Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN routing Server SBS 2003 und Notebook

Frage Netzwerke Netzwerkprotokolle

Mitglied: Basilios

Basilios (Level 1) - Jetzt verbinden

25.05.2009, aktualisiert 09:53 Uhr, 5348 Aufrufe, 12 Kommentare

Hallo!

Ich möchte über Open VPN eine geschützte Verbindung vom Notebook zum Server aufbauen. Die funktioniert mit der unten stehenden Config auch. Über Remote kann ich auch auf dem Server arbeiten. Das Notebook wird sowohl im Netz des Servers als auch zu Hause im WLan genutzt. Was ich aber möchte: ein freigegebenes Laufwerk des Servers mappen. Ich nehme an das ich am Routing Änderungen vornehmen muss. Leider reichen meine Kenntnisse dafür nicht aus. Gesucht habe ich mittlerweile auch reichlich, aber keine passende Lösung gefunden. Kann mir jemand bitte helfen?

Mit freundlichen Grüßen Basilios


SERVER Grundlage

SERVER IP 192.168.0.50
Subnetzm. 255.255.255.0
Standartgateway 192.168.0.100
DNS-Server 192.168.0.50
Firewall 192.168.0.100
OpenVPN LAN-Karte 192.168.0.51
IP automatisch beziehen
DNS-Server 192.168.0.50

CLIENT Grundlage

Notebook IP 192.168.0.20
Subnetzm. 255.255.255.0
Standartgateway 192.168.0.100
DNS-Server 192.168.0.50
OpenVPN LAN-Karte IP und DNS automatisch beziehen
WLan über Speedport W700V wobei IP und DNS automatisch bezogen werden (192.168.2.xxx) (Subnetzm. 255.255.255.0)


SERVER-Config.

port 1194
proto udp
mode server
dev tap
dev-node LAN-Verbindung
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.9
client-to-client
tls-server
dh c:\\programme\\openvpn\\config\\keys\\dh1024.pem
ca c:\\programme\\openvpn\\config\\keys\\ca.crt
key c:\\programme\\openvpn\\config\\keys\\server01.key
cert c:\\programme\\openvpn\\config\\keys\\server01.crt
comp-lzo
push "route-gateway 10.0.0.1"
tun-mtu 1500
tun-mtu-extra 32
max-clients 2
verb 3
mute 50
keepalive 10 60
ping-timer-rem
persist-key
persist-tun
push "ping 10"
push "ping-restart 60"
push "ping-timer-rem"
push "route 192.168.0.50 255.255.255.0"



CLIENT-Config.

remote XXXXXXX #geändert
port 1194
proto udp
dev tap
dev-node LAN-OpenVPN
tls-client
ca "C:\\Program Files\\OpenVPN\\config\\keys\\ca.crt"
key "C:\\Program Files\\OpenVPN\\config\\keys\\vpnclient01.key"
cert "C:\\Program Files\\OpenVPN\\config\\keys\\vpnclient01.crt"
ns-cert-type server
comp-lzo
pull
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun
Mitglied: kingkong
25.05.2009 um 10:43 Uhr
Ich verstehe nicht so ganz, was du mit "OpenVPN-LAN-Karte" meinst. Ist das der virtuelle Netzwerkadapter? Dann sollte der eine IP-Adresse aus einem anderen Bereich haben als die physisch vorhandene (also nicht 192.168.*.*, sondern bspw.10.*.*.*). Ebenfalls nicht klar ist mir der IP-Eintrag des Notebooks. Einerseits schreibst du, die Adresse wäre 192.168.0.20, andererseits, dass sie aus dem WLAN-Bereich des Routers käme und im Bereich 192.168.2.* liegt. Was denn nun? Oder bezieht sich das auf die unterschiedliche Verwendung im WLAN (mit 2.*) und im Netz des Servers (0.*)?

Deine Konfigs sehen auf den ersten Blick eigentlich sinnvoll aus. Auch die IP-Adressen sollten soweit in Ordnung sein. Hast du irgendwelche Personal Firewalls am laufen? Und was sagt ein Ping an den Server übers Notebook?

Gruß, kingkong
Bitte warten ..
Mitglied: Basilios
25.05.2009 um 11:41 Uhr
Mit OpenVPN-LAN-Karte ist die Netzwerkverbindung gemeint (Unter Vista: Systemsteuerung->Netzwerkverbindungen) mit dem Geätenamen TAP-Win32 Adapter V9.Die IP-Adresse wird zur Zeit automatisch bezogen.

Das Notebook wird mit dem Firmennetz über die LAN-Karte mit der IP 192.168.0.20 verbunden. Wenn ich zu Hause bin, benutze ich die eingebaute WLan-Karte als Verbindung in das Internet. Die IP wird in diesem Falle für die WLAN-Karte vom Router (Speedport W700V) vergeben.

Eine Personal Firewall habe ich nicht am laufen.
Ping geht nicht (oder ich mach was falsch). Dennoch funktioniert die Verbindung und über Remoteverbindung kann ich mich am Server anmelden.

Ich hoffe, ich habe mich verständlich ausgedrückt.

Grüße Basilios
Bitte warten ..
Mitglied: aqui
25.05.2009 um 17:32 Uhr
Dir sollte klar sein das VPN Client netz und Firmennetz bei VPN Nutzung niemals gleich sein dürfen.
Da die ganze Welt 192.168.0.0 /24 benutzt ist es nicht besonders intelligent dieses netz zu verwenden, da du dann mehr oder weniger schnell in Probleme kommen wirst von remote.

Dein SP zuhause darf also nicht im 192.168.0.0 /24 er netz arbeiten.

Wenn du sagst du kannst schon auf dem Server arbeiten dann ist der Einwand mit Routing etc. doch Unsinn !
Denn wenn das nicht klappen würde kannst du gar nicht auf dem server arbeiten.

Was passiert denn wenn du ein freigegebens Verzeichnis mit Start -> Ausführen \\<ip_adr_server> zwnagsweise verbindest ???

Denk dran das die FW des Servers auf das VPN Netz customized werden muss, damit sie Pakte durchlässt.
Da du ja aber arbeiten kannst auf dem Server hast du das problem ja anscheinend schon gelöst ??!!
Bitte warten ..
Mitglied: Basilios
25.05.2009 um 21:09 Uhr
Danke für die Antwort. Leider bringt es mich noch keinen Schritt weiter.

Was muss ich den nun konkret unternehmen um im Explorer ein freigegebenes Verzeichnis des entfernten Servers verfügbar zu machen? Also nicht über dir Remotverbindung.

Nur zur Erinnerung: ich bin kein Profi - sonst würde ich ja hier nicht um Hilfe rufen.
Bitte warten ..
Mitglied: kingkong
26.05.2009 um 08:26 Uhr
Eigentlich würde es reichen, wenn du im Windows-Explorer folgendes eintippst: \\<OpenVPN-IP-Adresse des Servers>\<Freigabename des Ordners>

Alternativ kannst du eine Freigabe auch als Netzlaufwerk einrichten - dazu im Windows-Explorer (zumindest unter XP, bei Vista wirds aber ähnlich sein) unter "Extras" "Netzlaufwerk verbinden" auswählen. Dann die Daten eintragen - und es sollte funktionieren.

Wenn du per Remotedesktop auf deinen Server kommst, dann muss irgendetwas zwischendrin deine Pings und ähnliches blocken - wie aqui sagt, müsste eine Firewall aufs OpenVPN angepasst werden, denn vorher behandelt sie das Netz wie jedes andere unbekannte auch. Läuft denn auf dem Server eine Firewall? Und welche Serverversion hast du denn im Einsatz?
Bitte warten ..
Mitglied: Basilios
26.05.2009 um 09:34 Uhr
Die Eingabe im Explorer und Einbindung als Netzlaufwerk habe ich bereits versucht. Leider hat das nicht funktioniert.

Im Büro haben wir eine Firewall von Netgear. Dort habe ich einen Service für OpenVPN eingerichtete (Port 1194 UDP). Unter Advanced/Ports habe ich diesen Service dann freigegeben.

Im HomeOffice benutze ich die Box Speedport W700V. Auch dort habe ich dafür gesorgt, dass der Port 1194 frei ist.

Auf dem Server läuft Win 2003 SBS. Firewall: Hardwarefirewall von Netgear.

Auszug aus meinem LOG:
[...]
Sun May 24 21:04:51 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.2/255.255.255.0 on interface {93F9E393-1616-4592-8B61-1C108DE8E12A} [DHCP-serv: 10.0.0.0, lease-time: 31536000]
Sun May 24 21:04:51 2009 Successful ARP Flush on interface [28] {93F9E393-1616-4592-8B61-1C108DE8E12A}
Sun May 24 21:04:56 2009 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sun May 24 21:04:56 2009 C:\WINDOWS\system32\route.exe ADD 192.168.0.50 MASK 255.255.255.0 10.0.0.1
Sun May 24 21:04:56 2009 Warning: address 192.168.0.50 is not a network address in relation to netmask 255.255.255.0
Sun May 24 21:04:56 2009 ROUTE: route addition failed using CreateIpForwardEntry: Falscher Parameter. [status=87 if_index=28]
Sun May 24 21:04:56 2009 Route addition via IPAPI failed [adaptive]
Sun May 24 21:04:56 2009 Route addition fallback to route.exe
Sun May 24 21:04:56 2009 Initialization Sequence Completed

Hilft das vielleicht?
Bitte warten ..
Mitglied: aqui
26.05.2009 um 10:15 Uhr
Wenn der NetGear Router VOR dem OpenVPN Server ist musst du hier natürlich ein Port Weiterleitung aller OpenVPN Ports auf die lokale Server IP konfigurieren !!!

Nach der fehlermeldung zu urteilen hast du aber doch vermutlich eine IP Adressgleichheit zwischen Servernetz und Client Netz.

Um es nochmal zu wiederholen: Bei einem VPN Szenario dürfen Client und Server NICHT im gleichen Netz sein !!!
D.h. bei dir darf das Servernetz und das Client netz nicht beidesmal 192.168.0.x /24 lauten !!!

Es ist generell wenig intelligent bei einem VPN Szenario gerade die 192.168.0.0 /24 als Servernetz zu wählen denn jeder Dummbatz Consumer Router benutzt dieses Netz als Default so das IP Netzgleichheit immer nur eine Frage der Zeit ist !

Erheblich sinnvoller ist es da ein krummes IP Netz aus der RFC 1918 IP Adressrange der privaten netze zu verwenden:
http://de.wikipedia.org/wiki/Private_IP-Adresse

Intelligent wäre also sowas wie 172.27.144.0 /24 oder 172.18.5.0 /24 oder oder oder...
Damit wäre eine Kollision der millionenfach verwendeten 192.168.0er Netzen bei VPN Nutzung dann so gut wie ausgeschlossen !!

Die Verwendung des .0.0er Netzes scheinbar ohne nachzudenken zeigt eigentlich das du nicht wirklich weisst wie man mit VPNs im Allgemeinen umgeht, sorry
Bitte warten ..
Mitglied: Basilios
26.05.2009 um 11:31 Uhr
Dann ist ist wohl sinning, das Netz im HomeOffice umzustellen - oder?

"Die Verwendung des .0.0er Netzes scheinbar ohne nachzudenken zeigt eigentlich das du nicht wirklich weisst wie man mit VPNs im Allgemeinen umgeht, sorry" -> Jau, sonst würde ich ja hier nicht um hilfe bitten.
Bitte warten ..
Mitglied: aqui
26.05.2009 um 11:45 Uhr
Nicht wirklich.... Wie du an den Ausführungen zum sinnvollen IP Design bei VPNs ja oben sehen kannst wird dich beim nächsten VPN Home User das Problem dann wieder einholen...

Sinnig auf Dauer ist es also das Server Netzwerk umzustellen !!!

Einzige Ausnahme ist wenn du nur von diesem einzigen Home Netzwerk den VPN Zugang benötigst, nur dann ist es in der Tat einfacher der Home Netzwerk umzustellen.

Am einfachsten dann den Router auf sowas wie:
IP: 192.168.111.254
Maske: 255.255.255.0
DHCP Bereich: 192.168.111.100 bis 192.168.111.150

umstellen, Router neu starten, Client dort neu starten...und gut ist !!
Bitte warten ..
Mitglied: Basilios
26.05.2009 um 11:50 Uhr
Danke! Das werde ich wohl als nächstes mal ausprobieren.

Die andere Variante (Umstellung Server-IP) werde ich bei nächster Gelegenheit mal unserem Systempartner vorschlagen. Da mir mit meinen rudimentären Kenntnissen das Risiko der "Verschlimmbesserung" zu groß ist.
Bitte warten ..
Mitglied: aqui
26.05.2009 um 12:42 Uhr
Schlimm überhaupt das jemand der sich "Systempartner" nennt solch ein IP Netzwerk wählt für eine Installation !!
Scheinbar ist es mit Netzwerk Kenntnissen auch nicht so weit her bei denen..
Bitte warten ..
Mitglied: kingkong
26.05.2009 um 15:41 Uhr
aqui, du weißt ja selbst, dass ein gewachsenes Netz eben nicht optimal ist. Manchmal gibt es das. Und wenn das Netz entsprechend groß ist und genügend Server mit fester IP eingebunden sind ist der Aufwand nicht gerade klein, jeden der Server umzustellen. Dazu die ganzen Skripte +Zeiterfassung + Warenwirtschaft + ... Jetzt wirst du sagen: "Wer keinen DHCP oder wenigstens DNS für sowas verwendet ist selbst schuld" - Richtig, aber manche Netze sind eben wie gesagt gewachsen. Und dazu kommt, dass manche Abteilungsleiter schlicht und ergreifend der Meinung sind, es bestünde kein Änderungsbedarf. Ich spreche da aus Erfahrung

Schlimm überhaupt, das s ...

Sorry, aber das musste leider sein - niemand ist perfekt, weder du noch ich - und sicherlich kannst du dich auch noch deine Anfänge erinnern, oder?
Basilios hat gleich zu Beginn erwähnt, dass er sich noch nicht so gut auskennt, also sei bitte nicht ganz so barsch. Ich hoffe, du verstehst das als konstruktive Kritik.
Es soll nicht böse gemeint sein; ich denke einfach, dass sich alle Nutzer entspannter verhalten, wenn der Grundton offener ist.

Gruß, kingkong
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Serverumzug SBS 2003 nach 2012R2 ohne Active Directory (2)

Frage von step777 zum Thema Windows Server ...

LAN, WAN, Wireless
VLAN mit pfSense Routing: Server als Mitglied in mehreren VLANs (1)

Frage von Ruuder zum Thema LAN, WAN, Wireless ...

Exchange Server
gelöst SBS 2003 und Multisendcon: Mailversand an t-online Adressen funktioniert nicht (11)

Frage von danieluk15 zum Thema Exchange Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...