rt2014
May 06, 2014
view8617
view11
0
Goto Top

OpenVPN-Server leitet Pakete nicht ins Internet

GermanQuestionWindows NetworkMicrosoft
Hallo,

nach tagelangem Probieren und Googlen gebe ich auf und brauche Hilfe. Für Linux habe ich viele Tipps im Internet gefunden... inzwischen vermute ich, dass das, was ich benötige mit "Windows Server" vielleicht sogar gar nicht geht...

Was will ich? Ich habe zwei Windows Server, einen direkt hier vor Ort (Standort 2) und einem im Ausland (Standort 1).

Meine Konfiguration:
Standort 1 (OpenVPN-SERVER): Windows Server 2008 R2
IP-Adresse: 141.XX.XX.11
Gateway: 141.XX.XX.1

Standort 2 (OpenVPN-CLIENT): Windows Server 2003
IP-Adresse: 85.XX.XX.242
Gateway: 85.XX.XX.254

Ich möchte, dass der eingehend Traffic vom OpenVPN-SERVER zum OpenVPN-CLIENT geleitet wird. Umgekehrt soll der abgehende Traffic über das VPN vom CLIENT zu SERVER geschickt werden und von dort weiter in Internet.

Was bereits funktioniert:
Die Verbindung zwischen Server und Client wird hergestellt als TUN-Verbindung. Vom Client aus kann ich den Server mit PING 10.8.0.1 erreichen. Vom Server aus ebenso den Client mit PING 10.8.0.2. Auch Dienste wie SMTP funktionieren über die VPN-Verbindung.

* Problem 1 *
Externe Server im Internet z.B. 8.8.8.8 lassen sich am Client NICHT pingen! Das Client-OpenVPN-Log zeigt an, dass bei PING 8.8.8.8 tatsächlich je Ping ein Datenpaket an der Server geschickt wird und das Server-Log zeigt den Empfang der Ping-Pakete an. Auch Tracert zeigt an, dass die Datenpaket über die VPN-Verbindung laufen.

Ich habe den Eindruck, dass der Server die Daten nicht ins Internet weiterleitet oder die Rückleitung der Antwortpakete zum Client nicht funktioniert. Beim Server habe ich mit REGEDIT "IPEnableRouter" auf "1" geändert! Ich habe viel in Google gesucht, aber keine Lösung gefunden. Unter Linux muss beim Server wohl der Befehl iptables ausgeführt werden. Ich verwende aber Windows. Ich habe außerdem auf den Server (und Client) den Windows-Dienst "Routing und RAS" / bzw. bei engl. Windows "Routing and Remote Access" gestartet, was aber auch keinen Erfolg bringt.

* Problem 2 *
Eingehend Traffic beim OpenVPN-Server kann ich mit dem Befehl:
netsh interface portproxy add v4tov4 listenport=80 listenaddress=141.XX.XX.11 connectport=80 connectaddress=10.8.0.2
an den Client weiterleiten und zurück via OpenVPN-Server ins Internet. Der Client erhält dabei aber nicht die IP-Adresse des Internetsurfers, sondern 10.8.0.1 übermittelt! Kann man das ändern?

Frage: Oder geht das alles nur, wenn ich Server und Client nicht per TUN-VPN sondern TAP-VPN, also per LAN-Bridge verbinde.

Danke für eure Hilfe,
Ralf.


Hier noch die Konfigurationsdateien von OpenVPN:

OpenVPN-Server:
local 141.XX.XX.11
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
tls-server
key-method 2
dh dh1024.pem
server 10.8.0.0 255.255.255.0
client-config-dir ccd
push "redirect-gateway def1 bypass-dhcp bypass-dns"  
push "dhcp-option DNS 8.8.8.8"  
push "route 10.8.0.0 255.255.255.0"  
keepalive 20 120
comp-lzo
persist-key
persist-tun
verb 3

OpenVPN-Client:
tls-client
dev tun
proto udp
remote 141.XX.XX.11 1194
resolv-retry infinite
keepalive 20 60
nobind
persist-key
persist-tun
comp-lzo
ca ca.crt
cert client.crt
key client.key
verb 3
tun-mtu 1500
pull

Client-CCD-Datei:
ifconfig-push 10.8.0.2 10.8.0.1
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 237297

Url: https://administrator.de/contentid/237297

Printed on: April 19, 2024 at 21:04 o'clock

11 Comments
Latest comment
Goto Top
Member: aqui
aqui May 06, 2014 updated at 18:44:32 (UTC)
Goto Top
Die Frage bekommen wir wöchentlich hier....
Dein Push Kommando am Server ist falsch ! Wenn du wie von dir gewünscht jeglichen Client Traffic in den Tunnel leiten willst muss das Client Default Gateway auf die Tunnel IP "umgebogen" werden !
Das erledigt das Konfig Kommando:
push "redirect-gateway def1"
Siehe auch: https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...

Frage 2 ist eigentlich obsolet wenn man die Konfig richtig macht. So ein Redirect muss man nicht machen. Grundlagen zur Einrichtung findest du auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
HW kannst du ignorieren. Die Einrichtung bei OVPN ist immer gleich und HW unabhängig !
Member: RT2014
RT2014 May 07, 2014 at 12:34:34 (UTC)
Goto Top
Danke für Deine Antwort.

Ich habe den Befehl push "redirect-gateway def1" schon in meiner Server-Konfiguration, d.h. der Client-Traffic wird bereits zum Server geschick! Das "bypass-dhcp bypass-dns" sagt nur, dass die DNS-Auflösung über die Internetverbindung des Clients laufen soll, sonst würde das nämlich gar nicht funktionieren derzeit, weil ja der Server den Traffic des Clients nicht weiter ins Internet leitet.

Zu Frage 2: Doch, so einen Redirekt am Server muss man machen, steht sogar in dem ersten Link von Dir. Unter Linux gibt es dafür den Befehl iptables. Diesen Fehler gibt es aber nicht unter Windows.
Member: aqui
aqui May 08, 2014 at 14:48:53 (UTC)
Goto Top
weil ja der Server den Traffic des Clients nicht weiter ins Internet leitet.
Ooops ja das ist dann aber Unsinn, denn kann er ja auch den gesamten Traffic den du in den Tunnel sendest mit dem Default Gateway nicht weiterleiten und damit wird dann dein gesamter Thread hier bzw. die Fragestellung ja komplett blödsinnig ?!
Denn du willst ja genau sämtlichen Traffic über den Tunnel via Server ins Internet routen...was denn also nun ??

2.) Nein, das ist Unsinn mit dem Redirect ? Das machst du ja mit dem Default Gateway was du definierst. Damit sendet der Client alles in den Tunnel zum Server, der wiederum hat ein Default gateway zu seinem Router ins Internet und gut iss...
Wie kommst du auch so einen Unsinn mit dem Redirect ??
Nimm dir ein Traceroute oder Pathping zum Ziel dann kannst du das auch Hop für Hop schwarz auf weiss selber sehen..!
Member: RT2014
RT2014 May 08, 2014 at 18:03:20 (UTC)
Goto Top
Was soll ich sagen, fakt ist, die Verbindung zwischen Server und Client steht, pingen und Dienste wie SMTP/POP3 gehen durch den Tunnel, Traffic ins Internet wird vom Client ebenfalls an den Server geschickt und dort passiert dann damit nichts mehr.

Ich habe inzwischen versucht mit den Windows-RAS-Dienst eine PPTP/L2TP-Verbindung zwischen zwei Windows-Servern aufzubauen. Auch das klappt, ebenso ping und Dienste wie SMTP/POP3, aber auch hier wird kein Client-Traffic vom Server in Internet weitergeleitet. Bei den Windows-RAS-Dienst kann man zumindest NAT-aktivieren, aber es funktioniert einfach nicht.

Seit über 2 Wochen beschäftige ich mich jetzt damit, dies hier ist das 4. Forum wo ich frage, ... tja. Was soll ich noch sagen?
Member: orcape
orcape May 08, 2014 at 18:43:33 (UTC)
Goto Top
Hi,
was sagen denn die Routing-Protokolle ?
Wie sehen die Netze aus ? Firewall-Hardware vorgeschaltet ? ...wirst die Server ja wohl kaum direkt am Netz haben.
Allein mit den Config-Dateien kann man wenig dazu beitragen, hier "Licht ins Dunkel" zu bringen.
Gruß orcape
Member: RT2014
RT2014 May 09, 2014 at 18:38:05 (UTC)
Goto Top
Danke für Deine Bemühungen. Hier die Routing-Tabellen, nachdem zwischen Client und Server die OpenVPN-Verbindung aufgebaut wurde. In der Server-Konfiguration haben ich die Zeile push "redirect-gateway def1" eingefügt:

"ipconfig /all" vom Server:
Windows IP Configuration

   Host Name . . . . . . . . . . . . : XXX
   Primary Dns Suffix  . . . . . . . : 
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : Yes
   WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection 2:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : TAP-Windows Adapter V9
   Physical Address. . . . . . . . . : 00-FF-28-FD-9F-58
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : xxx::xx:xx:xx(Preferred)
   IPv4 Address. . . . . . . . . . . : 10.8.0.1(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.255.252
   Lease Obtained. . . . . . . . . . : Freitag, 9. Mai 2014 19:41:55
   Lease Expires . . . . . . . . . . : Samstag, 9. Mai 2015 19:41:56
   Default Gateway . . . . . . . . . : 
   DHCP Server . . . . . . . . . . . : 10.8.0.2
   DHCPv6 IAID . . . . . . . . . . . : 335609640
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1A-E1-08-B2-00-15-5D-0B-0B-A0
   DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft Hyper-V Network Adapter
   Physical Address. . . . . . . . . : 00-15-5D-0B-0B-A0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   Link-local IPv6 Address . . . . . : xxx::xx:xx:xx(Preferred)
   IPv4 Address. . . . . . . . . . . : 141.XX.XX.11(Preferred) 
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 141.XX.XX.1
   DHCPv6 IAID . . . . . . . . . . . : 234886493
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-1A-E1-08-B2-00-15-5D-0B-0B-A0
   DNS Servers . . . . . . . . . . . : 8.8.8.8
                                       8.8.4.4
   NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.{6B7310B3-7B97-4D8A-B7B5-529A85A2C705}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter Teredo Tunneling Pseudo-Interface:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv6 Address. . . . . . . . . . . : xxx::xx:xx:xx(Preferred)
   Link-local IPv6 Address . . . . . : xxx::xx:xx:xx(Preferred)
   Default Gateway . . . . . . . . . : 
   NetBIOS over Tcpip. . . . . . . . : Disabled

Tunnel adapter 6TO4 Adapter:

   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft 6to4 Adapter
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv6 Address. . . . . . . . . . . : xxx::xx:xx:xx(Preferred)
   Default Gateway . . . . . . . . . : 
   DNS Servers . . . . . . . . . . . : 8.8.8.8
                                       8.8.4.4
   NetBIOS over Tcpip. . . . . . . . : Disabled

Tunnel adapter isatap.{28FD9F58-5B30-4115-9CA5-C47C7E7FBCF3}:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : 
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #3
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

"route print" vom Server:
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      141.XX.XX.1     141.XX.XX.11    261
         10.8.0.0    255.255.255.0         10.8.0.2         10.8.0.1     30
         10.8.0.0  255.255.255.252         On-link          10.8.0.1    286
         10.8.0.1  255.255.255.255         On-link          10.8.0.1    286
         10.8.0.3  255.255.255.255         On-link          10.8.0.1    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      141.XX.XX.0    255.255.255.0         On-link      141.XX.XX.11    261
     141.XX.XX.11  255.255.255.255         On-link      141.XX.XX.11    261
    141.XX.XX.255  255.255.255.255         On-link      141.XX.XX.11    261
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link      141.XX.XX.11    261
        224.0.0.0        240.0.0.0         On-link          10.8.0.1    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link      141.XX.XX.11    261
  255.255.255.255  255.255.255.255         On-link          10.8.0.1    286
===========================================================================
Persistent Routes:
  Network Address          Netmask  Gateway Address  Metric
          0.0.0.0          0.0.0.0      141.XX.XX.1  Default 
===========================================================================

"ipconfig /all" vom Client:
Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : YYYYY
   Primäres DNS-Suffix . . . . . . . : 
   Knotentyp . . . . . . . . . . . . : Unbekannt
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein

Ethernet-Adapter LAN-Verbindung:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung  . . . . . . . . . . : Intel(R) PRO/1000 MT-Netzwerkverbindung
   Physikalische Adresse . . . . . . : 00-0C-29-B1-1A-F7
   DHCP aktiviert  . . . . . . . . . : Nein
   IP-Adresse. . . . . . . . . . . . : 85.XX.XX.242
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   IP-Adresse. . . . . . . . . . . . : 10.1.1.242
   Subnetzmaske  . . . . . . . . . . : 255.0.0.0
   Standardgateway . . . . . . . . . : 85.XX.XX.254
   DNS-Server  . . . . . . . . . . . : 212.XX.XX.12
                                       85.XX.XX.8
									   
Ethernet-Adapter OpenVPN-Verbindung:

   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung  . . . . . . . . . . : TAP-Windows Adapter V9
   Physikalische Adresse . . . . . . : 00-FF-FB-A6-B9-4F
   DHCP aktiviert  . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IP-Adresse. . . . . . . . . . . . : 10.8.0.2
   Subnetzmaske  . . . . . . . . . . : 255.255.255.252
   Standardgateway . . . . . . . . . : 10.8.0.1
   DHCP-Server . . . . . . . . . . . : 10.8.0.1
   DNS-Server  . . . . . . . . . . . : 8.8.8.8
   Lease erhalten  . . . . . . . . . : Freitag, 9. Mai 2014 19:42:12
   Lease läuft ab  . . . . . . . . . : Samstag, 9. Mai 2015 19:42:12

"route print" vom Client:
IPv4-Routentabelle
===========================================================================
Schnittstellenliste
0x1 ........................... MS TCP Loopback interface
0x2 ...00 0c 29 b1 1a f7 ...... Intel(R) PRO/1000 MT-Netzwerkverbindung - Paketplaner-Miniport
0x3 ...00 ff fb a6 b9 4f ...... TAP-Windows Adapter V9 - Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0        128.0.0.0         10.8.0.1         10.8.0.2      1
          0.0.0.0          0.0.0.0     85.XX.XX.254       10.1.1.242     10
         10.0.0.0        255.0.0.0       10.1.1.242       10.1.1.242     10
       10.1.1.242  255.255.255.255        127.0.0.1        127.0.0.1     10
         10.8.0.0  255.255.255.252         10.8.0.2         10.8.0.2     30
         10.8.0.0    255.255.255.0         10.8.0.1         10.8.0.2      1
         10.8.0.1  255.255.255.255         10.8.0.2         10.8.0.2      1
         10.8.0.2  255.255.255.255        127.0.0.1        127.0.0.1     30
   10.255.255.255  255.255.255.255       10.1.1.242       10.1.1.242     10
   10.255.255.255  255.255.255.255         10.8.0.2         10.8.0.2     30
       85.XX.XX.0    255.255.255.0     85.XX.XX.242       10.1.1.242     10
     85.XX.XX.242  255.255.255.255        127.0.0.1        127.0.0.1     10
   85.255.255.255  255.255.255.255       10.1.1.242       10.1.1.242     10
        127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
        128.0.0.0        128.0.0.0         10.8.0.1         10.8.0.2      1
     141.XX.XX.11  255.255.255.255     85.XX.XX.254       10.1.1.242      1
        224.0.0.0        240.0.0.0       10.1.1.242       10.1.1.242     10
        224.0.0.0        240.0.0.0         10.8.0.2         10.8.0.2     30
  255.255.255.255  255.255.255.255       10.1.1.242       10.1.1.242      1
  255.255.255.255  255.255.255.255         10.8.0.2         10.8.0.2      1
Standardgateway:          10.8.0.1
===========================================================================
St„ndige Routen:
  Keine
Member: aqui
aqui May 10, 2014 at 10:07:03 (UTC)
Goto Top
Ein Traceroute oder Pathping wäre nochmal interessant vom Client zu 8.8.8.8 oder www.heise.de z.B.
Da kann man dann mal sehen wo es direkt hakt.

Der server hat scheinbar keine Route ins Internet für das VPN IP Netzwerk.
Das musst du fixen, dann klappt das auch.
Member: RT2014
RT2014 May 10, 2014 at 13:18:19 (UTC)
Goto Top
Hier der pathping 8.8.8.8:

Routenverfolgung zu 8.8.8.8 ber maximal 30 Abschnitte

  0  CLIENT1 [10.8.0.2] 
  1  SERVER1 [10.8.0.1] 
  2     *        *        *

	Berechnung der Statistiken dauert ca. 50 Sekunden...
            Quelle zum Abs.  Knoten/Verbindung
Abs. Zeit   Verl./Ges.=   %  Verl./Ges.=   %  Adresse
  0                                           CLIENT1 [10.8.0.2] 
                                0/ 100 =  0%   |
  1   76ms     0/ 100 =  0%     0/ 100 =  0%  SERVER1 [10.8.0.1] 
                              100/ 100 =100%   |
  2  ---     100/ 100 =100%     0/ 100 =  0%  CLIENT1 [0.0.0.0]

Ablaufverfolgung beendet.

Was wohl das "CLIENT1 [0.0.0.0]" an letzter Position heißt. Vermutlich weiß der OpenVPN-Server nicht wohin mit dem Paket!?

Kannst Du mir verraten, wie diese Route am Server heißen soll? Route-Befehl?
(Sorry, nach fast 3 Wochen rumprobieren mit OpenVPN und RAS bin ich am Ende!)
Member: orcape
orcape May 11, 2014 at 09:17:08 (UTC)
Goto Top
Hi,
z.B.
route add 10.8.0.0 mask 255.255.255.0 192.168.0.1 metric 2
..wobei hier 192.168.0.1 das Gateway zum Internet wäre.
Das musst Du natürlich entsprechend anpassen.
Gruß orcape
Member: RT2014
RT2014 May 11, 2014 at 18:44:31 (UTC)
Goto Top
Habe die Route am OpenVPN-Server gesetzt (Gateway ist 141.XX.XX.1), ohne Erfolg:

route add 10.8.0.0 mask 255.255.255.0 141.XX.XX.1 metric 2

Ping 8.8.8.8 am OpenVPN-Server geht mit dieser Route (wie vorher), am OpenVPN-Client aber nicht.

Aber sagt diese Anweisung doch nicht nur, dass Paket an das Subnetz 10.8.0.? an das Gateway geschickt werden sollen? Richtig müsste es doch heißen, dass Paket VON DEM Subnetz 10.8.0.? AN das Gateway geschickt werden?
Member: RT2014
RT2014 May 12, 2014 at 18:24:44 (UTC)
Goto Top
Habe nun mit dem "RAS- & Routing-Dienst" herumgespielt. Aber leider ebenfalls erfolglos.

Aufgefallen ist mir, dass der Befehl
pathping -i 10.8.0.2 8.8.8.8

am OpenVPN-Server, der ja eigentlich 10.8.0.1 als IP hat, funktioniert Er funktioniert aber auch mit jeder anderen 10.8.0.x IP!

Es bleibt also bei meinem Eindruck, dass der Windows-Server Pakete die er vom Client 10.8.0.2 per OpenVPN erhält nicht über das Gateway 141.XX.XX.1 weiterleitet oder ggf. nur noch die Antwortpaket zurück. Die Paket müssten also so laufen: 10.8.0.2 -> 10.8.0.1 -> 141.XX.XX.1 -> 8.8.8.8 und zurück.
GermanQuestionWindows NetworkMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment