe ich dafür schon erstellt.
Nun habe ich auf der Serverseite das Netzwerk 192.168.52.0, auf der Clientseite das Netzwerk 192.168.51.0 und dem Tunnel möchte ich das Netzwerk 192.168.62.0 geben.
Nun komme ich noch zum zweiten Tunnel, den ich nur von unterwegs per Laptop aus einem fremden W-Lan erreichen möchte, der jetzt aber erst mal zweitrangig ist. Wenn ich den ersten hinbekomme, werde ich den dann eventuell zwangsläufig auch hinbekommen.
Rechner 1 wäre hier "Papa", wie weiter oben beschrieben, der dann als Server fungiert.
Rechner 2 wäre dann mein Laptop, als Client, in einem unbekannten W-Lan, wo mir die IP per DHCP zugeteilt wird (meistens 192.168.2.104, Router 192.168.2.1) und mir der Router unbekannt ist und ich auf ihn auch keinerlei Zugriff habe. Diesen Tunnel möchte ich dann das Netzwerk 192.168.61.0 geben.
Bei meinen ersten Versuchen habe ich das mit den Zertifikaten schon mal hinbekommen und die Tunnel an und für sich stehen auch. Nun habe ich nur ein Problem mit dem Routing. Ich blicke da absolut nicht durch, welches Netz, welches Gateway und welches Ziel wo und wie angegeben werden muss. Desweiteren habe ich die Befürchtung, dass die Geschichte mit den Adminrechten noch ein Problem sein könnte.
Mittlerweile habe ich schon so viel herumprobiert, dass ich mittlerweile langsam den Überblick verloren habe, was ich schon alles probiert habe. Nach fast jeder neuen Idee, gabs neue Fehler, deren Lösung ich mir dann ergoogelte und dem perfekten Routing doch nicht näher gekommen bin.
Ich beginne mal mit den Dingen, die ich bisher gemacht habe.
IP-Forwarding habe ich auf beiden Rechnern durchgeführt.
Die Laneinstellung auf beiden Routern:
Die Ports habe ich auf beiden Routern freigeschalten.
Windowsfirewall habe ich zum Testen ausgeschalten, ansonsten weiß ich nicht genau, welche Datei (openvpn.exe und/oder openvpnserv.exe und/oder openvpn-gui-1.0.3.exe) man freigeben muss.
Hier die Server.ovpn
Hier die Client.ovpn
Hier die Log des Servers:
Hier die Log des Clienten:
Ich habe mal alles Persönliche durch "XXX" ersetzt.
So, was fehlt noch?
Hier der Ping vom Server zum Router des Clienten und zum Client selbst:
Hier noch ein Ping vom Server zum Client "Papa":
Ich vermute mal, das dies über das ipv6-Protokoll geht.
Hier ein ping vom Client zum Router des Servers und zum Server selbst:
Hier noch ein Ping vom Client zum Server "Paul":
Hier die Routen vom Server:
Hier IPConfig vom Server:
Was mir absolut schleierhaft ist, sind die Routen, die gesetzt werden müssen und warum der Tunnel selbst kein Gateway hat und was für ein Gateway, Netz und Ziel ich bei den Routen angeben muss. In den Anleitungen wird das immer so pauschal beschrieben, dass ich das nie so recht auf meine Konfiguration münzen konnte.
Desweiteren hatte ich die erste Zeit immer mit "tun" probiert, bis ich jetzt mal zu "tap" gewechselt bin und wenigstens ein Teilerfolg hatte.
Vielleicht könnte mir jemand mal etwas genauer erklären, was ich falsch mache und wie und warum das anders sein muss. Also so, dass ich das auch ein wenig verstehe. Ich vermute mal, dass mir das Prinzip noch nicht richtig klar ist.
Ich habe auch festgestellt, dass zwar der Server zum Clienten Routen schicken kann, die auch der Client übernimmt. Aber der Client kann wohl keine Route zum Server schicken oder der übernimmt die nicht bzw. setzt die Routen nicht. Wo könnte da der Fehler liegen?
Dann habe ich auch ein zusätzliches Problem mit der GUI. Ich war bisher immer als Admin bzw. mit einem Konto mit Admin-Rechten angemeldet. Nun habe ich es mal so umgestellt, dass ich nur noch Benutzer bin und muss jedes Mal wenn ich die GUI starten möchte das Admin-Passwort eingeben. Dafür habe ich auch noch keine Lösung gefunden, was jetzt aber nicht so weltbewegend ist. Wichtiger ist das mit den Routen.
Nachtrag:
Ich habe auch auf beiden Routern folgende Route gesetzt, weiß jetzt aber nicht mehr genau, ob das zu dem Zeitpunkt der Test´s war.
Gruß Jan
Rechner 1 heißt jetzt mal Paul, steht bei meinen Vater, hat die feste IP 192.168.52.201 und hängt an einem Samsung-Router SMT-G3210 der die IP 192.168.52.99 hat. DHCP ist auf dem Router auch aktiv und wird zwischen 192.168.52.100 und 192.168.52.200 vergeben. Dort hängt manchmal noch ein Laptop per W-Lan dran, der jetzt mal Paula heißt und auf den ich dann auch zugreifen möchte. Auf diesen erstbenannten Rechner "Paul" läuft dann erst einmal der OpenVPN-Server als Dienst.
Nun zum zweiten Rechner, der bei mir hier steht, Papa heißt, die IP 192.168.51.201 hat und an einer FRITZ!Box Fon WLAN 7270 hängt, welche die IP 192.168.51.99 hat. Auch hier ist DHCP auch aktiv und vergibt die Adressen zwischen 192.168.51.100 bis 192.168.51.200. An dieser Fritzbox sind noch weitere 2-3 Rechner, welche eine Feste IP (192.168.51.202, 192.168.51.203, 192.168.51.204 usw.) haben. Dann habe ich noch einen Laptop, der endweder über Lan mit fester IP oder Wlan mitfester IP oder DHCP an der Fritzbox hängt. Der Rechner "Papa" ist nun der Client und die Rechner, welche sich noch in diesem Netzwerk befinden, möchte ich alle auch von der Serverseite erreichen. Auf diesen Rechner Papa soll nun noch ein Server laufen, damit ich von Unterwegs auch auf diesen Rechner Zugriff habe. Beides sollte dann auch auf diesen Rechner als Dienst gestartet werden. 2 Adapter habe ich dafür schon erstellt.
Nun habe ich auf der Serverseite das Netzwerk 192.168.52.0, auf der Clientseite das Netzwerk 192.168.51.0 und dem Tunnel möchte ich das Netzwerk 192.168.62.0 geben.
Nun komme ich noch zum zweiten Tunnel, den ich nur von unterwegs per Laptop aus einem fremden W-Lan erreichen möchte, der jetzt aber erst mal zweitrangig ist. Wenn ich den ersten hinbekomme, werde ich den dann eventuell zwangsläufig auch hinbekommen.
Rechner 1 wäre hier "Papa", wie weiter oben beschrieben, der dann als Server fungiert.
Rechner 2 wäre dann mein Laptop, als Client, in einem unbekannten W-Lan, wo mir die IP per DHCP zugeteilt wird (meistens 192.168.2.104, Router 192.168.2.1) und mir der Router unbekannt ist und ich auf ihn auch keinerlei Zugriff habe. Diesen Tunnel möchte ich dann das Netzwerk 192.168.61.0 geben.
Bei meinen ersten Versuchen habe ich das mit den Zertifikaten schon mal hinbekommen und die Tunnel an und für sich stehen auch. Nun habe ich nur ein Problem mit dem Routing. Ich blicke da absolut nicht durch, welches Netz, welches Gateway und welches Ziel wo und wie angegeben werden muss. Desweiteren habe ich die Befürchtung, dass die Geschichte mit den Adminrechten noch ein Problem sein könnte.
Mittlerweile habe ich schon so viel herumprobiert, dass ich mittlerweile langsam den Überblick verloren habe, was ich schon alles probiert habe. Nach fast jeder neuen Idee, gabs neue Fehler, deren Lösung ich mir dann ergoogelte und dem perfekten Routing doch nicht näher gekommen bin.
Ich beginne mal mit den Dingen, die ich bisher gemacht habe.
IP-Forwarding habe ich auf beiden Rechnern durchgeführt.
Die Laneinstellung auf beiden Routern:
Die Ports habe ich auf beiden Routern freigeschalten.
Windowsfirewall habe ich zum Testen ausgeschalten, ansonsten weiß ich nicht genau, welche Datei (openvpn.exe und/oder openvpnserv.exe und/oder openvpn-gui-1.0.3.exe) man freigeben muss.
Hier die Server.ovpn
server 192.168.62.0 255.255.255.0
tls-server
port 1194
proto udp
dev tap
dev-node OpenVPN-Server
comp-lzo
client-to-client
persist-key
persist-tun
ping-timer-rem
keepalive 20 180
verb 3
dh "c:\\Programme\\OpenVPN\\key-server\\dh2048.pem"
ca "c:\\Programme\\OpenVPN\\key-server\\XXX-ca.crt"
key "c:\\Programme\\OpenVPN\\key-server\\XXX.key"
cert "c:\\Programme\\OpenVPN\\key-server\\XXX.crt"
push "route 192.168.52.0 255.255.255.0"
#dhcp-option DNS 192.168.52.99
#dhcp-option WINS 192.168.52.99
route-method exe
route-delay 2
#push "dhcp-option DNS 192.168.52.99"
#push "dhcp-option WINS 192.168.52.99"
#route 192.168.52.0 255.255.255.0
#tun-mtu 1492
#fragment 1300
#mssfix
#push "route-gateway 192.168.62.99"
#ifconfig-pool-persist ipp.txtHier die Client.ovpn
client
tls-client
float
remote XXX.dyndns.org 1194
proto udp
dev tap
dev-node OpenVPN-Client-XXX
nobind
comp-lzo
persist-key
persist-tun
verb 3
pull
ca "c:\\Programme\\OpenVPN\\key-client\\XXX-ca.crt"
key "c:\\Programme\\OpenVPN\\key-client\\XXX-auf-XXX.key"
cert "c:\\Programme\\OpenVPN\\key-client\\XXX-auf-XXX.crt"
ns-cert-type server
push "route 192.168.51.0 255.255.255.0"
route-method exe
route-delay 2
#dhcp-option DNS 192.168.51.99
#dhcp-option WINS 192.168.51.99
#route 192.168.51.0 255.255.255.0
#push "dhcp-option DNS 192.168.51.99"
#push "dhcp-option WINS 192.168.51.99"
#push "route-gateway 192.168.52.99"
#tun-mtu 1492
#fragment 1300
#mssfix
#tls-remote server
#auth SHA1
#cipher aes-256-cbcHier die Log des Servers:
Fri Jun 25 06:15:10 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Fri Jun 25 06:15:10 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jun 25 06:15:11 2010 Diffie-Hellman initialized with 2048 bit key
Fri Jun 25 06:15:11 2010 TLS-Auth MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Jun 25 06:15:11 2010 TAP-WIN32 device [OpenVPN-Server] opened: \\.\Global\{52EA3CD8-C503-4BB7-9EB8-B05BC11DCFB2}.tap
Fri Jun 25 06:15:11 2010 TAP-Win32 Driver Version 9.6
Fri Jun 25 06:15:11 2010 TAP-Win32 MTU=1500
Fri Jun 25 06:15:11 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.62.1/255.255.255.0 on interface {52EA3CD8-C503-4BB7-9EB8-B05BC11DCFB2} [DHCP-serv: 192.168.62.0, lease-time: 31536000]
Fri Jun 25 06:15:11 2010 Sleeping for 2 seconds...
Fri Jun 25 06:15:13 2010 Successful ARP Flush on interface [16] {52EA3CD8-C503-4BB7-9EB8-B05BC11DCFB2}
Fri Jun 25 06:15:13 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Jun 25 06:15:13 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jun 25 06:15:13 2010 UDPv4 link local (bound): [undef]:1194
Fri Jun 25 06:15:13 2010 UDPv4 link remote: [undef]
Fri Jun 25 06:15:13 2010 MULTI: multi_init called, r=256 v=256
Fri Jun 25 06:15:13 2010 IFCONFIG POOL: base=192.168.62.2 size=253
Fri Jun 25 06:15:13 2010 Initialization Sequence Completed
Fri Jun 25 06:15:30 2010 MULTI: multi_create_instance called
Fri Jun 25 06:15:30 2010 77.184.164.200:57221 Re-using SSL/TLS context
Fri Jun 25 06:15:30 2010 77.184.164.200:57221 LZO compression initialized
Fri Jun 25 06:15:30 2010 77.184.164.200:57221 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Jun 25 06:15:30 2010 77.184.164.200:57221 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Jun 25 06:15:30 2010 77.184.164.200:57221 Local Options hash (VER=V4): 'f7df56b8'
Fri Jun 25 06:15:30 2010 77.184.164.200:57221 Expected Remote Options hash (VER=V4): 'd79ca330'
Fri Jun 25 06:15:30 2010 77.184.164.200:57221 TLS: Initial packet from 77.184.164.200:57221, sid=377ce4a2 5eb3aea2
Fri Jun 25 06:15:34 2010 77.184.164.200:57221 VERIFY OK: depth=1, /C=DE/ST=XXX/L=XXX_/O=PrivatPerson/OU=XXX/CN=XXX/emailAddress=XXX
Fri Jun 25 06:15:34 2010 77.184.164.200:57221 VERIFY OK: depth=0, /C=DE/ST=XXX/O=PrivatPerson/OU=XXX/CN=XXX/emailAddress=XXX
Fri Jun 25 06:15:34 2010 77.184.164.200:57221 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jun 25 06:15:34 2010 77.184.164.200:57221 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 25 06:15:34 2010 77.184.164.200:57221 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jun 25 06:15:34 2010 77.184.164.200:57221 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 25 06:15:34 2010 77.184.164.200:57221 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Jun 25 06:15:34 2010 77.184.164.200:57221 [XXX] Peer Connection Initiated with 77.184.164.200:57221
Fri Jun 25 06:15:36 2010 XXX/77.184.164.200:57221 PUSH: Received control message: 'PUSH_REQUEST'
Fri Jun 25 06:15:36 2010 XXX/77.184.164.200:57221 SENT CONTROL [XXX]: 'PUSH_REPLY,route 192.168.52.0 255.255.255.0,route-gateway 192.168.62.1,ping 20,ping-restart 180,ifconfig 192.168.62.2 255.255.255.0' (status=1)
Fri Jun 25 06:15:37 2010 XXX/77.184.164.200:57221 MULTI: Learn: 00:ff:6c:32:92:ec -> XXX/77.184.164.200:57221Hier die Log des Clienten:
Fri Jun 25 06:15:29 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Fri Jun 25 06:15:29 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri Jun 25 06:15:29 2010 LZO compression initialized
Fri Jun 25 06:15:29 2010 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Fri Jun 25 06:15:29 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Fri Jun 25 06:15:29 2010 Local Options hash (VER=V4): 'd79ca330'
Fri Jun 25 06:15:29 2010 Expected Remote Options hash (VER=V4): 'f7df56b8'
Fri Jun 25 06:15:29 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Jun 25 06:15:29 2010 UDPv4 link local: [undef]
Fri Jun 25 06:15:29 2010 UDPv4 link remote: 77.184.163.15:1194
Fri Jun 25 06:15:29 2010 TLS: Initial packet from 77.184.163.15:1194, sid=43cd21f3 f10a32ef
Fri Jun 25 06:15:30 2010 VERIFY OK: depth=1, /C=DE/ST=XXX/L=XXX_/O=PrivatPerson/OU=XXX/CN=XXX/emailAddress=XXX
Fri Jun 25 06:15:30 2010 VERIFY OK: nsCertType=SERVER
Fri Jun 25 06:15:30 2010 VERIFY OK: depth=0, /C=DE/ST=XXX/O=PrivatPerson/OU=XXX_1/CN=XXX_1/emailAddress=XXX
Fri Jun 25 06:15:33 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jun 25 06:15:33 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 25 06:15:33 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Jun 25 06:15:33 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Jun 25 06:15:33 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
Fri Jun 25 06:15:33 2010 [XXX_1] Peer Connection Initiated with 77.184.163.15:1194
Fri Jun 25 06:15:35 2010 SENT CONTROL [XXX_1]: 'PUSH_REQUEST' (status=1)
Fri Jun 25 06:15:35 2010 PUSH: Received control message: 'PUSH_REPLY,route 192.168.52.0 255.255.255.0,route-gateway 192.168.62.1,ping 20,ping-restart 180,ifconfig 192.168.62.2 255.255.255.0'
Fri Jun 25 06:15:35 2010 OPTIONS IMPORT: timers and/or timeouts modified
Fri Jun 25 06:15:35 2010 OPTIONS IMPORT: --ifconfig/up options modified
Fri Jun 25 06:15:35 2010 OPTIONS IMPORT: route options modified
Fri Jun 25 06:15:35 2010 OPTIONS IMPORT: route-related options modified
Fri Jun 25 06:15:35 2010 ROUTE default_gateway=192.168.51.99
Fri Jun 25 06:15:35 2010 TAP-WIN32 device [OpenVPN-Client-XXX] opened: \\.\Global\{6C3292EC-913B-46D5-BC89-C84C5BE408B6}.tap
Fri Jun 25 06:15:35 2010 TAP-Win32 Driver Version 9.6
Fri Jun 25 06:15:35 2010 TAP-Win32 MTU=1500
Fri Jun 25 06:15:35 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.62.2/255.255.255.0 on interface {6C3292EC-913B-46D5-BC89-C84C5BE408B6} [DHCP-serv: 192.168.62.0, lease-time: 31536000]
Fri Jun 25 06:15:35 2010 Successful ARP Flush on interface [18] {6C3292EC-913B-46D5-BC89-C84C5BE408B6}
Fri Jun 25 06:15:37 2010 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Fri Jun 25 06:15:37 2010 C:\WINDOWS\system32\route.exe ADD 192.168.52.0 MASK 255.255.255.0 192.168.62.1
Fri Jun 25 06:15:37 2010 Initialization Sequence CompletedIch habe mal alles Persönliche durch "XXX" ersetzt.
So, was fehlt noch?
Hier der Ping vom Server zum Router des Clienten und zum Client selbst:
C:\Windows\system32>ping 192.168.51.99
Ping wird ausgeführt für 192.168.51.99 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Ping-Statistik für 192.168.51.99:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
(100% Verlust),
C:\Windows\system32>ping 192.168.51.201
Ping wird ausgeführt für 192.168.51.201 mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Ping-Statistik für 192.168.51.201:
Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
(100% Verlust),
C:\Windows\system32>Hier noch ein Ping vom Server zum Client "Papa":
C:\Windows\system32>ping papa
Ping wird ausgeführt für papa [fe80::8daf:6403:f8cb:863d%16] mit 32 Bytes Daten:
Antwort von fe80::8daf:6403:f8cb:863d%16: Zeit=54ms
Antwort von fe80::8daf:6403:f8cb:863d%16: Zeit=34ms
Antwort von fe80::8daf:6403:f8cb:863d%16: Zeit=35ms
Antwort von fe80::8daf:6403:f8cb:863d%16: Zeit=33ms
Ping-Statistik für fe80::8daf:6403:f8cb:863d%16:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 33ms, Maximum = 54ms, Mittelwert = 39ms
C:\Windows\system32>Hier ein ping vom Client zum Router des Servers und zum Server selbst:
C:\Windows\system32>ping 192.168.52.99
Ping wird ausgeführt für 192.168.52.99 mit 32 Bytes Daten:
Antwort von 192.168.52.99: Bytes=32 Zeit=148ms TTL=63
Antwort von 192.168.52.99: Bytes=32 Zeit=34ms TTL=63
Antwort von 192.168.52.99: Bytes=32 Zeit=39ms TTL=63
Antwort von 192.168.52.99: Bytes=32 Zeit=55ms TTL=63
Ping-Statistik für 192.168.52.99:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 34ms, Maximum = 148ms, Mittelwert = 69ms
C:\Windows\system32>ping 192.168.52.201
Ping wird ausgeführt für 192.168.52.201 mit 32 Bytes Daten:
Antwort von 192.168.52.201: Bytes=32 Zeit=57ms TTL=127
Antwort von 192.168.52.201: Bytes=32 Zeit=33ms TTL=127
Antwort von 192.168.52.201: Bytes=32 Zeit=34ms TTL=127
Antwort von 192.168.52.201: Bytes=32 Zeit=53ms TTL=127
Ping-Statistik für 192.168.52.201:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 33ms, Maximum = 57ms, Mittelwert = 44ms
C:\Windows\system32>Hier noch ein Ping vom Client zum Server "Paul":
C:\Windows\system32>ping paul
Ping wird ausgeführt für Paul [fe80::1072:161b:5c95:d6dc%18] mit 32 Bytes Daten:
Antwort von fe80::1072:161b:5c95:d6dc%18: Zeit=34ms
Antwort von fe80::1072:161b:5c95:d6dc%18: Zeit=36ms
Antwort von fe80::1072:161b:5c95:d6dc%18: Zeit=34ms
Antwort von fe80::1072:161b:5c95:d6dc%18: Zeit=34ms
Ping-Statistik für fe80::1072:161b:5c95:d6dc%18:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 34ms, Maximum = 36ms, Mittelwert = 34ms
C:\Windows\system32>Hier die Routen vom Server:
C:\Windows\system32>route print
===========================================================================
Schnittstellenliste
16...00 ff 52 ea 3c d8 ......TAP-Win32 Adapter V9
12...00 1f c6 b0 8a 1a ......L2 Fast-Ethernet-10/100Base-T-Controller von Ather
os
1...........................Software Loopback Interface 1
13...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
11...00 00 00 00 00 00 00 e0 Microsoft-Teredo-Tunneling-Adapter
14...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
===========================================================================
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.52.99 192.168.52.201 276
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.52.0 255.255.255.0 Auf Verbindung 192.168.52.201 276
192.168.52.201 255.255.255.255 Auf Verbindung 192.168.52.201 276
192.168.52.255 255.255.255.255 Auf Verbindung 192.168.52.201 276
192.168.62.0 255.255.255.0 Auf Verbindung 192.168.62.1 286
192.168.62.1 255.255.255.255 Auf Verbindung 192.168.62.1 286
192.168.62.255 255.255.255.255 Auf Verbindung 192.168.62.1 286
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.52.201 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.62.1 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.52.201 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.62.1 286
===========================================================================
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 192.168.52.99 Standard
===========================================================================
IPv6-Routentabelle
===========================================================================
Aktive Routen:
If Metrik Netzwerkziel Gateway
11 58 ::/0 Auf Verbindung
1 306 ::1/128 Auf Verbindung
11 58 2001::/32 Auf Verbindung
11 306 2001:0:5ef5:73bc:20e3:e1a:b247:5cf0/128
Auf Verbindung
12 276 fe80::/64 Auf Verbindung
16 286 fe80::/64 Auf Verbindung
11 306 fe80::/64 Auf Verbindung
16 286 fe80::1072:161b:5c95:d6dc/128
Auf Verbindung
11 306 fe80::20e3:e1a:b247:5cf0/128
Auf Verbindung
12 276 fe80::fc95:494a:dc81:517d/128
Auf Verbindung
1 306 ff00::/8 Auf Verbindung
11 306 ff00::/8 Auf Verbindung
12 276 ff00::/8 Auf Verbindung
16 286 ff00::/8 Auf Verbindung
===========================================================================
Ständige Routen:
Keine
C:\Windows\system32>Hier IPConfig vom Server:
C:\Windows\system32>ipconfig -all
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : Paul
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Ja
WINS-Proxy aktiviert . . . . . . : Nein
Ethernet-Adapter OpenVPN-Server:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
Physikalische Adresse . . . . . . : 00-FF-52-EA-3C-D8
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::1072:161b:5c95:d6dc%16(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.62.1(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Freitag, 25. Juni 2010 06:15:10
Lease läuft ab. . . . . . . . . . : Samstag, 25. Juni 2011 06:15:10
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 192.168.62.0
DHCPv6-IAID . . . . . . . . . . . : 234946386
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-13-A1-90-FA-00-1F-C6-B0-8A-1A
DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : L2 Fast-Ethernet-10/100Base-T-Controller
von Atheros
Physikalische Adresse . . . . . . : 00-1F-C6-B0-8A-1A
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::fc95:494a:dc81:517d%12(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.52.201(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.52.99
DHCPv6-IAID . . . . . . . . . . . : 251666374
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-13-A1-90-FA-00-1F-C6-B0-8A-1A
DNS-Server . . . . . . . . . . . : 192.168.52.99
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Tunneladapter isatap.{4B2BF224-2231-4418-ACB4-129CACB24BAA}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter LAN-Verbindung* 2:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-Teredo-Tunneling-Adapter
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2001:0:5ef5:73bc:20e3:e1a:b247:5cf0(Bevor
zugt)
Verbindungslokale IPv6-Adresse . : fe80::20e3:e1a:b247:5cf0%11(Bevorzugt)
Standardgateway . . . . . . . . . : ::
NetBIOS über TCP/IP . . . . . . . : Deaktiviert
Tunneladapter isatap.{52EA3CD8-C503-4BB7-9EB8-B05BC11DCFB2}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
C:\Windows\system32>[/code]
Hier die IPConfig vom Client:
[code]C:\Windows\system32>ipconfig -all
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : papa
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Ja
WINS-Proxy aktiviert . . . . . . : Nein
Ethernet-Adapter OpenVPN-Client-XXX:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9 #2
Physikalische Adresse . . . . . . : 00-FF-6C-32-92-EC
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::8daf:6403:f8cb:863d%18(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.62.2(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Freitag, 25. Juni 2010 06:15:40
Lease läuft ab. . . . . . . . . . : Samstag, 25. Juni 2011 06:15:40
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 192.168.62.0
DHCPv6-IAID . . . . . . . . . . . : 436273004
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-13-23-0F-01-00-0C-6E-26-4C-6E
DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter OpenVPN-Server:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : TAP-Win32 Adapter V9
Physikalische Adresse . . . . . . : 00-FF-AC-A6-41-C1
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::c573:a332:6737:efe1%17(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.61.1(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Freitag, 25. Juni 2010 06:15:34
Lease läuft ab. . . . . . . . . . : Samstag, 25. Juni 2011 06:15:34
Standardgateway . . . . . . . . . :
DHCP-Server . . . . . . . . . . . : 192.168.61.0
DHCPv6-IAID . . . . . . . . . . . : 385941420
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-13-23-0F-01-00-0C-6E-26-4C-6E
DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : SiS 900-Based PCI Fast Ethernet Adapter
Physikalische Adresse . . . . . . : 00-0C-6E-26-4C-6E
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::8858:fd4a:a09f:731d%12(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.51.201(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.51.99
DHCPv6-IAID . . . . . . . . . . . : 251661422
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-13-23-0F-01-00-0C-6E-26-4C-6E
DNS-Server . . . . . . . . . . . : 192.168.51.99
NetBIOS über TCP/IP . . . . . . . : Aktiviert
Tunneladapter isatap.{6C3292EC-913B-46D5-BC89-C84C5BE408B6}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter LAN-Verbindung*:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-Teredo-Tunneling-Adapter
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2001:0:5ef5:73b8:2083:76f:b247:5b37(Bevor
zugt)
Verbindungslokale IPv6-Adresse . : fe80::2083:76f:b247:5b37%11(Bevorzugt)
Standardgateway . . . . . . . . . : ::
NetBIOS über TCP/IP . . . . . . . : Deaktiviert
Tunneladapter isatap.{0C5701AC-A035-4056-BB89-CFA7423DBE98}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter isatap.{ACA641C1-8FF0-403F-BE06-B6A20D51C6B2}:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
C:\Windows\system32>Was mir absolut schleierhaft ist, sind die Routen, die gesetzt werden müssen und warum der Tunnel selbst kein Gateway hat und was für ein Gateway, Netz und Ziel ich bei den Routen angeben muss. In den Anleitungen wird das immer so pauschal beschrieben, dass ich das nie so recht auf meine Konfiguration münzen konnte.
Desweiteren hatte ich die erste Zeit immer mit "tun" probiert, bis ich jetzt mal zu "tap" gewechselt bin und wenigstens ein Teilerfolg hatte.
Vielleicht könnte mir jemand mal etwas genauer erklären, was ich falsch mache und wie und warum das anders sein muss. Also so, dass ich das auch ein wenig verstehe. Ich vermute mal, dass mir das Prinzip noch nicht richtig klar ist.
Ich habe auch festgestellt, dass zwar der Server zum Clienten Routen schicken kann, die auch der Client übernimmt. Aber der Client kann wohl keine Route zum Server schicken oder der übernimmt die nicht bzw. setzt die Routen nicht. Wo könnte da der Fehler liegen?
Dann habe ich auch ein zusätzliches Problem mit der GUI. Ich war bisher immer als Admin bzw. mit einem Konto mit Admin-Rechten angemeldet. Nun habe ich es mal so umgestellt, dass ich nur noch Benutzer bin und muss jedes Mal wenn ich die GUI starten möchte das Admin-Passwort eingeben. Dafür habe ich auch noch keine Lösung gefunden, was jetzt aber nicht so weltbewegend ist. Wichtiger ist das mit den Routen.
Nachtrag:
Ich habe auch auf beiden Routern folgende Route gesetzt, weiß jetzt aber nicht mehr genau, ob das zu dem Zeitpunkt der Test´s war.
Gruß Jan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 146225
Url: https://administrator.de/contentid/146225
Printed on: April 20, 2024 at 15:04 o'clock
1 Comment
Der Tunnel ist ein eigenes IP Netzwerk das direkt am VPN Server ist, deshalb benötigt das keinerlei statische oder dynmaische Routen !
Dein Client bekommt ja mit dem Kommando push "route 192.168.52.0 255.255.255.0" das lokale LAN des Servers mitgeteilt. Das push Kommando auf dem Client auszuführen ist unsinnig, denn der bekommt von sich aus eine IP vom OVPN Server.
Du kannst am Client immer mit dem Kommando route print checken ob die Routen korrekt übertragen wurden.
Da du ein simples Szenario hast und keine weiteren lokal gerouteten Netze musst du auch keinerlei statische Routen eintragen im OVPN.
Wenn du allerdings lokal andere Clients im Netz erreichen willst musst du aufpassen: Diese Clients haben meist ja nur den loaklen Router als Gateway eingetragen !
Dieser kennt aber das interne OVPN IP Netzwerk (bei dir 192.168.62.0 255.255.255.0) nicht so das diese Pakete dann ins Internet und damit ins Nirwana geroutet werden.
Hier musst du also dafür sorgen das der DSL Router diese Pakete an die lokale IP Adresse des lokalen OVPN Routers geschickt werden um sie wieder auf den richtigen Pfad zu bringen. In deinem Netz müssten die richtig lauten:
Zielnetz: 192.168.62.0, Maske: 255.255.255.0, Gateway: 192.168.52.<host IP OVPN>
Wenn du dir einfach mal dieses Tutorial ansiehst:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
findest du dort alle relevanten Informationen und auch Konfigurationen für dein Szenario. Damit sollte die Umsetzung dann ein Kinderspiel sein ! Generell ist es immer besser den VPN Server auf dem Router selbst zu betreiben um NAT und Port Forwarding Frickeleien aus dem Weg zu gehen.
Da aber OpenVPN nur den Port UDP 1194 benutzt ist auch ein Port Forwarding an den Server hinter der NAT Firewall des Samsung Routers nicht allzu problematisch.
Details dazu stehen auch im o.a. Tutorial.
Bedenke zudem noch das du mit dem Client aus einem IP Fremdnetz kommst ! Die loakle Windows Firewall solche Pakete also gnadenlos blockt. Du musst als in den Firewall settings und der Datei und Druckerfreigabe bzw. anderen Diensten die du remote nutzen willst die jeweils remoten IP Netze bzw. auch das OVPN Netz 192.168.62.0 /24 freizugeben oder die Schrotschuss Variante wählen und "Alle Computer inkl. Internet" anklicken !
Dein Client bekommt ja mit dem Kommando push "route 192.168.52.0 255.255.255.0" das lokale LAN des Servers mitgeteilt. Das push Kommando auf dem Client auszuführen ist unsinnig, denn der bekommt von sich aus eine IP vom OVPN Server.
Du kannst am Client immer mit dem Kommando route print checken ob die Routen korrekt übertragen wurden.
Da du ein simples Szenario hast und keine weiteren lokal gerouteten Netze musst du auch keinerlei statische Routen eintragen im OVPN.
Wenn du allerdings lokal andere Clients im Netz erreichen willst musst du aufpassen: Diese Clients haben meist ja nur den loaklen Router als Gateway eingetragen !
Dieser kennt aber das interne OVPN IP Netzwerk (bei dir 192.168.62.0 255.255.255.0) nicht so das diese Pakete dann ins Internet und damit ins Nirwana geroutet werden.
Hier musst du also dafür sorgen das der DSL Router diese Pakete an die lokale IP Adresse des lokalen OVPN Routers geschickt werden um sie wieder auf den richtigen Pfad zu bringen. In deinem Netz müssten die richtig lauten:
Zielnetz: 192.168.62.0, Maske: 255.255.255.0, Gateway: 192.168.52.<host IP OVPN>
Wenn du dir einfach mal dieses Tutorial ansiehst:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
findest du dort alle relevanten Informationen und auch Konfigurationen für dein Szenario. Damit sollte die Umsetzung dann ein Kinderspiel sein ! Generell ist es immer besser den VPN Server auf dem Router selbst zu betreiben um NAT und Port Forwarding Frickeleien aus dem Weg zu gehen.
Da aber OpenVPN nur den Port UDP 1194 benutzt ist auch ein Port Forwarding an den Server hinter der NAT Firewall des Samsung Routers nicht allzu problematisch.
Details dazu stehen auch im o.a. Tutorial.
Bedenke zudem noch das du mit dem Client aus einem IP Fremdnetz kommst ! Die loakle Windows Firewall solche Pakete also gnadenlos blockt. Du musst als in den Firewall settings und der Datei und Druckerfreigabe bzw. anderen Diensten die du remote nutzen willst die jeweils remoten IP Netze bzw. auch das OVPN Netz 192.168.62.0 /24 freizugeben oder die Schrotschuss Variante wählen und "Alle Computer inkl. Internet" anklicken !
