16
OpenVPN im Bridged-Modus - In das dahinter stehendes LAN routen
Hallo!
Nachdem ich hier über Weihnachten tolle Hilfe bekommen hatte (siehe OpenVPN - Ethernet-Tunnel - VERIFY ERROR...), kann ich jetzt VPN-Verbindungen im Bridged-Modus mit OpenVPN herstellen. Dafür nochmals herzlichen Dank für die tolle Hilfe!
Nun stehe ich aber vor einem weiteren Problem: Nachdem ich die Verbindung herstelle, erreiche ich problemlos den OpenVPN-Server auf der anderen Seite. Allerdings erreiche ich das dahinter stehende LAN nicht, obwohl ich vom OpenVPN-Server eine IP-Adresse im selben Netzwerk erhalte.
Ich habe auf dem Client testweise eine Route gesetzt, die den Datenverkehr Richtung Netzwerk 192.168.70.0/255.255.255.0 über den OpenVPN-Server 192.168.70.205 schickt – ich kann trotzdem keinen Rechner außer dem OpenVPN-Server im entfernten Netzwerk erreichen.
Hier die Routen auf dem Client:
Demnach würde ich erwarten, dass ein Ping auf einen PC im LAN mit der IP-Adresse 192.168.70.2 durch die Route
in das entfernte LAN geht – tut es aber nicht.
Hier die OpenVPN-Konfigurationsdateien:
Server
Client
Was muss ich noch beachten, damit ich vom eingewählten Client das ganze Netzwerk erreiche?
Im Voraus besten Dank!
temuco
Nachdem ich hier über Weihnachten tolle Hilfe bekommen hatte (siehe OpenVPN - Ethernet-Tunnel - VERIFY ERROR...), kann ich jetzt VPN-Verbindungen im Bridged-Modus mit OpenVPN herstellen. Dafür nochmals herzlichen Dank für die tolle Hilfe!
Nun stehe ich aber vor einem weiteren Problem: Nachdem ich die Verbindung herstelle, erreiche ich problemlos den OpenVPN-Server auf der anderen Seite. Allerdings erreiche ich das dahinter stehende LAN nicht, obwohl ich vom OpenVPN-Server eine IP-Adresse im selben Netzwerk erhalte.
Ich habe auf dem Client testweise eine Route gesetzt, die den Datenverkehr Richtung Netzwerk 192.168.70.0/255.255.255.0 über den OpenVPN-Server 192.168.70.205 schickt – ich kann trotzdem keinen Rechner außer dem OpenVPN-Server im entfernten Netzwerk erreichen.
IP OpenVPN: 192.168.70.205
IP Client: 192.168.70.180 (vom OpenVPN vergeben) Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.42.129 192.168.42.109 10
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
169.254.0.0 255.255.0.0 Auf Verbindung 169.254.80.80 261
169.254.80.80 255.255.255.255 Auf Verbindung 169.254.80.80 261
169.254.255.255 255.255.255.255 Auf Verbindung 169.254.80.80 261
192.168.42.0 255.255.255.0 Auf Verbindung 192.168.42.109 266
192.168.42.109 255.255.255.255 Auf Verbindung 192.168.42.109 266
192.168.42.255 255.255.255.255 Auf Verbindung 192.168.42.109 266
192.168.70.0 255.255.255.0 Auf Verbindung 192.168.70.180 276
192.168.70.0 255.255.255.0 192.168.70.205 192.168.70.180 20
192.168.70.180 255.255.255.255 Auf Verbindung 192.168.70.180 276
192.168.70.255 255.255.255.255 Auf Verbindung 192.168.70.180 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 169.254.80.80 261
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.70.180 276
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.42.109 266
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 169.254.80.80 261
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.70.180 276
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.42.109 266 Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
192.168.70.0 255.255.255.0 192.168.70.205 192.168.70.180 20Hier die OpenVPN-Konfigurationsdateien:
Server
# Der gesamte Ethernet-Verkehr soll über den Tunnel fließen.
# OpenVPN soll in den Kofigurationsordner wechseln.
cd "C:/Program Files/OpenVPN/config/"
# Verwendetes Device für den Tunnel.
# Windows findet das Device selbst, sodass hier nur tap ohne die 0
# einzugeben ist.
dev tap
dev-node OpenVPN # Nicht notwendig. Der Vollständigkeit halber.
# Notwendig erst bei mehr als einem TAP-Adapter.
# Sicherstellen, dass Zertifikat mit der expliziten Schlüsselverwendung
# und erweiterten Schlüsselverwendung auf Basis der von RFC3280 beschrie-
# benen TLS-Regeln unterzeichnet wurde.
# Das ist eine wichtige Sicherheitsmaßnahme, um einen Man-in-the-Middle-
# Angriff zu vermeiden. Weitere Infos:
# http:{{comment_single_line_double_slash:0}}
remote-cert-tls client
# Port und Protokoll
port 1194
proto udp
# Paketgrößen
tun-mtu 1500
fragment 1300
mssfix
# Server
# Den Bereich 192.168.70.180 192.168.70.199 im DHCP ausschließen, da
# dieser von OpenVPN für die Adressvergabe neuer Clients verwendet wird.
server-bridge 192.168.70.205 255.255.255.0 192.168.70.180 192.168.70.199
push "dhcp-option DNS 192.168.70.203" # Funktioniert nur unter Windows.
push "dhcp-option WINS 192.168.70.203" # Funktioniert nur unter Windows.
; crl-verify crls/crl.pem # Sperrliste: Noch nicht aktiviert.
; duplicate-cn # Gleichzeitige Mehrfache Zertifikatsverwendung
# erlauben: Nicht erwünscht, daher abgeschaltet.
# Hinweis:
# server-bridge ist gleich zu setzen mit:
# mode server
# tls-server
# ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0
# push "route-gateway 192.168.70.0"
# Teilnehmer eines virtuellen Netzwerkes sollen sich untereinander sehen.
client-to-client
connect-freq 1 sec
keepalive 10 120
persist-key
persist-tun
# IPs merken.
ifconfig-pool-persist ipp.txt
#Zertifikat
ca certs/ca.crt
cert certs/openvpn.example.local.crt
key private/openvpn.example.local.key
# Diffie-Hellman-Parameter
dh dh2048.pem
# Kompression einschalten.
comp-lzo yes
# Debug-Level – Später herabsetzen.
verb 5Client
# Der gesamte Ethernet-Verkehr soll über den Tunnel fließen.
# OpenVPN soll in das Kofigurationsverzeichnis wechseln.
cd "C:/Program Files/OpenVPN/config/"
# IP des Gateways (OpenVPN-Server)
# Wir verwenden unseren DNS anstelle der IP-Adresse aaa.bbb.ccc.ddd.
remote openvpn.example.tld
# Verwendetes Device für den Tunnel.
# Windows findet das Device selbst, sodass hier nur tap ohne die 0
# einzugeben ist.
dev tap
dev-node OpenVPN # Nicht notwendig. Der Vollständigkeit halber.
# Notwendig erst bei mehr als einem TAP-Adapter.
# Sicherstellen, dass Zertifikat mit der expliziten Schlüsselverwendung
# und erweiterten Schlüsselverwendung auf Basis der von RFC3280 beschrie-
# benen TLS-Regeln unterzeichnet wurde.
# Das ist eine wichtige Sicherheitsmaßnahme, um einen Man-in-the-Middle-
# Angriff zu vermeiden. Weitere Infos:
# http:{{comment_single_line_double_slash:0}}
remote-cert-tls server
# TLS einschalten und Client-Rolle während der TLS-Aushandlung übernehmen.
# Vom Server gesendete Befehle akzeptieren.
# Die nächsten zwei Optionen könnten durch die Option Client ersetzt wer-den.
tls-client
pull
# Port und Protokoll
port 1194
proto udp
# Paketgrößen
tun-mtu 1500
fragment 1300
mssfix
#Zertifikat
pkcs12 certs/pcname.example.local.p12
# Kompression einschalten.
comp-lzo yes
# Debug-Level – Später herabsetzen.
verb 5Im Voraus besten Dank!
temuco
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 258920
Url: https://administrator.de/contentid/258920
Printed on: April 24, 2024 at 20:04 o'clock
16 Comments
Latest comment
Hi.
Gruß orcape
ich kann trotzdem keinen Rechner außer dem OpenVPN-Server im entfernten Netzwerk erreichen.
...und auf den Rechnern ist die Firewall aus ?Gruß orcape
Ich verwende auf beiden Rechnern die Windows-Firewall. Diese habe ich für die Einrichtung und Test stets deaktiviert und darüber hinaus bin ich als Administrator angemeldet. Erst wenn VPN richtig läuft, möchte ich mich um die Firewall und dann und die Ausführung der Clients mit normalen Benutzerrechten kümmern.
Nun habe ich in die Konfigurationsdatei des Servers folgende Zeile eingefügt, um den gesamten Netzwerkverkehr durch den Tunnel zu leiten:
Aber jetzt funktioniert nicht einmal ein normaler Ping zum VPN-Gateway 192.168.70.205, obwohl der TAP-Adapter des Client 192.168.70.180 richtigerweise zugewiesen bekommt.
Leider bin ich jetzt an einem anderen Ort (zuhause) und demnach in einem anderen Netzwerk als im Eröffnungsthread. Daher sieht "route print" etwas anderes aus.
Was mich zusätzlich beunruhigt, ist die Tatsache, dass das TAP-Gerät als "unidentifiziertes Netzwerk" aufgeführt wird. Ich denke, das wird ein Grund mit dafür sein, dass es nicht funktionieren will. Aber wie ändere ich das in "Domänennetzwerke" oder "Private Netzwerke"?
Nun habe ich in die Konfigurationsdatei des Servers folgende Zeile eingefügt, um den gesamten Netzwerkverkehr durch den Tunnel zu leiten:
push "redirect-gateway def1 local" Leider bin ich jetzt an einem anderen Ort (zuhause) und demnach in einem anderen Netzwerk als im Eröffnungsthread. Daher sieht "route print" etwas anderes aus.
Netz zuhause:
192.168.72.0/255.255.255.0
Standardgateway: 192.168.72.254
Client:
Netzwerkkarte (WLAN): 192.168.72.10
TAP: 192.168.70.180
Firmennetz:
192.168.70.0/255.255.255.0
Standardgateway: 192.168.70.254
Gateway:
Brücke: 192.168.70.205 0.0.0.0 0.0.0.0 192.168.72.254 192.168.72.10 20
0.0.0.0 128.0.0.0 192.168.70.205 192.168.70.180 20
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
128.0.0.0 128.0.0.0 192.168.70.205 192.168.70.180 20
169.254.0.0 255.255.0.0 Auf Verbindung 169.254.80.80 261
169.254.80.80 255.255.255.255 Auf Verbindung 169.254.80.80 261
169.254.255.255 255.255.255.255 Auf Verbindung 169.254.80.80 261
192.168.70.0 255.255.255.0 Auf Verbindung 192.168.70.180 276
192.168.70.0 255.255.255.0 192.168.70.205 192.168.70.180 20
192.168.70.180 255.255.255.255 Auf Verbindung 192.168.70.180 276
192.168.70.255 255.255.255.255 Auf Verbindung 192.168.70.180 276
192.168.72.0 255.255.255.0 Auf Verbindung 192.168.72.10 276
192.168.72.10 255.255.255.255 Auf Verbindung 192.168.72.10 276
192.168.72.255 255.255.255.255 Auf Verbindung 192.168.72.10 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.72.10 276
224.0.0.0 240.0.0.0 Auf Verbindung 169.254.80.80 261
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.70.180 276
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.72.10 276
255.255.255.255 255.255.255.255 Auf Verbindung 169.254.80.80 261
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.70.180 276Diese habe ich für die Einrichtung und Test stets deaktiviert und darüber hinaus bin ich als Administrator angemeldet.
Sorry, wenn Du das in den falschen Hals bekommen hast. Ich wollte damit keinesfalls Deinen Intellekt anzweifeln.Du wärst mit Sicherheit aber nicht der erste, der darüber stolpert, also sieh´s mal nicht so eng.
Zitat von @orcape:
> Diese habe ich für die Einrichtung und Test stets deaktiviert und darüber hinaus bin ich als Administrator
angemeldet.
Sorry, wenn Du das in den falschen Hals bekommen hast. Ich wollte damit keinesfalls Deinen Intellekt anzweifeln.
Du wärst mit Sicherheit aber nicht der erste, der darüber stolpert, also sieh´s mal nicht so eng.
> Diese habe ich für die Einrichtung und Test stets deaktiviert und darüber hinaus bin ich als Administrator
angemeldet.
Sorry, wenn Du das in den falschen Hals bekommen hast. Ich wollte damit keinesfalls Deinen Intellekt anzweifeln.
Du wärst mit Sicherheit aber nicht der erste, der darüber stolpert, also sieh´s mal nicht so eng.
Keinesfalls! Ich habe nichts in den falschen Hals bekommen, denn deine Frage ist berechtigt. Ich habe des öfteren Zeit vernichtet, weil ich eine Kleinigkeit übersehen habe. Da freue ich mich über jeden, der dabei über die Schulter guckt und mich auf meine Fehler aufmerksam macht.
Netz zu Hause
192.168.72.0/255.255.255.0Firmennetz
192.168.70.0/255.255.255.0...nun das kann denn gar nicht funktionieren.
Du bridgest mit dem TAP-Device die beiden Netze, also solltest Du das gleiche Netzwerk auf beiden Seiten des Tunnels verwenden.
Wenn das so laufen soll...
Es ist eigentlich gewollt. Der DHCP-Server hat einen Ausschlussbereich, der von OpenVPN für die Adressvergabe im
gleichen Netz verwendet wird (192.168.70.180 - 192.168.70.199). Die Clients sollen komplett in das Netz eingebunden
werden.
...solltest Du auf auf Clientseite das gleiche Netz verwenden.gleichen Netz verwendet wird (192.168.70.180 - 192.168.70.199). Die Clients sollen komplett in das Netz eingebunden
werden.
Die Nachteile sind Dir aber schon bekannt.
Gruß orcape
Danke! Ich werde das auch ausprobieren, aber meinem Verständnis nach muss der Client nicht zwingend im gleichen Netz sein – er ist das automatisch bei der Einwahl über das TAP-Device: Er bekommt eben eine Adresse im entfernten Netz zugewiesen, hier 192.168.70.180. So kenne ich das auch vom Windows Server.
Ich will nur einen Client anbinden – bei zwei Netzwerken (Standorten) sähe es anders aus.
Nochmals vielen Dank!
temuco
Ich will nur einen Client anbinden – bei zwei Netzwerken (Standorten) sähe es anders aus.
Nochmals vielen Dank!
temuco
Ich will nur einen Client anbinden – bei zwei Netzwerken (Standorten) sähe es anders aus.
Dann sollte sich der Client in eben diesem gebridgeden Netzwerk befinden.Wie problematisch das mit dem Routing in ein solches Netzwerk bei Dir wird, dazu kenne ich Dein Netzwerk leider zu wenig und habe leider auch keine Erfahrung was TAP-Devices betrifft.
Das ist auch der Grund, warum ich Dir dazu in Deinem letzten Thread das TUN-Device empfohlen habe.
Damit hatte ich bis Dato noch keine grösseren Probleme, was Routing in andere, angebunden Netzwerke betrifft.
Gruß orcape
Ich bin ein kleines Stück weiter. Ich werde das in einem anderen Beitrag erläutern, denn das könnte vielleicht auch andere "leidgeplagten" TAP-User interessieren.
Ich brauche die Brücke, da wir sogar einige NetBEUI-Anwendungen haben und auch Windows-Netzwerke von unterwegs administrieren wollen. Das machen wir bisher mit Windows-Mitteln, wollen aber weg davon, denn mit jeder neuen Windows-Version muss man sich die neuen Einfälle aus Redmond erstmals reinziehen, was nur Zeit, Geld und Nerven kostet. Wir sind eine kleine Firma und müssen daher optimieren: Da erschien mir OpenVPN genau die richtige Lösung: Betriebssystemunabhängig, stabil, dokumentiert, seit vielen Jahren am Markt und sogar kostenfrei.
Dass die Erfahrung mit Ethernet-Brücken nicht sonderlich groß bzw. die Dokumentation nicht hundertprozentig ist, erfahre ich jetzt nach und nach. Aber ich habe mich verbissen und möchte es zu Ende bringen.
Ich brauche die Brücke, da wir sogar einige NetBEUI-Anwendungen haben und auch Windows-Netzwerke von unterwegs administrieren wollen. Das machen wir bisher mit Windows-Mitteln, wollen aber weg davon, denn mit jeder neuen Windows-Version muss man sich die neuen Einfälle aus Redmond erstmals reinziehen, was nur Zeit, Geld und Nerven kostet. Wir sind eine kleine Firma und müssen daher optimieren: Da erschien mir OpenVPN genau die richtige Lösung: Betriebssystemunabhängig, stabil, dokumentiert, seit vielen Jahren am Markt und sogar kostenfrei.
Dass die Erfahrung mit Ethernet-Brücken nicht sonderlich groß bzw. die Dokumentation nicht hundertprozentig ist, erfahre ich jetzt nach und nach. Aber ich habe mich verbissen und möchte es zu Ende bringen.
Gut, ich habe mir die Mühe gegeben, das funktionierende Windows-VPN so einzustellen, dass es möglichst genau so tut wie OpenVPN. Dann habe ich mir die Routen beider nach der jeweiligen Einwahl gemerkt, um einen Vergleich zu machen. Diese lege ich hier a) als Bild nebeneinander, um leichter vergleichen zu können und b) als Text bei. Dabei zu vermerken, dass die Windows-VPN-Einwahl (links) funktioniert, bei OpenVPN (rechts) komme ich nur bis zum Gateway (192.168.70.205):
Windows-VPN-Einwahl - geht, erreiche alle PCS im enterten Netz. abc.def.ghi.jkl ist die statische IP-Adresse des Firmennetzes.
OpenVPN-Einwahl - erreiche nur den VPN-Gateway auf der anderen Seite (192.168.70.205).
Nun die Frage: Wie stelle ich Server- und Konfigurationsdateien ein, um das gewünschte Ergebnis zu erzielen?
Nochmals schönen Dank!
temuco
Windows-VPN-Einwahl - geht, erreiche alle PCS im enterten Netz. abc.def.ghi.jkl ist die statische IP-Adresse des Firmennetzes.
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.72.254 192.168.72.10 20
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
169.254.0.0 255.255.0.0 Auf Verbindung 169.254.80.80 261
169.254.80.80 255.255.255.255 Auf Verbindung 169.254.80.80 261
169.254.255.255 255.255.255.255 Auf Verbindung 169.254.80.80 261
192.168.70.0 255.255.255.0 192.168.70.205 192.168.70.180 21
192.168.70.180 255.255.255.255 Auf Verbindung 192.168.70.180 276
192.168.72.0 255.255.255.0 Auf Verbindung 192.168.72.10 276
192.168.72.10 255.255.255.255 Auf Verbindung 192.168.72.10 276
192.168.72.255 255.255.255.255 Auf Verbindung 192.168.72.10 276
abc.def.ghi.jkl 255.255.255.255 192.168.72.254 192.168.72.10 21
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.72.10 276
224.0.0.0 240.0.0.0 Auf Verbindung 169.254.80.80 261
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.70.180 276
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.72.10 276
255.255.255.255 255.255.255.255 Auf Verbindung 169.254.80.80 261
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.70.180 276 Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.72.254 192.168.72.10 20
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
169.254.0.0 255.255.0.0 Auf Verbindung 169.254.80.80 261
169.254.80.80 255.255.255.255 Auf Verbindung 169.254.80.80 261
169.254.255.255 255.255.255.255 Auf Verbindung 169.254.80.80 261
192.168.70.0 255.255.255.0 Auf Verbindung 192.168.70.180 276
192.168.70.180 255.255.255.255 Auf Verbindung 192.168.70.180 276
192.168.70.255 255.255.255.255 Auf Verbindung 192.168.70.180 276
192.168.72.0 255.255.255.0 Auf Verbindung 192.168.72.10 276
192.168.72.10 255.255.255.255 Auf Verbindung 192.168.72.10 276
192.168.72.255 255.255.255.255 Auf Verbindung 192.168.72.10 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.72.10 276
224.0.0.0 240.0.0.0 Auf Verbindung 169.254.80.80 261
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.70.180 276
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.72.10 276
255.255.255.255 255.255.255.255 Auf Verbindung 169.254.80.80 261
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.70.180 276Nun die Frage: Wie stelle ich Server- und Konfigurationsdateien ein, um das gewünschte Ergebnis zu erzielen?
Nochmals schönen Dank!
temuco
In Deinem ersten Thread schreibst Du, das das ganze unter Windows8.1 laufen soll.
Hast Du Dir schon mal Gedanken darüber gemacht, das ganze OpenVPN-Szenario auf Routern zu implementieren, wo in der Regel ein ordentliches Linux läuft und die Möglichkeiten nicht so eingeschränkt sind wie auf den Windows Kisten.
Bei den von Dir erwähnten Notebooks ist das allerdings nicht machbar und wohl auch nicht notwendig.
Einen Windows Client, gar noch ein Notebook, im OpenVPN-Umfeld als Router zu nutzen, ist denn wohl auch nicht so richtig wirklich sinnvoll.
Leider hast Du, was Deine Netzwerk-Konfiguration betrifft, auch nicht so wirklich viel gepostet.
Gruß orcape
Hast Du Dir schon mal Gedanken darüber gemacht, das ganze OpenVPN-Szenario auf Routern zu implementieren, wo in der Regel ein ordentliches Linux läuft und die Möglichkeiten nicht so eingeschränkt sind wie auf den Windows Kisten.
Bei den von Dir erwähnten Notebooks ist das allerdings nicht machbar und wohl auch nicht notwendig.
Einen Windows Client, gar noch ein Notebook, im OpenVPN-Umfeld als Router zu nutzen, ist denn wohl auch nicht so richtig wirklich sinnvoll.
Leider hast Du, was Deine Netzwerk-Konfiguration betrifft, auch nicht so wirklich viel gepostet.
Gruß orcape
Es muss auf Windows-PCs laufen, denn das ist unsere Umgebung. Der OpenVPN-Server (des weiteren VPN-Gateway – gefällt mir besser) soll virtuell in einer HYPER-V-Umgebung unter Windows 8.1 laufen, was bereits der Fall ist. Als kleine Firma wollen wir uns nicht noch mit Linux beschäftigen, sondern in unserer vertrauten Umgebung bleiben.
Ich wüsste nicht, was netzwerktechnisch unter Windows so eingeschränkt sein soll, dass ein VPN nicht möglich wäre. Wie bereits beschrieben, wird die VPN-Verbindung zuverlässig aufgebaut: Der TAP-Device des Client bekommt eine IP-Adresse vom VPN-Gateway zugewiesen. Diese ist in diesem Fall die erste des reservierten Pools und lautet 192.168.70.180 – also eine im eigenen Netzwerk. Bis dahin alles wie gewünscht.
Die Routen am Client sehen aber nicht genau so aus, wie die Routen einer bei uns noch verwendeten alten Windows-VPN-Einwahl. Daher habe ich folgendes gemacht: VPN-Verbindung mit OpenVPN aufgebaut und die Routen so verändert, dass diese bis ein paar "Metrics" genau so aussehen:
Ein "tracert" auf den VPN-Gateway funktioniert, so dass der Client die richtige Route nimmt:
Ein "tracert" auf einem PC hinter dem VPN-Gateway endet beim VPN-Gateway:
Daher habe ich , so wie ich es jetzt sehe, ein Routing-Problem auf der Seite des VPN-Gateways.^Das werde ich mir genauer anschauen, aber trotzdem wäre ich jedem für einen Tipp dankbar.
Danke und schönen Abend!
temuco
Ich wüsste nicht, was netzwerktechnisch unter Windows so eingeschränkt sein soll, dass ein VPN nicht möglich wäre. Wie bereits beschrieben, wird die VPN-Verbindung zuverlässig aufgebaut: Der TAP-Device des Client bekommt eine IP-Adresse vom VPN-Gateway zugewiesen. Diese ist in diesem Fall die erste des reservierten Pools und lautet 192.168.70.180 – also eine im eigenen Netzwerk. Bis dahin alles wie gewünscht.
Die Routen am Client sehen aber nicht genau so aus, wie die Routen einer bei uns noch verwendeten alten Windows-VPN-Einwahl. Daher habe ich folgendes gemacht: VPN-Verbindung mit OpenVPN aufgebaut und die Routen so verändert, dass diese bis ein paar "Metrics" genau so aussehen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.72.254 192.168.72.10 50
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
169.254.0.0 255.255.0.0 Auf Verbindung 169.254.80.80 261
169.254.80.80 255.255.255.255 Auf Verbindung 169.254.80.80 261
169.254.255.255 255.255.255.255 Auf Verbindung 169.254.80.80 261
192.168.70.0 255.255.255.0 192.168.70.205 192.168.70.180 21
192.168.70.180 255.255.255.255 Auf Verbindung 192.168.70.180 276
192.168.72.0 255.255.255.0 Auf Verbindung 192.168.72.10 276
192.168.72.10 255.255.255.255 Auf Verbindung 192.168.72.10 276
192.168.72.255 255.255.255.255 Auf Verbindung 192.168.72.10 276
abc.def.ghi.jkl 255.255.255.255 192.168.72.254 192.168.72.10 41
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.72.10 276
224.0.0.0 240.0.0.0 Auf Verbindung 169.254.80.80 261
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.70.180 276
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.72.10 276
255.255.255.255 255.255.255.255 Auf Verbindung 169.254.80.80 261
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.70.180 276C:\!>tracert 192.168.70.205
Routenverfolgung zu OpenVPN [192.168.70.205]
über maximal 30 Hops:
1 33 ms 37 ms 31 ms OPENVPN [192.168.70.205]
Ablaufverfolgung beendet.C:\!>tracert 192.168.70.203
Routenverfolgung zu 192.168.70.203 über maximal 30 Hops
1 55 ms * 33 ms OPENVPN [192.168.70.205]
2 * * * Zeitüberschreitung der Anforderung.
3 ^CDanke und schönen Abend!
temuco
Hast Du mal einzelne push "route 192.168.70.203 ....." Einträge in der Server.conf für die einzelnen Clients versucht ?
Laut der geposteten .conf wohl noch nicht.
Gruß orcape
Laut der geposteten .conf wohl noch nicht.
Gruß orcape
Eigentlich bräuchte ich keine Route, da alles im selben Netz. Ich verstehe es einfach nicht!
Ich habe alles mögliche durchprobiert wie z. B.:
Alles in de unterschiedlichsten Varianten miteinander kombiniert.
Aber auch ohne "server-bridge"
Nichts funktioniert richtig.
Es kann nicht sein, dass die Verbindung mit Zertifikaten inkl. Zuweisung der IP-Adresse immer richtig und stabil funktioniert, während die einfache Erreichbarkeit eines Rechners im selben Netzwerk solche Probleme macht. Ich bin, ehrlich gesagt, genervt!
Ich habe alles mögliche durchprobiert wie z. B.:
server-bridge 192.168.70.205 255.255.255.0 192.168.70.180 192.168.70.199push "route 192.168.70.0 255.255.255.0 192.168.70.205" push "redirect-gateway def1 local" Aber auch ohne "server-bridge"
mode server
tls-server
ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0
push "route 192.168.70.0 255.255.255.0 192.168.70.205" mode server
tls-server
ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0
push "route-gateway 192.168.70.205" mode server
tls-server
ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0
push "route-gateway 192.168.70.205"
push "route 192.168.70.0 255.255.255.0 192.168.70.205" Es kann nicht sein, dass die Verbindung mit Zertifikaten inkl. Zuweisung der IP-Adresse immer richtig und stabil funktioniert, während die einfache Erreichbarkeit eines Rechners im selben Netzwerk solche Probleme macht. Ich bin, ehrlich gesagt, genervt!
Problem gelöst. Es war alles richtig und der Fehler lag an der Serverseite. Durch die Brücke werden beide Netzwerkadapter im Promiscuos-Modus geschaltet, was meine Hyper-V-Umgebung nicht mochte. Einfach die Netzwerkeinstellungen der virtuellen Maschine angepasst und alles OK.
Durch die Brücke werden beide Netzwerkadapter im Promiscuos-Modus geschaltet, was meine Hyper-V-Umgebung nicht
mochte.
Irgend etwas in der Richtung hatte ich schon vermutet, ich habe damit leider wenig Erfahrung.mochte.
Super das es läuft.
Ich bin auch überglücklich. Im Übrigen, der Befehl "server-bridge" funktioniert leider in meiner Betriebsart nicht richtig – ich bekomme damit nicht das Netzwerk hinter dem Gateway zu sehen, egal wie ich es anstelle. Daher habe ich die Befehle einzeln von Hand in der *.ovpn angegeben. So sieht meine Server-Config aus:
Danke und Grüße
temuco
# Der gesamte Ethernet-Verkehr soll über den Tunnel fließen.
# OpenVPN soll in den Kofigurationsordner wechseln.
cd "C:/Program Files/OpenVPN/config/"
# Verwendetes Device für den Tunnel.
# Windows findet das Device selbst, sodass hier nur tap ohne die 0
# einzugeben ist.
dev tap
dev-node OpenVPN # Nicht notwendig. Der Vollständigkeit halber.
# Notwendig erst bei mehr als einem TAP-Adapter.
# Sicherstellen, dass Zertifikat mit der expliziten Schlüsselverwendung
# und erweiterten Schlüsselverwendung auf Basis der von RFC3280 beschrie-
# benen TLS-Regeln unterzeichnet wurde.
# Das ist eine wichtige Sicherheitsmaßnahme, um einen Man-in-the-Middle-
# Angriff zu vermeiden. Weitere Infos:
# http:{{comment_single_line_double_slash:0}}
remote-cert-tls client
# Port und Protokoll
port 1194
proto udp
# Paketgrößen
tun-mtu 1500
fragment 1300
mssfix
# Server
# Den Bereich 192.168.70.180 192.168.70.199 im DHCP ausschließen, da
# dieser von OpenVPN für die Adressvergabe neuer Clients verwendet wird.
; server-bridge 192.168.70.205 255.255.255.0 192.168.70.180 192.168.70.199
; push "route 192.168.70.0 255.255.255.0 192.168.70.205"
; push "redirect-gateway def1 local"
; push "dhcp-option DNS 192.168.70.203" # Funktioniert nur unter Windows.
; push "dhcp-option WINS 192.168.70.203" # Funktioniert nur unter Windows.
# Hinweis:
# server-bridge sollte gleich mit den unten stehenden Befehlen zu setzen sein.
# Leider funktionierte server-bridge nicht, dafür aber die getrennten
# Befehle. Daher habe ich diese genommen, server-bridge bleibt jedoch
# zu Dokumentationszwecken oben stehen, aber auskommentiert.
mode server
tls-server
ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0
push "route 192.168.70.0 255.255.255.0 192.168.70.205"
; crl-verify crls/crl.pem # Sperrliste: Noch nicht aktiviert.
; duplicate-cn # Gleichzeitige Mehrfache Zertifikatsverwendung
# erlauben. Nicht erwünscht, daher abgeschaltet.
# Teilnehmer eines virtuellen Netzwerkes sollen sich untereinander sehen.
client-to-client
connect-freq 1 sec
keepalive 10 120
persist-key
persist-tun
# IPs merken.
ifconfig-pool-persist ipp.txt
#Zertifikate
ca certs/ca.crt
cert certs/openvpn.crt
key private/openvpn.key
# Diffie-Hellman-Parameter
dh dh2048.pem
# Kompression einschalten.
comp-lzo yes
# Debug-Level – Später herabsetzen.
verb 3temuco
