Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OpenVpn mit gefährlichem Halbwissen einrichten...

Frage Netzwerke Router & Routing

Mitglied: Eiswette

Eiswette (Level 1) - Jetzt verbinden

03.03.2014, aktualisiert 04.03.2014, 3321 Aufrufe, 19 Kommentare, 6 Danke

Hallo,

ich habe mir überlegt, per VPN auf ein Heimnetzwerk zugreifen zu wollen.
Allerdings, soll der Server hinter dem eigentlichen Router hängen. Das Howto auf diesen Seiten war leider nur wenig hilfreich, da der Server gar nicht per Kabel am Router angeschlossen, sondern über Wlan als Repeater im Bridge Modus verbunden sein soll. Client Bridge würde aber auch ok sein...

9e54baeed6adfadc5166cbe4937757a3 - Klicke auf das Bild, um es zu vergrößern

Am wichtigsten ist mir, sicher von 192.168.1.120 auf 192.168.1.7 zugreifen zu können. Ich denke, wenn das klappt, dann klappts auch mit allen anderen?

Der Linksys Router mit DD WRT Firmware läuft momentan "schon" als Repeater im Bridge Modus.

Nachdem ich nun seit nen paar Tagen daran rumgebastelt habe, bin ich so weit, dass der Server auf dem Linksys auch läuft - habe das wie hier im Board beschrieben mit telnet und ps überprüft.

Ich habe noch keine Versuche gestartet vom Internet aus mit dem Server zu verbinden, da alle Versuche von Innerhalb des LAN scheiterten. Es geht für den Clienten nach "Verify OK dpeth=0" nicht wirklich weiter.


Da stellt sich mir die Frage: Kann mein Vorhaben überhaupt klappen?

Falls dem nicht so ist, erübrigen sich ja alle anderen Fragen...

Vielen Dank im Voraus!
Mitglied: killtec
03.03.2014 um 13:14 Uhr
Hi,
Mit den Adressen wird das nix. Wenn dein Pc von dem aus du zugreifen magst die gleichen IP Netze nutzt (192.168.1.x) Dann wird das nichts. Es müssen unterschiedliche Netze sein.

Gruß
Bitte warten ..
Mitglied: Eiswette
03.03.2014, aktualisiert um 14:10 Uhr
Aaaah-ha.
Dankeschön für den Hinweis.
Also wird dann geroutet und nicht gebridget?
Dachte nämlich, man überbrückt durch den VPN Tunnel die Lücke zwischen zwei gleichen IP Netzen um aus zweien eins zu machen.
Ich scheine da etwas Grundlegendes noch nicht verstanden zu haben, bin aber froh, dass ich das Ziel erreichen kann :D

Im moment habe ich ja eh erstmal das Problem, dass es intern nicht klappt
Bitte warten ..
Mitglied: Dobby
LÖSUNG 03.03.2014, aktualisiert 04.03.2014
Hallo,

Also wird dann geroutet und nicht gebridget?
Route wenn Du kannst und bridge wenn Du musst!
So würde ich das machen wollen und zwar egal wann und wo.

Ich würde auch die IP im Netzwerk 1 (oben links im Bild) einfach
ändern und dann ein IPSec VPN aufsetzen und fertig ist der Lack.

Wenn der Tunnel steht kann man in der Regel auf alles hinter dem
Router also das gesamte Netzwerk zugreifen!

Nur wie stabil das ganze mittels WLAN Anbindung und/oder eines
Repeaters ist musst Du selber herausfinden.

Man könnte ja auch den Repeater zu einem WLAN AP machen
und/oder via dlAN anbinden, was den Durchsatz und auch die
Stabilität enorm steigern würde.

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
03.03.2014, aktualisiert um 15:23 Uhr
Du kannst dich beruhigt an das hiesige Tutorial halten:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Die Installation von OpenVPN ist immer gleich auf ALLEN Plattformen !
Das dort beschriebene ToDo gilt also auch für die Plattform wo du es installieren willst. Ob Winblows, Linux, Mac, Router oder Raspberry Pi die Schritte sind immer identisch.
Und ob du WLAN oder Draht benutzt spielt auch keinerlei Rolle solange die WLAN Verbindung aktiv ist !
Was das IP Adressdesign anbetrifft hat Kollege killtec recht. Das geht logischerweise so nicht mit 2 gleichen IP Netzen.
Lies dir im o.a. Tutorial das Kapitel "Tips zum IP Adress Design" durch, da ist alles genau erklärt !
Theoretisch kann man auch Bridging machen wie in deinem Design mit 2 identischen Netzen, davon ist aber dringenst abzuraten, da so aus beiden Netzen die gesamte Broad- und Multicast Last immer über den Tunnel geht, was immer erhebliche Einbußen in der Perfomance mit sich bringt ! Vergiss das nicht...besser also immer routen Wenn möglich !
Das schafft auch einer mit Halbwissen im Handumdrehen und für den Rest gibts ja das Forum :-;
Bitte warten ..
Mitglied: Eiswette
03.03.2014 um 16:59 Uhr
Ich bekomme es intern einfach nicht hin.

Beim Versuch den Tunnel ziwschen 192.168.1.8 und 192.168.1.110 aufzubauen, kommt es zu folgender Fehlermeldung.

Mon Mar 03 16:50:41 2014 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Mar 03 16:50:41 2014 TLS Error: TLS handshake failed
Mon Mar 03 16:50:41 2014 SIGUSR1[soft,tls-error] received, process restarting

server config ist:

port 1194
proto udp
dev tun0
keepalive 10 120
verb 3
persist-key
persist-tun
comp-lzo
server 172.16.2.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-options DNS 192.168.1.1"
dh /tmp/openvpn/dh.pem
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem

client config:

client
dev tun
proto udp
remote 192.168.1.110 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca C:\\ca.crt
cert C:\\client1.crt
key C:\\client1.key
ns-cert-type server
comp-lzo
verb 3

Der Hinweis "check you network connectivity" macht mich natürlich stutzig...denke aber, dass es so funktionieren sollte wie ich es eingetragen habe?
Bitte warten ..
Mitglied: aqui
03.03.2014, aktualisiert um 20:04 Uhr
Das sagt schon alles.... TLS Error: TLS handshake failed du hast vergessen den TLS Key zu konfigurieren der Server will es aber !
Einfache Lösung:
Nimm "ns-cert-type server" aus der Client Konfig !
...und versuchs nochmal. Dann klappt es !
"ns-cert-type server" verlangt, das das Zertfikat vom Server auch das Attribut "Server" hat, was bei dir wohl nicht der Fall ist oder du schlicht und einfach vergessen hast ?!
Bitte warten ..
Mitglied: Eiswette
03.03.2014 um 23:44 Uhr
Dank eurer guten Hilfe, kann ich jetzt auch von außerhalb connecten. :D

Das schöne an so nem Hobby ist ja, dass wenn ein Problem gelöst ist, das nächste schon wartet.

Vielleicht könnt ihr mir dabei ja auch noch mal behilflich sein, oder mir Lektüre vorschlagen.

Wie kann ich denn nun wissen, unter welcher IP ich z.B. die externen Festplatten 192.168.1.7 oder 192.168.1.2, von außerhalb erreiche? Anpingen konnte ich nämlich nichts. Auch nicht den Server oder den Laptop mit dem Ich die Verbindung getestet habe...?
Bitte warten ..
Mitglied: orcape
04.03.2014 um 05:36 Uhr
Hi,
Wie kann ich denn nun wissen, unter welcher IP ich z.B. die externen Festplatten 192.168.1.7 oder 192.168.1.2, von außerhalb erreiche?
Anpingen konnte ich nämlich nichts.
Na Du bist ja lustig, aber der Titel Deines Threads sagt ja schon alles...
Hast Du Firewallregeln definiert, ist Dein Router überhaupt von remote über eine feste IP bzw. DynDNS zu erreichen ?
..oder mir Lektüre vorschlagen.
Den Link hat Dir Aqui schon gepostet, Du brachst nur noch zu lesen und zu verstehen...
Gruß orcape
Bitte warten ..
Mitglied: aqui
LÖSUNG 04.03.2014, aktualisiert um 12:12 Uhr
Bei einem gefährlich Halbwissenden muss man eben vorsichtig sein....
die externen Festplatten 192.168.1.7 oder 192.168.1.2, von außerhalb erreiche?
Generell ist das ja kein Thema, denn du hast ja ein VPN. Da ist es von außen so als ob du wie lokal arbeitest. Genau DAS ist ja der tiefere Sinn eines VPNs !!
Bei dir ist es aber etwas besonderes vom Design...da du ja quasi 2 Router hast. Einmal den .1.1 der das Internet bedient und einmal den .1.110 der das OpenVPN bedient.
Jetzt gibt es ein kleines problem was aber kinderleicht zu lösen ist um es vorweg zu nehmen.
Alle deine Endgeräte unter anderem auch die Platten unter 192.168.1.7 und 192.168.1.2 haben vermutlich die .1.1 als Default Gateway eingetragen.
Was nun passiert ist wenn du vom OVPN Client zugreifst der ja eine 172.16.2.x Absender IP hast du am Plattenserver z.B. .1.7 ankommst.
Der aber "merkt" das die 172.16.2er IP keine lokale IP ist und schickt dieses Ping Antwort Paket dann an den .1.1er Router und der dann ins Internet wo das Antwortpaket im Niorwanan verschwindet....
Fazit: Dir fehlt eine statische Route auf dem .1.1er Router !!
Trage dort ein Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: 192.168.1.110 und schon funktioniert auch dein Zugriff auf die Festplatten !!
Kannst du auf dem Router keine statischen Routen eintragen wie bei Speedport Dummroutern z.B. dann musst du diese Route statisch auf allen Endgeräten definieren. Ist blöd aber wenn man so einen Schrottrouter hat bleibt einem nichts anderes übrig. Ausnahme ist der Internetrouter ist auch gleichzeitig OVPN Router was das Optimum der Lösung wäre...
Traceroute (Winblows tracert) und Pathping sind hier immer deine Freunde ! Ein Traceroute zeigt dir alle Routerhops an...
Bitte warten ..
Mitglied: Eiswette
04.03.2014 um 11:35 Uhr
Hallo

vielleicht geh ich auch etwas naiv an die Sache dran
Ich dachte mir halt. Steht der Tunnel, wirst du schon sehen wo und wie man auf die HDDs zugreifen kann.

Hast Du Firewallregeln definiert, ist Dein Router überhaupt von remote über eine feste IP bzw. DynDNS zu erreichen ?

Die Firewall im DD-WRT ist ausgeschaltet, und DynDNS hab ich zwar eingerichtet - gucke aber momentan welche IP ich habe und machs vorübergehend so. Im Router der am Internet hängt, habe ich den Port freigegeben und auf 192.168.1.110 weitergeleitet, sonst würde ich den Tunnel aus dem Inet auch nicht erreichen können - denke ich..

Trage dort ein Zielnetz: 172.16.2.0, Maske: 255.255.255.0, Gateway: 192.168.1.110 und schon funktioniert auch dein Zugriff auf die Festplatten !!

Die Erklärung vorher hat schon mal etwas Licht ins Dunkel gebracht. Danke.
Allerdings läuft das nicht.
Wenn ich in der Kommandozeile pinge, kommt nichts zurück. Selbst wenn ich von 172.16.2.6 172.16.2.6 anpinge - und da sagt die Hälfte Wissen die ich habe, das da was nicht stimmt. Was da nicht stimmt, dafür ist die andere Hälfte zuständig, welche ich aber leider nicht habe.

Traceroute (Winblows tracert) und Pathping sind hier immer deine Freunde

Wenigstens ist mir traceroute ein Begriff. Pathping habe ich ausprobiert. Ergebnis bei pathping 172.16.2.1 :

0 192.168.1.5
1 192.168.1.1
2 * * *

Wie sähe denn ein gutes Ergebnis aus?
Bitte warten ..
Mitglied: Eiswette
04.03.2014 um 12:07 Uhr
Ah-ha

Die Internen IPs werden also angepingt.
Und dann klappt auch Alles!

Ganz herzlichen Dank für eure Hilfe!!!
Bitte warten ..
Mitglied: aqui
04.03.2014 um 12:39 Uhr
vielleicht geh ich auch etwas naiv an die Sache dran
Kein Thema, deshalb bist du ja Halbwissender
Ich dachte mir halt. Steht der Tunnel, wirst du schon sehen wo und wie man auf die HDDs zugreifen kann.
Fast...ein klein bischen selber logisch nachdenken muss man aber schon.
Die Internen IPs werden also angepingt. Und dann klappt auch Alles!
Ja natürlich, ein VPN verhält sich ja so als ob man intern arbeitet...wie gesagt der tiefere Sinn eines VPNs
Bei dir ist das durch die 2 Router etwas "besonders" aber alles machbar. Siehst du ja an deinem Erfolg.
Gut wenn nun alles klappt wie es soll !
Bitte warten ..
Mitglied: Eiswette
04.03.2014, aktualisiert um 17:46 Uhr
Da habe ich mich wohl zu früh gefreut, denn ich bin jetzt zum ersten mal an meinem Client zu Hause...

Erst mal hat sich gar nichts getan. Nachdem ich hier http://asktheoracle.com/blog/how-to-make-openvpn-work-with-the-windows- ... gelesen habe und die Client config angepasst habe, kann ich 192.168.1.110 erreichen. Anpingen kann ich 192.168.1.1, sonst leider nichts.
Die Methode, die auf der Angegebenen Seite beschreibt, wie ich den TAP Adapter von "nicht identifiziert" zu "Heim" bekomme, hat nicht funktioniert.
Der Link im Howto von oben hat nicht funktioniert.

Zur Kontrolle hab ich mit dem Smartphone versucht zuzugreifen - mit vollem Erfolg.

Mit Smartphone als Modem für den PC geht's wieder nur bis 192.168.1.110.
Mit Smartphone über WLAN auch nur bis 192.168.1.110

Mein Router ist übrigen auch ein DD-WRT.

Habe mittlerweile schon alle Firewalls unten gehabt - ohne Erfolg

Ich bin für jede weitere Hilfe dankbar!
Bitte warten ..
Mitglied: Eiswette
04.03.2014 um 17:52 Uhr
Achso, Betriebssystem ist Windows und auf dem DD-WRT ist glaube ich kein Platz für OpenVPN
Bitte warten ..
Mitglied: Eiswette
05.03.2014 um 18:54 Uhr
Hat keiner mehr von euch eine Idee?

Ich bin mit meinem halben Latein am Ende - kurz nach meinem letzten Eintrag funktionierte es über UMTS auch nicht mehr...
Bitte warten ..
Mitglied: orcape
05.03.2014 um 19:22 Uhr
Hi,
Achso, Betriebssystem ist Windows und auf dem DD-WRT ist glaube ich kein Platz für OpenVPN
Was ist das für ein Router....
http://www.dd-wrt.com/site/support/router-database.
..hier kannst Du checken ob da VPN läuft.
Gruß orcape
Bitte warten ..
Mitglied: Eiswette
05.03.2014 um 20:05 Uhr
Hi orcape,

wie vermutet gibt es keine Firmware mit OpenVPN für meinen Router...
...könnte es sein, dass ich am Clientrouter auch eine statische Route eintragen muss?
Bitte warten ..
Mitglied: aqui
06.03.2014 um 11:41 Uhr
Nein, denn der verbindet sich ja nur und bekommt mit dem "push route..." Kommando vom VPN Server ja alle Routen automatisch.
Das kannst du auch ganz einfach selber mal checken wenn du den Client Router mal mit SSH (Putty) connectest und dort an der Konsole mal das Kommando netstat -r eingibts bei aktiver OVPN Einwahl !
Dann siehst du auch alle Routen ins 192.168.1.0er Netz.
Da du die .1.1 und auch die .1.110 pingen kannst kannst du sehen das auch alles soweit klar ist.
Das du andere PC nicht pingen kannst liegt ganz sicher daran das die lokale Firewall auf diesen PCs dein OVPN IP Netz blockt. Das tun alle lokalen Firewalls per default sofern sie Absender IP sehen die NICHT aus ihrem eigenen lokalen netz kommen !
Das MUSST du also anpassen wenn du diese PCs erreichen willst !
Die statische Route im Internet Router sollte auch klar sein !
Bitte warten ..
Mitglied: Eiswette
06.03.2014, aktualisiert um 14:02 Uhr
Bin in den Weiten des Internets über die Lösung gestolpert.

Da stand geschrieben:
"iptables -t nat -A POSTROUTING -o ! tun0 -j MASQUERADE"
sollte in die Firewall des Servers eingetragen. Funktionierte direkt.
Ich weiß nicht, was dieser Eintrag macht und somit bleibt es bei gefährlichem Halbwissen. :D

Vielen Dank an alle, für die Hilfen und Ratschläge!!!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(5)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst Pfsense - openvpn - DNS Auflösung einrichten (4)

Frage von 118080 zum Thema Router & Routing ...

Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (17)

Frage von Unwichtig zum Thema Netzwerkmanagement ...