Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OpenVPN im Bridged-Modus - In das dahinter stehendes LAN routen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: temuco

temuco (Level 1) - Jetzt verbinden

05.01.2015 um 15:21 Uhr, 1796 Aufrufe, 16 Kommentare

Hallo!

Nachdem ich hier über Weihnachten tolle Hilfe bekommen hatte (siehe http://www.administrator.de/frage/openvpn-ethernet-tunnel-verify-error- ...), kann ich jetzt VPN-Verbindungen im Bridged-Modus mit OpenVPN herstellen. Dafür nochmals herzlichen Dank für die tolle Hilfe!

Nun stehe ich aber vor einem weiteren Problem: Nachdem ich die Verbindung herstelle, erreiche ich problemlos den OpenVPN-Server auf der anderen Seite. Allerdings erreiche ich das dahinter stehende LAN nicht, obwohl ich vom OpenVPN-Server eine IP-Adresse im selben Netzwerk erhalte.

Ich habe auf dem Client testweise eine Route gesetzt, die den Datenverkehr Richtung Netzwerk 192.168.70.0/255.255.255.0 über den OpenVPN-Server 192.168.70.205 schickt – ich kann trotzdem keinen Rechner außer dem OpenVPN-Server im entfernten Netzwerk erreichen.
01.
IP OpenVPN: 192.168.70.205 
02.
IP Client: 192.168.70.180 (vom OpenVPN vergeben)
Hier die Routen auf dem Client:
01.
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik 
02.
          0.0.0.0          0.0.0.0   192.168.42.129   192.168.42.109     10 
03.
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306 
04.
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306 
05.
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306 
06.
      169.254.0.0      255.255.0.0   Auf Verbindung     169.254.80.80    261 
07.
    169.254.80.80  255.255.255.255   Auf Verbindung     169.254.80.80    261 
08.
  169.254.255.255  255.255.255.255   Auf Verbindung     169.254.80.80    261 
09.
     192.168.42.0    255.255.255.0   Auf Verbindung    192.168.42.109    266 
10.
   192.168.42.109  255.255.255.255   Auf Verbindung    192.168.42.109    266 
11.
   192.168.42.255  255.255.255.255   Auf Verbindung    192.168.42.109    266 
12.
     192.168.70.0    255.255.255.0   Auf Verbindung    192.168.70.180    276 
13.
     192.168.70.0    255.255.255.0   192.168.70.205   192.168.70.180     20 
14.
   192.168.70.180  255.255.255.255   Auf Verbindung    192.168.70.180    276 
15.
   192.168.70.255  255.255.255.255   Auf Verbindung    192.168.70.180    276 
16.
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306 
17.
        224.0.0.0        240.0.0.0   Auf Verbindung     169.254.80.80    261 
18.
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.70.180    276 
19.
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.42.109    266 
20.
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306 
21.
  255.255.255.255  255.255.255.255   Auf Verbindung     169.254.80.80    261 
22.
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.70.180    276 
23.
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.42.109    266
Demnach würde ich erwarten, dass ein Ping auf einen PC im LAN mit der IP-Adresse 192.168.70.2 durch die Route
01.
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik 
02.
     192.168.70.0    255.255.255.0   192.168.70.205   192.168.70.180     20
in das entfernte LAN geht – tut es aber nicht.

Hier die OpenVPN-Konfigurationsdateien:

Server
01.
# Der gesamte Ethernet-Verkehr soll über den Tunnel fließen. 
02.
 
03.
# OpenVPN soll in den Kofigurationsordner wechseln. 
04.
cd "C:/Program Files/OpenVPN/config/" 
05.
 
06.
# Verwendetes Device für den Tunnel. 
07.
# Windows findet das Device selbst, sodass hier nur tap ohne die 0 
08.
# einzugeben ist. 
09.
dev tap 
10.
dev-node OpenVPN            # Nicht notwendig. Der Vollständigkeit halber. 
11.
                            # Notwendig erst bei mehr als einem TAP-Adapter. 
12.
 
13.
# Sicherstellen, dass Zertifikat mit der expliziten Schlüsselverwendung 
14.
# und erweiterten Schlüsselverwendung auf Basis der von RFC3280 beschrie- 
15.
# benen TLS-Regeln unterzeichnet wurde. 
16.
# Das ist eine wichtige Sicherheitsmaßnahme, um einen Man-in-the-Middle- 
17.
# Angriff zu vermeiden. Weitere Infos: 
18.
# http://openvpn.net/index.php/open-source/documentation/howto.html#mitmt 
19.
remote-cert-tls client 
20.
  
21.
# Port und Protokoll 
22.
port 1194 
23.
proto udp 
24.
 
25.
# Paketgrößen 
26.
tun-mtu 1500 
27.
fragment 1300 
28.
mssfix 
29.
 
30.
# Server 
31.
# Den Bereich 192.168.70.180 192.168.70.199 im DHCP ausschließen, da 
32.
# dieser von OpenVPN für die Adressvergabe neuer Clients verwendet wird. 
33.
server-bridge 192.168.70.205 255.255.255.0 192.168.70.180 192.168.70.199 
34.
push "dhcp-option DNS 192.168.70.203"     # Funktioniert nur unter Windows. 
35.
push "dhcp-option WINS 192.168.70.203"    # Funktioniert nur unter Windows. 
36.
; crl-verify crls/crl.pem   # Sperrliste: Noch nicht aktiviert. 
37.
; duplicate-cn              # Gleichzeitige Mehrfache Zertifikatsverwendung 
38.
                            # erlauben: Nicht erwünscht, daher abgeschaltet. 
39.
 
40.
# Hinweis: 
41.
# server-bridge ist gleich zu setzen mit: 
42.
# mode server 
43.
# tls-server	 
44.
# ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0 
45.
# push "route-gateway 192.168.70.0" 
46.
 
47.
# Teilnehmer eines virtuellen Netzwerkes sollen sich untereinander sehen. 
48.
client-to-client 
49.
 
50.
connect-freq 1 sec 
51.
keepalive 10 120 
52.
persist-key 
53.
persist-tun 
54.
 
55.
# IPs merken. 
56.
ifconfig-pool-persist ipp.txt 
57.
 
58.
#Zertifikat 
59.
ca certs/ca.crt 
60.
cert certs/openvpn.example.local.crt 
61.
key private/openvpn.example.local.key 
62.
 
63.
# Diffie-Hellman-Parameter 
64.
dh dh2048.pem 
65.
 
66.
# Kompression einschalten. 
67.
comp-lzo yes 
68.
 
69.
# Debug-Level – Später herabsetzen. 
70.
verb 5
Client
01.
# Der gesamte Ethernet-Verkehr soll über den Tunnel fließen. 
02.
 
03.
# OpenVPN soll in das Kofigurationsverzeichnis wechseln. 
04.
cd "C:/Program Files/OpenVPN/config/" 
05.
 
06.
# IP des Gateways (OpenVPN-Server) 
07.
# Wir verwenden unseren DNS anstelle der IP-Adresse aaa.bbb.ccc.ddd. 
08.
remote openvpn.example.tld 
09.
 
10.
# Verwendetes Device für den Tunnel. 
11.
# Windows findet das Device selbst, sodass hier nur tap ohne die 0 
12.
# einzugeben ist. 
13.
dev tap 
14.
dev-node OpenVPN            # Nicht notwendig. Der Vollständigkeit halber. 
15.
                            # Notwendig erst bei mehr als einem TAP-Adapter. 
16.
 
17.
# Sicherstellen, dass Zertifikat mit der expliziten Schlüsselverwendung 
18.
# und erweiterten Schlüsselverwendung auf Basis der von RFC3280 beschrie- 
19.
# benen TLS-Regeln unterzeichnet wurde. 
20.
# Das ist eine wichtige Sicherheitsmaßnahme, um einen Man-in-the-Middle- 
21.
# Angriff zu vermeiden. Weitere Infos: 
22.
# http://openvpn.net/index.php/open-source/documentation/howto.html#mitmt 
23.
remote-cert-tls server 
24.
 
25.
# TLS einschalten und Client-Rolle während der TLS-Aushandlung übernehmen. 
26.
# Vom Server gesendete Befehle akzeptieren. 
27.
# Die nächsten zwei Optionen könnten durch die Option Client ersetzt wer-den. 
28.
tls-client 
29.
pull 
30.
 
31.
# Port und Protokoll 
32.
port 1194 
33.
proto udp 
34.
 
35.
# Paketgrößen 
36.
tun-mtu 1500 
37.
fragment 1300 
38.
mssfix 
39.
 
40.
#Zertifikat 
41.
pkcs12 certs/pcname.example.local.p12 
42.
 
43.
# Kompression einschalten. 
44.
comp-lzo yes 
45.
 
46.
# Debug-Level – Später herabsetzen. 
47.
verb 5
Was muss ich noch beachten, damit ich vom eingewählten Client das ganze Netzwerk erreiche?

Im Voraus besten Dank!

temuco
Mitglied: orcape
05.01.2015 um 19:06 Uhr
Hi.
ich kann trotzdem keinen Rechner außer dem OpenVPN-Server im entfernten Netzwerk erreichen.
...und auf den Rechnern ist die Firewall aus ?
Gruß orcape
Bitte warten ..
Mitglied: temuco
05.01.2015, aktualisiert um 19:57 Uhr
Ich verwende auf beiden Rechnern die Windows-Firewall. Diese habe ich für die Einrichtung und Test stets deaktiviert und darüber hinaus bin ich als Administrator angemeldet. Erst wenn VPN richtig läuft, möchte ich mich um die Firewall und dann und die Ausführung der Clients mit normalen Benutzerrechten kümmern.

Nun habe ich in die Konfigurationsdatei des Servers folgende Zeile eingefügt, um den gesamten Netzwerkverkehr durch den Tunnel zu leiten:
01.
push "redirect-gateway def1 local"
Aber jetzt funktioniert nicht einmal ein normaler Ping zum VPN-Gateway 192.168.70.205, obwohl der TAP-Adapter des Client 192.168.70.180 richtigerweise zugewiesen bekommt.

Leider bin ich jetzt an einem anderen Ort (zuhause) und demnach in einem anderen Netzwerk als im Eröffnungsthread. Daher sieht "route print" etwas anderes aus.

01.
Netz zuhause: 
02.
192.168.72.0/255.255.255.0 
03.
Standardgateway: 192.168.72.254 
04.
 
05.
Client: 
06.
Netzwerkkarte (WLAN): 192.168.72.10 
07.
TAP:                  192.168.70.180 
08.
 
09.
Firmennetz: 
10.
192.168.70.0/255.255.255.0 
11.
Standardgateway:      192.168.70.254 
12.
 
13.
Gateway: 
14.
Brücke:               192.168.70.205
01.
        0.0.0.0          0.0.0.0   192.168.72.254   192.168.72.10     20 
02.
        0.0.0.0        128.0.0.0   192.168.70.205  192.168.70.180     20 
03.
      127.0.0.0        255.0.0.0   Auf Verbindung       127.0.0.1    306 
04.
      127.0.0.1  255.255.255.255   Auf Verbindung       127.0.0.1    306 
05.
127.255.255.255  255.255.255.255   Auf Verbindung       127.0.0.1    306 
06.
      128.0.0.0        128.0.0.0   192.168.70.205  192.168.70.180     20 
07.
    169.254.0.0      255.255.0.0   Auf Verbindung   169.254.80.80    261 
08.
  169.254.80.80  255.255.255.255   Auf Verbindung   169.254.80.80    261 
09.
169.254.255.255  255.255.255.255   Auf Verbindung   169.254.80.80    261 
10.
   192.168.70.0    255.255.255.0   Auf Verbindung  192.168.70.180    276 
11.
   192.168.70.0    255.255.255.0   192.168.70.205  192.168.70.180     20 
12.
 192.168.70.180  255.255.255.255   Auf Verbindung  192.168.70.180    276 
13.
 192.168.70.255  255.255.255.255   Auf Verbindung  192.168.70.180    276 
14.
   192.168.72.0    255.255.255.0   Auf Verbindung   192.168.72.10    276 
15.
  192.168.72.10  255.255.255.255   Auf Verbindung   192.168.72.10    276 
16.
 192.168.72.255  255.255.255.255   Auf Verbindung   192.168.72.10    276 
17.
      224.0.0.0        240.0.0.0   Auf Verbindung       127.0.0.1    306 
18.
      224.0.0.0        240.0.0.0   Auf Verbindung   192.168.72.10    276 
19.
      224.0.0.0        240.0.0.0   Auf Verbindung   169.254.80.80    261 
20.
      224.0.0.0        240.0.0.0   Auf Verbindung  192.168.70.180    276 
21.
255.255.255.255  255.255.255.255   Auf Verbindung       127.0.0.1    306 
22.
255.255.255.255  255.255.255.255   Auf Verbindung   192.168.72.10    276 
23.
255.255.255.255  255.255.255.255   Auf Verbindung   169.254.80.80    261 
24.
255.255.255.255  255.255.255.255   Auf Verbindung  192.168.70.180    276
Was mich zusätzlich beunruhigt, ist die Tatsache, dass das TAP-Gerät als "unidentifiziertes Netzwerk" aufgeführt wird. Ich denke, das wird ein Grund mit dafür sein, dass es nicht funktionieren will. Aber wie ändere ich das in "Domänennetzwerke" oder "Private Netzwerke"?
Bitte warten ..
Mitglied: orcape
05.01.2015 um 20:10 Uhr
Diese habe ich für die Einrichtung und Test stets deaktiviert und darüber hinaus bin ich als Administrator angemeldet.
Sorry, wenn Du das in den falschen Hals bekommen hast. Ich wollte damit keinesfalls Deinen Intellekt anzweifeln.
Du wärst mit Sicherheit aber nicht der erste, der darüber stolpert, also sieh´s mal nicht so eng.
Bitte warten ..
Mitglied: temuco
05.01.2015 um 20:32 Uhr
Zitat von orcape:

> Diese habe ich für die Einrichtung und Test stets deaktiviert und darüber hinaus bin ich als Administrator
angemeldet.
Sorry, wenn Du das in den falschen Hals bekommen hast. Ich wollte damit keinesfalls Deinen Intellekt anzweifeln.
Du wärst mit Sicherheit aber nicht der erste, der darüber stolpert, also sieh´s mal nicht so eng.

Keinesfalls! Ich habe nichts in den falschen Hals bekommen, denn deine Frage ist berechtigt. Ich habe des öfteren Zeit vernichtet, weil ich eine Kleinigkeit übersehen habe. Da freue ich mich über jeden, der dabei über die Schulter guckt und mich auf meine Fehler aufmerksam macht.
Bitte warten ..
Mitglied: orcape
06.01.2015 um 09:52 Uhr
01.
Netz zu Hause 
02.
192.168.72.0/255.255.255.0
...und...
01.
Firmennetz 
02.
192.168.70.0/255.255.255.0

...nun das kann denn gar nicht funktionieren.
Du bridgest mit dem TAP-Device die beiden Netze, also solltest Du das gleiche Netzwerk auf beiden Seiten des Tunnels verwenden.
Wenn das so laufen soll...
Es ist eigentlich gewollt. Der DHCP-Server hat einen Ausschlussbereich, der von OpenVPN für die Adressvergabe im
gleichen Netz verwendet wird (192.168.70.180 - 192.168.70.199). Die Clients sollen komplett in das Netz eingebunden
werden.
...solltest Du auf auf Clientseite das gleiche Netz verwenden.
Die Nachteile sind Dir aber schon bekannt.
Gruß orcape
Bitte warten ..
Mitglied: temuco
06.01.2015 um 11:39 Uhr
Danke! Ich werde das auch ausprobieren, aber meinem Verständnis nach muss der Client nicht zwingend im gleichen Netz sein – er ist das automatisch bei der Einwahl über das TAP-Device: Er bekommt eben eine Adresse im entfernten Netz zugewiesen, hier 192.168.70.180. So kenne ich das auch vom Windows Server.

Ich will nur einen Client anbinden – bei zwei Netzwerken (Standorten) sähe es anders aus.

Nochmals vielen Dank!

temuco
Bitte warten ..
Mitglied: orcape
06.01.2015 um 12:18 Uhr
Ich will nur einen Client anbinden – bei zwei Netzwerken (Standorten) sähe es anders aus.
Dann sollte sich der Client in eben diesem gebridgeden Netzwerk befinden.
Wie problematisch das mit dem Routing in ein solches Netzwerk bei Dir wird, dazu kenne ich Dein Netzwerk leider zu wenig und habe leider auch keine Erfahrung was TAP-Devices betrifft.
Das ist auch der Grund, warum ich Dir dazu in Deinem letzten Thread das TUN-Device empfohlen habe.
Damit hatte ich bis Dato noch keine grösseren Probleme, was Routing in andere, angebunden Netzwerke betrifft.
Gruß orcape
Bitte warten ..
Mitglied: temuco
06.01.2015 um 12:38 Uhr
Ich bin ein kleines Stück weiter. Ich werde das in einem anderen Beitrag erläutern, denn das könnte vielleicht auch andere "leidgeplagten" TAP-User interessieren.

Ich brauche die Brücke, da wir sogar einige NetBEUI-Anwendungen haben und auch Windows-Netzwerke von unterwegs administrieren wollen. Das machen wir bisher mit Windows-Mitteln, wollen aber weg davon, denn mit jeder neuen Windows-Version muss man sich die neuen Einfälle aus Redmond erstmals reinziehen, was nur Zeit, Geld und Nerven kostet. Wir sind eine kleine Firma und müssen daher optimieren: Da erschien mir OpenVPN genau die richtige Lösung: Betriebssystemunabhängig, stabil, dokumentiert, seit vielen Jahren am Markt und sogar kostenfrei.

Dass die Erfahrung mit Ethernet-Brücken nicht sonderlich groß bzw. die Dokumentation nicht hundertprozentig ist, erfahre ich jetzt nach und nach. Aber ich habe mich verbissen und möchte es zu Ende bringen.
Bitte warten ..
Mitglied: temuco
06.01.2015 um 15:25 Uhr
Gut, ich habe mir die Mühe gegeben, das funktionierende Windows-VPN so einzustellen, dass es möglichst genau so tut wie OpenVPN. Dann habe ich mir die Routen beider nach der jeweiligen Einwahl gemerkt, um einen Vergleich zu machen. Diese lege ich hier a) als Bild nebeneinander, um leichter vergleichen zu können und b) als Text bei. Dabei zu vermerken, dass die Windows-VPN-Einwahl (links) funktioniert, bei OpenVPN (rechts) komme ich nur bis zum Gateway (192.168.70.205):

573bc3e9b09466d174fb36bad2c27e25 - Klicke auf das Bild, um es zu vergrößern

Windows-VPN-Einwahl - geht, erreiche alle PCS im enterten Netz. abc.def.ghi.jkl ist die statische IP-Adresse des Firmennetzes.
01.
   Netzwerkziel   Netzwerkmaske        Gateway  Schnittstelle Metrik 
02.
        0.0.0.0         0.0.0.0 192.168.72.254  192.168.72.10     20 
03.
      127.0.0.0       255.0.0.0 Auf Verbindung      127.0.0.1    306 
04.
      127.0.0.1 255.255.255.255 Auf Verbindung      127.0.0.1    306 
05.
127.255.255.255 255.255.255.255 Auf Verbindung      127.0.0.1    306 
06.
    169.254.0.0     255.255.0.0 Auf Verbindung  169.254.80.80    261 
07.
  169.254.80.80 255.255.255.255 Auf Verbindung  169.254.80.80    261 
08.
169.254.255.255 255.255.255.255 Auf Verbindung  169.254.80.80    261 
09.
   192.168.70.0   255.255.255.0 192.168.70.205 192.168.70.180     21 
10.
 192.168.70.180 255.255.255.255 Auf Verbindung 192.168.70.180    276    
11.
   192.168.72.0   255.255.255.0 Auf Verbindung  192.168.72.10    276 
12.
  192.168.72.10 255.255.255.255 Auf Verbindung  192.168.72.10    276 
13.
 192.168.72.255 255.255.255.255 Auf Verbindung  192.168.72.10    276 
14.
abc.def.ghi.jkl 255.255.255.255 192.168.72.254  192.168.72.10     21 
15.
      224.0.0.0       240.0.0.0 Auf Verbindung      127.0.0.1    306 
16.
      224.0.0.0       240.0.0.0 Auf Verbindung  192.168.72.10    276 
17.
      224.0.0.0       240.0.0.0 Auf Verbindung  169.254.80.80    261 
18.
      224.0.0.0       240.0.0.0 Auf Verbindung 192.168.70.180    276 
19.
255.255.255.255 255.255.255.255 Auf Verbindung      127.0.0.1    306 
20.
255.255.255.255 255.255.255.255 Auf Verbindung  192.168.72.10    276 
21.
255.255.255.255 255.255.255.255 Auf Verbindung  169.254.80.80    261 
22.
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.70.180    276
OpenVPN-Einwahl - erreiche nur den VPN-Gateway auf der anderen Seite (192.168.70.205).
01.
   Netzwerkziel   Netzwerkmaske        Gateway  Schnittstelle Metrik 
02.
        0.0.0.0         0.0.0.0 192.168.72.254  192.168.72.10     20 
03.
      127.0.0.0       255.0.0.0 Auf Verbindung      127.0.0.1    306 
04.
      127.0.0.1 255.255.255.255 Auf Verbindung      127.0.0.1    306 
05.
127.255.255.255 255.255.255.255 Auf Verbindung      127.0.0.1    306 
06.
    169.254.0.0     255.255.0.0 Auf Verbindung  169.254.80.80    261 
07.
  169.254.80.80 255.255.255.255 Auf Verbindung  169.254.80.80    261 
08.
169.254.255.255 255.255.255.255 Auf Verbindung  169.254.80.80    261 
09.
   192.168.70.0   255.255.255.0 Auf Verbindung 192.168.70.180    276 
10.
 192.168.70.180 255.255.255.255 Auf Verbindung 192.168.70.180    276 
11.
 192.168.70.255 255.255.255.255 Auf Verbindung 192.168.70.180    276 
12.
   192.168.72.0   255.255.255.0 Auf Verbindung  192.168.72.10    276 
13.
  192.168.72.10 255.255.255.255 Auf Verbindung  192.168.72.10    276 
14.
 192.168.72.255 255.255.255.255 Auf Verbindung  192.168.72.10    276 
15.
      224.0.0.0       240.0.0.0 Auf Verbindung      127.0.0.1    306 
16.
      224.0.0.0       240.0.0.0 Auf Verbindung  192.168.72.10    276 
17.
      224.0.0.0       240.0.0.0 Auf Verbindung  169.254.80.80    261 
18.
      224.0.0.0       240.0.0.0 Auf Verbindung 192.168.70.180    276 
19.
255.255.255.255 255.255.255.255 Auf Verbindung      127.0.0.1    306 
20.
255.255.255.255 255.255.255.255 Auf Verbindung  192.168.72.10    276 
21.
255.255.255.255 255.255.255.255 Auf Verbindung  169.254.80.80    261 
22.
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.70.180    276
Nun die Frage: Wie stelle ich Server- und Konfigurationsdateien ein, um das gewünschte Ergebnis zu erzielen?

Nochmals schönen Dank!

temuco
Bitte warten ..
Mitglied: orcape
06.01.2015 um 16:33 Uhr
In Deinem ersten Thread schreibst Du, das das ganze unter Windows8.1 laufen soll.
Hast Du Dir schon mal Gedanken darüber gemacht, das ganze OpenVPN-Szenario auf Routern zu implementieren, wo in der Regel ein ordentliches Linux läuft und die Möglichkeiten nicht so eingeschränkt sind wie auf den Windows Kisten.
Bei den von Dir erwähnten Notebooks ist das allerdings nicht machbar und wohl auch nicht notwendig.
Einen Windows Client, gar noch ein Notebook, im OpenVPN-Umfeld als Router zu nutzen, ist denn wohl auch nicht so richtig wirklich sinnvoll.
Leider hast Du, was Deine Netzwerk-Konfiguration betrifft, auch nicht so wirklich viel gepostet.
Gruß orcape
Bitte warten ..
Mitglied: temuco
06.01.2015 um 20:31 Uhr
Es muss auf Windows-PCs laufen, denn das ist unsere Umgebung. Der OpenVPN-Server (des weiteren VPN-Gateway – gefällt mir besser) soll virtuell in einer HYPER-V-Umgebung unter Windows 8.1 laufen, was bereits der Fall ist. Als kleine Firma wollen wir uns nicht noch mit Linux beschäftigen, sondern in unserer vertrauten Umgebung bleiben.

Ich wüsste nicht, was netzwerktechnisch unter Windows so eingeschränkt sein soll, dass ein VPN nicht möglich wäre. Wie bereits beschrieben, wird die VPN-Verbindung zuverlässig aufgebaut: Der TAP-Device des Client bekommt eine IP-Adresse vom VPN-Gateway zugewiesen. Diese ist in diesem Fall die erste des reservierten Pools und lautet 192.168.70.180 – also eine im eigenen Netzwerk. Bis dahin alles wie gewünscht.

Die Routen am Client sehen aber nicht genau so aus, wie die Routen einer bei uns noch verwendeten alten Windows-VPN-Einwahl. Daher habe ich folgendes gemacht: VPN-Verbindung mit OpenVPN aufgebaut und die Routen so verändert, dass diese bis ein paar "Metrics" genau so aussehen:

01.
   Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik 
02.
        0.0.0.0          0.0.0.0   192.168.72.254   192.168.72.10  50 
03.
      127.0.0.0        255.0.0.0   Auf Verbindung       127.0.0.1 306 
04.
      127.0.0.1  255.255.255.255   Auf Verbindung       127.0.0.1 306 
05.
127.255.255.255  255.255.255.255   Auf Verbindung       127.0.0.1 306 
06.
    169.254.0.0      255.255.0.0   Auf Verbindung   169.254.80.80 261 
07.
  169.254.80.80  255.255.255.255   Auf Verbindung   169.254.80.80 261 
08.
169.254.255.255  255.255.255.255   Auf Verbindung   169.254.80.80 261 
09.
   192.168.70.0    255.255.255.0   192.168.70.205  192.168.70.180  21 
10.
 192.168.70.180  255.255.255.255   Auf Verbindung  192.168.70.180 276 
11.
   192.168.72.0    255.255.255.0   Auf Verbindung   192.168.72.10 276 
12.
  192.168.72.10  255.255.255.255   Auf Verbindung   192.168.72.10 276 
13.
 192.168.72.255  255.255.255.255   Auf Verbindung   192.168.72.10 276 
14.
 abc.def.ghi.jkl  255.255.255.255   192.168.72.254  192.168.72.10  41 
15.
      224.0.0.0        240.0.0.0   Auf Verbindung       127.0.0.1 306 
16.
      224.0.0.0        240.0.0.0   Auf Verbindung   192.168.72.10 276 
17.
      224.0.0.0        240.0.0.0   Auf Verbindung   169.254.80.80 261 
18.
      224.0.0.0        240.0.0.0   Auf Verbindung  192.168.70.180 276 
19.
255.255.255.255  255.255.255.255   Auf Verbindung       127.0.0.1 306 
20.
255.255.255.255  255.255.255.255   Auf Verbindung   192.168.72.10 276 
21.
255.255.255.255  255.255.255.255   Auf Verbindung   169.254.80.80 261 
22.
255.255.255.255  255.255.255.255   Auf Verbindung  192.168.70.180 276
Ein "tracert" auf den VPN-Gateway funktioniert, so dass der Client die richtige Route nimmt:
01.
C:\!>tracert 192.168.70.205 
02.
 
03.
Routenverfolgung zu OpenVPN [192.168.70.205] 
04.
über maximal 30 Hops: 
05.
 
06.
  1    33 ms    37 ms    31 ms  OPENVPN [192.168.70.205] 
07.
 
08.
Ablaufverfolgung beendet.
Ein "tracert" auf einem PC hinter dem VPN-Gateway endet beim VPN-Gateway:
01.
C:\!>tracert 192.168.70.203 
02.
 
03.
Routenverfolgung zu 192.168.70.203 über maximal 30 Hops 
04.
 
05.
  1    55 ms     *       33 ms  OPENVPN [192.168.70.205] 
06.
  2     *        *        *     Zeitüberschreitung der Anforderung. 
07.
  3  ^C
Daher habe ich , so wie ich es jetzt sehe, ein Routing-Problem auf der Seite des VPN-Gateways.^Das werde ich mir genauer anschauen, aber trotzdem wäre ich jedem für einen Tipp dankbar.

Danke und schönen Abend!

temuco
Bitte warten ..
Mitglied: orcape
07.01.2015 um 19:25 Uhr
Hast Du mal einzelne push "route 192.168.70.203 ....." Einträge in der Server.conf für die einzelnen Clients versucht ?
Laut der geposteten .conf wohl noch nicht.
Gruß orcape
Bitte warten ..
Mitglied: temuco
07.01.2015 um 20:35 Uhr
Eigentlich bräuchte ich keine Route, da alles im selben Netz. Ich verstehe es einfach nicht!

Ich habe alles mögliche durchprobiert wie z. B.:
01.
server-bridge 192.168.70.205 255.255.255.0 192.168.70.180 192.168.70.199
01.
push "route 192.168.70.0 255.255.255.0 192.168.70.205"
01.
push "redirect-gateway def1 local"
Alles in de unterschiedlichsten Varianten miteinander kombiniert.

Aber auch ohne "server-bridge"
01.
mode server 
02.
tls-server	 
03.
ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0 
04.
push "route 192.168.70.0 255.255.255.0 192.168.70.205"
01.
mode server 
02.
tls-server	 
03.
ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0 
04.
push "route-gateway 192.168.70.205"
01.
mode server 
02.
tls-server	 
03.
ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0 
04.
push "route-gateway 192.168.70.205" 
05.
push "route 192.168.70.0 255.255.255.0 192.168.70.205"
Nichts funktioniert richtig.

Es kann nicht sein, dass die Verbindung mit Zertifikaten inkl. Zuweisung der IP-Adresse immer richtig und stabil funktioniert, während die einfache Erreichbarkeit eines Rechners im selben Netzwerk solche Probleme macht. Ich bin, ehrlich gesagt, genervt!
Bitte warten ..
Mitglied: temuco
08.01.2015 um 06:43 Uhr
Problem gelöst. Es war alles richtig und der Fehler lag an der Serverseite. Durch die Brücke werden beide Netzwerkadapter im Promiscuos-Modus geschaltet, was meine Hyper-V-Umgebung nicht mochte. Einfach die Netzwerkeinstellungen der virtuellen Maschine angepasst und alles OK.
Bitte warten ..
Mitglied: orcape
08.01.2015 um 17:23 Uhr
Durch die Brücke werden beide Netzwerkadapter im Promiscuos-Modus geschaltet, was meine Hyper-V-Umgebung nicht
mochte.
Irgend etwas in der Richtung hatte ich schon vermutet, ich habe damit leider wenig Erfahrung.
Super das es läuft.
Bitte warten ..
Mitglied: temuco
08.01.2015, aktualisiert um 17:41 Uhr
Ich bin auch überglücklich. Im Übrigen, der Befehl "server-bridge" funktioniert leider in meiner Betriebsart nicht richtig – ich bekomme damit nicht das Netzwerk hinter dem Gateway zu sehen, egal wie ich es anstelle. Daher habe ich die Befehle einzeln von Hand in der *.ovpn angegeben. So sieht meine Server-Config aus:
01.
# Der gesamte Ethernet-Verkehr soll über den Tunnel fließen. 
02.
 
03.
# OpenVPN soll in den Kofigurationsordner wechseln. 
04.
cd "C:/Program Files/OpenVPN/config/" 
05.
 
06.
# Verwendetes Device für den Tunnel. 
07.
# Windows findet das Device selbst, sodass hier nur tap ohne die 0 
08.
# einzugeben ist. 
09.
dev tap 
10.
dev-node OpenVPN            # Nicht notwendig. Der Vollständigkeit halber. 
11.
                            # Notwendig erst bei mehr als einem TAP-Adapter. 
12.
 
13.
# Sicherstellen, dass Zertifikat mit der expliziten Schlüsselverwendung 
14.
# und erweiterten Schlüsselverwendung auf Basis der von RFC3280 beschrie- 
15.
# benen TLS-Regeln unterzeichnet wurde. 
16.
# Das ist eine wichtige Sicherheitsmaßnahme, um einen Man-in-the-Middle- 
17.
# Angriff zu vermeiden. Weitere Infos: 
18.
# http://openvpn.net/index.php/open-source/documentation/howto.html#mitmt 
19.
remote-cert-tls client 
20.
  
21.
# Port und Protokoll 
22.
port 1194 
23.
proto udp 
24.
 
25.
# Paketgrößen 
26.
tun-mtu 1500 
27.
fragment 1300 
28.
mssfix 
29.
 
30.
# Server 
31.
# Den Bereich 192.168.70.180 192.168.70.199 im DHCP ausschließen, da 
32.
# dieser von OpenVPN für die Adressvergabe neuer Clients verwendet wird. 
33.
; server-bridge 192.168.70.205 255.255.255.0 192.168.70.180 192.168.70.199 
34.
; push "route 192.168.70.0 255.255.255.0 192.168.70.205" 
35.
; push "redirect-gateway def1 local" 
36.
; push "dhcp-option DNS 192.168.70.203"     # Funktioniert nur unter Windows. 
37.
; push "dhcp-option WINS 192.168.70.203"    # Funktioniert nur unter Windows. 
38.
 
39.
# Hinweis: 
40.
# server-bridge sollte gleich mit den unten stehenden Befehlen zu setzen sein. 
41.
# Leider funktionierte server-bridge nicht, dafür aber die getrennten 
42.
# Befehle. Daher habe ich diese genommen, server-bridge bleibt jedoch 
43.
# zu Dokumentationszwecken oben stehen, aber auskommentiert. 
44.
mode server 
45.
tls-server	 
46.
ifconfig-pool 192.168.70.180 192.168.70.199 255.255.255.0 
47.
push "route 192.168.70.0 255.255.255.0 192.168.70.205" 
48.
; crl-verify crls/crl.pem    # Sperrliste: Noch nicht aktiviert. 
49.
; duplicate-cn               # Gleichzeitige Mehrfache Zertifikatsverwendung 
50.
                             # erlauben. Nicht erwünscht, daher abgeschaltet. 
51.
 
52.
# Teilnehmer eines virtuellen Netzwerkes sollen sich untereinander sehen. 
53.
client-to-client 
54.
 
55.
connect-freq 1 sec 
56.
keepalive 10 120 
57.
persist-key 
58.
persist-tun 
59.
 
60.
# IPs merken. 
61.
ifconfig-pool-persist ipp.txt 
62.
 
63.
#Zertifikate 
64.
ca certs/ca.crt 
65.
cert certs/openvpn.crt 
66.
key private/openvpn.key 
67.
 
68.
# Diffie-Hellman-Parameter 
69.
dh dh2048.pem 
70.
 
71.
# Kompression einschalten. 
72.
comp-lzo yes 
73.
 
74.
# Debug-Level – Später herabsetzen. 
75.
verb 3
Danke und Grüße

temuco
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Netzwerkgrundlagen
Routen bei openvpn (4)

Frage von davman zum Thema Netzwerkgrundlagen ...

Router & Routing
gelöst OpenVPN Server - Kein Zugriff auf Server LAN (2)

Frage von PeterH96 zum Thema Router & Routing ...

Netzwerkgrundlagen
OpenVPN-Server über br0 ins Netzwerk routen klappt nicht (7)

Frage von Aileron zum Thema Netzwerkgrundlagen ...

Notebook & Zubehör
HP 8770W - LAN Netzwerkproblem (Aufbau, Geschwindigkeit) (5)

Frage von RiceManu zum Thema Notebook & Zubehör ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...