14
OpenVPN keine Verbindung vom Client
Hallo,
ich habe OpnVPN eingerichtet für einen Server und einen Client.
Das OS ist bei beiden Windows 8.1. Auf dem Server habe ich erfolgreich eine Verbindung aufgebaut und es erscheint verbunden mit Server IP10.0.0.1
Die Windows Firewall ist bei beiden Rechnern ausgeschaltet. Die Portweiterleitung ist auf einer Fritz!Box 7390 eingerichtet auf den Port Udp 1194.
Die sebguhl.ddns.net lässt sich anpingen. Der Verbindungsversuch erfolgt vom Client nicht über das lokale Netzwerk.
Die OpenVPN-gui.exe wird mit Administratorrechten gestartet. Die Fehlermeldung die dann ausgegeben wird ist:
Verbindung zu Client ist fehlgeschlagen!
Eine Log Datein wird erst gar nicht erzeugt. Folgender Test funktioniert nicht:
C:\Programme\OpenVPN\config>..\bin\openvpn.exe --config server.ovpn
Die config - Datei vom Client sieht so aus:
Bitte um Hilfe!
VG Mike
ich habe OpnVPN eingerichtet für einen Server und einen Client.
Das OS ist bei beiden Windows 8.1. Auf dem Server habe ich erfolgreich eine Verbindung aufgebaut und es erscheint verbunden mit Server IP10.0.0.1
Die Windows Firewall ist bei beiden Rechnern ausgeschaltet. Die Portweiterleitung ist auf einer Fritz!Box 7390 eingerichtet auf den Port Udp 1194.
Die sebguhl.ddns.net lässt sich anpingen. Der Verbindungsversuch erfolgt vom Client nicht über das lokale Netzwerk.
Die OpenVPN-gui.exe wird mit Administratorrechten gestartet. Die Fehlermeldung die dann ausgegeben wird ist:
Verbindung zu Client ist fehlgeschlagen!
Eine Log Datein wird erst gar nicht erzeugt. Folgender Test funktioniert nicht:
C:\Programme\OpenVPN\config>..\bin\openvpn.exe --config server.ovpn
Die config - Datei vom Client sieht so aus:
remote sebguhl.ddns.net
# die öffentliche IP (oder dyndns-Name) des Routers auf der Server-Seite
port 1194
# legt den zu verwendenen Port fest (muß gleich dem Port beim Server sein)
proto udp
dev tap
dev-node openvpn
# Achtung: Groß-/Kleinschreibung beachten
tls-client
# "ich bin der Client"
ca "C:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt"
# vollständige Pfadangabe ergänzen, doppelte "\\" beachten
key "C:\\Programme\\OpenVPN\\easy-rsa\\keys\\vpnclient01.key"
cert "C:\\Programme\\OpenVPN\\easy-rsa\\keys\\vpnclient01.crt"
ns-cert-type server
# der Server überprüft die Zertifikate auf Gültigkeit
comp-lzo
pull
# "pull" muß in der Client-config stehen, damit die push-Anweisungen
# vom Server geholt werden
Die folgenden Einstellungen dienen dazu, die Verbindung stabiler gegen Verbindungsabbrüche zu machen und legt die Protokollierstufe fest. Die client.ovpn kann optional mit diesen ergänzt werden.
Code:
tun-mtu 1500
tun-mtu-extra 32
# siehe Hinweis oben: wenn "tun-mtu" und "tun-mtu-extra",
# dann in beiden configs (Server + Client)
verb 3
mute 50
persist-key
persist-tun
log-append openvpn.logBitte um Hilfe!
VG Mike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 254857
Url: https://administrator.de/contentid/254857
Printed on: April 24, 2024 at 23:04 o'clock
14 Comments
Latest comment
Hi,
noch ein paar offene Fragen...
- wie geht der remote Client ins Internet ?
- wie sehen die Routingprotokolle auf dem Server aus ?
- gibt es Logs auf dem Server ?
Gruß orcape
noch ein paar offene Fragen...
- wie geht der remote Client ins Internet ?
- wie sehen die Routingprotokolle auf dem Server aus ?
- gibt es Logs auf dem Server ?
Gruß orcape
Hi,
der Client geht über eine Tethering Verbindung über mein Smartphone ins Internet.
Serverlogs und Protokolle da wüsste ich gerne wie ich die einsehen kann. Wie gesagt auch am Server bekomme ich keine Log Datei angezeigt. Es kommt die Meldung ob ich eine erstellen möchte ( wenn ich das aus dem Kontextmenü der GUI auswähle).
Ist der erste Tunnel
Gruß
der Client geht über eine Tethering Verbindung über mein Smartphone ins Internet.
Serverlogs und Protokolle da wüsste ich gerne wie ich die einsehen kann. Wie gesagt auch am Server bekomme ich keine Log Datei angezeigt. Es kommt die Meldung ob ich eine erstellen möchte ( wenn ich das aus dem Kontextmenü der GUI auswähle).
Ist der erste Tunnel
Gruß
der Client geht über eine Tethering Verbindung über mein Smartphone ins Internet.
..das könnte so schon zum Problem werden.Die UMTS-Provider machen in der Regel NAPT (Network Address Port Translation).
Es läuft, wenn Du Glück hast ein OpenVPN-Client, den Server brauchst Du gar nicht erst versuchen, da kein DynDNS funktioniert.
Du solltest die Konfiguration erst mal an einem normalen DSL, bzw. mit 2 verbundenen Rechnern im LAN testen (conf. entsprechend anpassen), bevor Du mit einem Smartphone a´ la Windows loslegst.
Gruß orcape
Grundlegende Hilfe dazu auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hallo,
leider komme ich nicht weiter und bitte euch um Hilfe!
Ich weis einfach nicht wo ich noch suchen soll!
Meine Config sieht nun so wie u.a. aus!
Der Test erfolgt nun nur lokal im eigenen Netz.
Die config - Datei vom Server sieht so aus:
Unter dem Befehl:
cmd.exe
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Dokumente und Einstellungen\dtsr>cd c:\Programme\OpenVPN
C:\Programme\OpenVPN\config>..\bin\openvpn.exe --config server.ovpn
kommt die Meldung:
Sun Nov 25 02:27:08 2007 us=783984 Initialization Sequence Completed
also alles bestens!
Beim starten der der openVPN Verbindung auf dem Server kommt dann:
Server ist nun verbunden
Zugewiesene IP: 10.0.0.1
also ok!
Die config - Datei vom Client sieht so aus:
Beim Versuch die Verbindung aufzubauen kommt nur das weiße Fenster mit der Meldung:
Verbindung zu client ist fehlgeschlagen.
Die Windows Firewall ist ausgestellt!
hmmm...? Hilfe wäre super
VG
Mike
leider komme ich nicht weiter und bitte euch um Hilfe!
Ich weis einfach nicht wo ich noch suchen soll!
Meine Config sieht nun so wie u.a. aus!
Der Test erfolgt nun nur lokal im eigenen Netz.
Die config - Datei vom Server sieht so aus:
port 1194
# legt den zu verwendenen Port fest
proto udp
# Verwendung des Protokolls UDP (Standard)
mode server
# "ich bin der Server"
dev tap
# verwendet das tap-device
dev-node openvpn
# "openvpn" heißt mein virtueller und umbenannter Netzwerkadapter
# Achtung: hierbei wird Groß-/Kleinschreibung unterschieden !!!
ifconfig 10.0.0.1 255.255.255.0
# legt die IP-Adresse und Subnetzmaske für den Server fest
ifconfig-pool 10.0.0.2 10.0.0.9
# legt einen IP-Adresspool für die Clients fest.
# Der Bereich kann an die eigenen Bedürfnisse bzw. an die Anzahl der Clients angepaßt werden.
client-to-client
# die Clients (falls mehrere) können sich untereinander sehen
tls-server
# schaltet TLS ein und Rolle des Servers beim Handshake
dh c:\\Programme\\OpenVPN\\easy-rsa\\keys\\dh1024.pem
# Pfad zur Datei dh1024.pem (die doppelten Backslashes müssen sein!)
ca c:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt
# Pfad zur Datei ca.crt (die doppelten Backslashes müssen sein!)
key c:\\Programme\\OpenVPN\\easy-rsa\\keys\\server01.key
# Pfad zur Datei server1.key (die doppelten Backslashes müssen sein!)
cert c:\\Programme\\OpenVPN\\easy-rsa\\keys\\server01.crt
# Pfad zur Datei server1.crt (die doppelten Backslashes müssen sein!)
comp-lzo
# Einschalten der Komprimierung
push "route-gateway 10.0.0.1"
# legt beim Client das Gateway für Verbindungen in das Netz des Servers fest
# als route-gateway muß die IP-Adresse des virtuellen Netzwerkadapters des
# Servers angegeben werden, also die VPN-IP (siehe auch oben bei "ifconfig...") Unter dem Befehl:
cmd.exe
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Dokumente und Einstellungen\dtsr>cd c:\Programme\OpenVPN
C:\Programme\OpenVPN\config>..\bin\openvpn.exe --config server.ovpn
kommt die Meldung:
Sun Nov 25 02:27:08 2007 us=783984 Initialization Sequence Completed
also alles bestens!
Beim starten der der openVPN Verbindung auf dem Server kommt dann:
Server ist nun verbunden
Zugewiesene IP: 10.0.0.1
also ok!
Die config - Datei vom Client sieht so aus:
client
remote 192.168.178.21 1194
port 1194
proto udp
dev tap
dev-node openvpn
tls-client
ca "C:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt"
key "C:\\Programme\\OpenVPN\\easy-rsa\\keys\\vpnclient01.key"
cert "C:\\Programme\\OpenVPN\\easy-rsa\\keys\\vpnclient01.crt"
ns-cert-type server
comp-lzo
pull
Code:
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun
log-append openvpn.logBeim Versuch die Verbindung aufzubauen kommt nur das weiße Fenster mit der Meldung:
Verbindung zu client ist fehlgeschlagen.
Die Windows Firewall ist ausgestellt!
hmmm...? Hilfe wäre super
VG
Mike
Die config - Datei vom Client sieht so aus:
remote 192.168.178.21 1194
das ist die private IP Deiner Fritzbox, wie soll da der Client eine Verbindung initiieren.remote 192.168.178.21 1194
Du brauchst da schon Deinen DynDNS-Eintrag oder eine Feste-IP auf dem WAN-Interface Deiner Fritte.
Auch wenn Du da ein Portforwarding gemacht hast.
Gruß orcape
Kollege Orcape hat Recht. Beim Server sieht soweit alles gut aus...
Unter remote a.b.c.d wir die Ziel IP Adresse des Servers definiert. Das ist per se erstmal richtig !
Da du ja schreibst du hast das in einem Testaufbau auf gesetzt wäre wichtig zu erfahren WO denn jetzt der Client angeschlossen ist bzw. WIE der im Testaufbau mit deinem Server direkt kommuniziert ??
Bedenke das beide Geräte (Server und Cient) nicht im selben IP Segment liegen dürfen.
Du hast zudem noch einen Kardinalsfehler in deiner Server Konfig, denn dort fehlt das Push Route Kommando das das lokale LAN des Servers an den Client in die Route Table sendet.
Deine Server Konfig oben bewirkt das ein VPN Client einzig nur den Server per VPN erreichen kann und sonst nix. Wenn dir das reicht ist das OK und kein Fehler.
Die Pool Kommandos in interne IP Zuweisung (Zeile 17 und 20) ist übrigens vollkommen überflüssig. Das kann man mit einer einzigen simplen Zeile server 10.0.0.0 255.255.255.0 erledigen. Den Rest erledigt dann OVPN automatisch so das auch Zeile 45 damit obsolet ist !
Dein Grundproblem ist aber das der Client hier scheinbar NICHT den Server IP seitig erreichen kann. Das siehst du an den vollkommen fehlenden Log Einträgen bei einem Verbindungsversuch !!
Ein fast sicheres Indiz das die UDP 1194er VPN Pakete entweder in der lokalen Client Firewall oder in der lokalen Server Firewall hängenbleiben !!
Ein typischer Winblows Fehler, denn denn die Winblows typische Netzwerk Detection kann das IP netzwerk des virtuellen Tunnel Adapters nicht zuordnen und nimmt dann ein öffentliches netzwerk an mit dem entsprechenden Profil. Das blockt aber gnadenlos jeden Traffic der eingehend ist.
Mit dem Ergebnis das du siehst !!
Konzentrier dich also auf den Bereich oder deaktiviere komplett das Firewalling bei beiden !
Unter remote a.b.c.d wir die Ziel IP Adresse des Servers definiert. Das ist per se erstmal richtig !
Da du ja schreibst du hast das in einem Testaufbau auf gesetzt wäre wichtig zu erfahren WO denn jetzt der Client angeschlossen ist bzw. WIE der im Testaufbau mit deinem Server direkt kommuniziert ??
Bedenke das beide Geräte (Server und Cient) nicht im selben IP Segment liegen dürfen.
Du hast zudem noch einen Kardinalsfehler in deiner Server Konfig, denn dort fehlt das Push Route Kommando das das lokale LAN des Servers an den Client in die Route Table sendet.
Deine Server Konfig oben bewirkt das ein VPN Client einzig nur den Server per VPN erreichen kann und sonst nix. Wenn dir das reicht ist das OK und kein Fehler.
Die Pool Kommandos in interne IP Zuweisung (Zeile 17 und 20) ist übrigens vollkommen überflüssig. Das kann man mit einer einzigen simplen Zeile server 10.0.0.0 255.255.255.0 erledigen. Den Rest erledigt dann OVPN automatisch so das auch Zeile 45 damit obsolet ist !
Dein Grundproblem ist aber das der Client hier scheinbar NICHT den Server IP seitig erreichen kann. Das siehst du an den vollkommen fehlenden Log Einträgen bei einem Verbindungsversuch !!
Ein fast sicheres Indiz das die UDP 1194er VPN Pakete entweder in der lokalen Client Firewall oder in der lokalen Server Firewall hängenbleiben !!
Ein typischer Winblows Fehler, denn denn die Winblows typische Netzwerk Detection kann das IP netzwerk des virtuellen Tunnel Adapters nicht zuordnen und nimmt dann ein öffentliches netzwerk an mit dem entsprechenden Profil. Das blockt aber gnadenlos jeden Traffic der eingehend ist.
Mit dem Ergebnis das du siehst !!
Konzentrier dich also auf den Bereich oder deaktiviere komplett das Firewalling bei beiden !
@aqui
..auch unterschiedliche IP-Netze ?
Mit der Winblows-Firewall wirst Du wohl nicht ganz falsch liegen.
Gruß orcape
Bedenke das beide Geräte (Server und Cient) nicht im selben IP Segment liegen dürfen.
TAP-Device..auch unterschiedliche IP-Netze ?
Mit der Winblows-Firewall wirst Du wohl nicht ganz falsch liegen.
Der Test erfolgt nun nur lokal im eigenen Netz.
...das hatte ich überlesen.Gruß orcape
Hallo,
okay vielen Dank werde am Wochenende noch einmal alles versuchen!
Gruß
Mike
okay vielen Dank werde am Wochenende noch einmal alles versuchen!
Gruß
Mike
Wir sind gespannt....!
Hallo,
hier habe ich noch einmal die Server config etwas modifiziert:
Beide Firewalls habe ich auf den Win 8 PC´s per Befehl "netsh advfirewall set allprofiles state off"
ausgeschaltet!
Ich habe den UDP Port 1194 freigegeben!
Leider kommt immer nur noch das weis leere Fenster am Client mit der Fehlermeldung:
Verbindung zu Client fehlgeschlagen!
VG
Mike
hier habe ich noch einmal die Server config etwas modifiziert:
port 1194
# legt den zu verwendenen Port fest
proto udp
# Verwendung des Protokolls UDP (Standard)
mode server
# "ich bin der Server"
dev tap
# verwendet das tap-device
dev-node openvpn
# "openvpn" heißt mein virtueller und umbenannter Netzwerkadapter
# Achtung: hierbei wird Groß-/Kleinschreibung unterschieden !!!
server 10.0.0.0 255.255.255.0
client-to-client
# die Clients (falls mehrere) können sich untereinander sehen
tls-server
# schaltet TLS ein und Rolle des Servers beim Handshake
dh c:\\Programme\\OpenVPN\\easy-rsa\\keys\\dh1024.pem
# Pfad zur Datei dh1024.pem (die doppelten Backslashes müssen sein!)
ca c:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt
# Pfad zur Datei ca.crt (die doppelten Backslashes müssen sein!)
key c:\\Programme\\OpenVPN\\easy-rsa\\keys\\server01.key
# Pfad zur Datei server1.key (die doppelten Backslashes müssen sein!)
cert c:\\Programme\\OpenVPN\\easy-rsa\\keys\\server01.crt
# Pfad zur Datei server1.crt (die doppelten Backslashes müssen sein!)
comp-lzo
# Einschalten der Komprimierung
push "route-gateway 10.0.0.1"
# legt beim Client das Gateway für Verbindungen in das Netz des Servers fest
# als route-gateway muß die IP-Adresse des virtuellen Netzwerkadapters des
# Servers angegeben werden, also die VPN-IP (siehe auch oben bei "ifconfig...") Beide Firewalls habe ich auf den Win 8 PC´s per Befehl "netsh advfirewall set allprofiles state off"
ausgeschaltet!
Ich habe den UDP Port 1194 freigegeben!
Leider kommt immer nur noch das weis leere Fenster am Client mit der Fehlermeldung:
Verbindung zu Client fehlgeschlagen!
VG
Mike
Das Kommando push "route-gateway 10.0.0.1" ist definitiv falsch auf dem Server ! Dort sollte:
push "route 192.168.1.0 255.255.255.0" stehen !
Wobei die 192.168.1.0 hier das lokale LAN Netzwerk des Servers ist ! Das solltest du korrigieren.
Hilfreich wäre dann einmal das Server Log hier zu posten wenn du einen Verbindungsaufbau startest um zu sehen das eingehende OVPN Pakete (UDP 1194) dort überhaupt ankommen. Alternativ auch hier einen Sniffer wie Wireshark oder Windows NetMonitor laufen lassen.
Starte parallel auch mal einen Wireshark Sniffer auf dem Client und sieh mal nach ob überhaupt Antwortpakete vom OVPN Server kommen.
Grob sieht es so aus also ob zwischen Client und Server irgendwo ne Firewall oder NAT existiert die den Zugriff blockt !
Wie sieht den Testszenario aus ?
Wo ist der Client und wo ist der Server ? Sind da NAT Router / Firewalls dazwischen ? Ist das eine Real Life Umgebung ?
push "route 192.168.1.0 255.255.255.0" stehen !
Wobei die 192.168.1.0 hier das lokale LAN Netzwerk des Servers ist ! Das solltest du korrigieren.
Hilfreich wäre dann einmal das Server Log hier zu posten wenn du einen Verbindungsaufbau startest um zu sehen das eingehende OVPN Pakete (UDP 1194) dort überhaupt ankommen. Alternativ auch hier einen Sniffer wie Wireshark oder Windows NetMonitor laufen lassen.
Starte parallel auch mal einen Wireshark Sniffer auf dem Client und sieh mal nach ob überhaupt Antwortpakete vom OVPN Server kommen.
Grob sieht es so aus also ob zwischen Client und Server irgendwo ne Firewall oder NAT existiert die den Zugriff blockt !
Wie sieht den Testszenario aus ?
Wo ist der Client und wo ist der Server ? Sind da NAT Router / Firewalls dazwischen ? Ist das eine Real Life Umgebung ?
Hallo,
die Server log funktioniert leider nicht:
Wireshark zeigt keinen positiven echo request beim Verbindungsaufbau an! Ein einfacher ping per CMD jedoch schon und der Server ist über seine IP 192.168.178.21 erreichbar. Aber über die 10.0.0.1 wird der Ping abgelehnt.
Das Tablet (Client) zum Test ist einfach im lokalen WLAN Netz und der PC (Server) ist per LAN Kabel im lokalen Netzwerk. Der Router ist hier eine Fritz!Box 7290 WLAN. Beide können kommunizieren! Die Windows Firewalls sind abgestellt und selbst der UDP Port 1194 ist freigegeben!!
Die Logdatei funktionier bei beiden Rechnern nicht!?
hmm..?
Gruß
Mike
die Server log funktioniert leider nicht:
Options error: --server already defines an ifconfig-pool, so you can't also specify --ifconfig-pool explicitly
Use --help for more information.Wireshark zeigt keinen positiven echo request beim Verbindungsaufbau an! Ein einfacher ping per CMD jedoch schon und der Server ist über seine IP 192.168.178.21 erreichbar. Aber über die 10.0.0.1 wird der Ping abgelehnt.
Das Tablet (Client) zum Test ist einfach im lokalen WLAN Netz und der PC (Server) ist per LAN Kabel im lokalen Netzwerk. Der Router ist hier eine Fritz!Box 7290 WLAN. Beide können kommunizieren! Die Windows Firewalls sind abgestellt und selbst der UDP Port 1194 ist freigegeben!!
Die Logdatei funktionier bei beiden Rechnern nicht!?
hmm..?
Gruß
Mike
die Server log funktioniert leider nicht:
Warum nicht ?? Im Default ist das immer aktiv und du kannst den gesamten Login Prozess mitlesen ?Hast du das deaktiviert ?
Wireshark zeigt keinen positiven echo request beim Verbindungsaufbau an
Wiese "beim Verbindungsaufbau" ?? Da gibts ja gar keinen Ping. Pingen kannst du erst wenn die VPN Verbindung steht !Den echo request solltest du aber immer sehen können ! Wenn nicht dann werkelt irgendwo noch eine Firewall die ICMP blockt bei dir !
der Server ist über seine IP 192.168.178.21 erreichbar
Lokal im LAN oder wie ?? Das ist klar das das geht. Wichtig ist aber einzig der Ping übers VPN !Das Tablet (Client) zum Test ist einfach im lokalen WLAN Netz und der PC (Server) ist per LAN Kabel im lokalen Netzwerk.
Das kann so nicht gehen ! Der Client muss in einem separatem Netz sein wie es auch in Wirklichkeit der Fall ist. Ansonsten will der Server per "push route" die lokale Route an den Client schicken der im gleichen netz ist und das gibt dann ein Routing Problem da der Client das gleiche Netz dann einmal lokal und einmal remote sieht und die Verbindung abbricht.Die Logdatei funktionier bei beiden Rechnern nicht!?
Wie gesagt: WARUM nicht ?? Auch das ist schonmal nicht normal bei dir ! Irgendwas ist da ziemlich faul mit deiner Installation !
