12
OpenVPN routing Server SBS 2003 und Notebook
Hallo!
Ich möchte über Open VPN eine geschützte Verbindung vom Notebook zum Server aufbauen. Die funktioniert mit der unten stehenden Config auch. Über Remote kann ich auch auf dem Server arbeiten. Das Notebook wird sowohl im Netz des Servers als auch zu Hause im WLan genutzt. Was ich aber möchte: ein freigegebenes Laufwerk des Servers mappen. Ich nehme an das ich am Routing Änderungen vornehmen muss. Leider reichen meine Kenntnisse dafür nicht aus. Gesucht habe ich mittlerweile auch reichlich, aber keine passende Lösung gefunden. Kann mir jemand bitte helfen?
MfG Basilios
SERVER Grundlage
SERVER IP 192.168.0.50
Subnetzm. 255.255.255.0
Standartgateway 192.168.0.100
DNS-Server 192.168.0.50
Firewall 192.168.0.100
OpenVPN LAN-Karte 192.168.0.51
IP automatisch beziehen
DNS-Server 192.168.0.50
CLIENT Grundlage
Notebook IP 192.168.0.20
Subnetzm. 255.255.255.0
Standartgateway 192.168.0.100
DNS-Server 192.168.0.50
OpenVPN LAN-Karte IP und DNS automatisch beziehen
WLan über Speedport W700V wobei IP und DNS automatisch bezogen werden (192.168.2.xxx) (Subnetzm. 255.255.255.0)
SERVER-Config.
port 1194
proto udp
mode server
dev tap
dev-node LAN-Verbindung
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.9
client-to-client
tls-server
dh c:\\programme\\openvpn\\config\\keys\\dh1024.pem
ca c:\\programme\\openvpn\\config\\keys\\ca.crt
key c:\\programme\\openvpn\\config\\keys\\server01.key
cert c:\\programme\\openvpn\\config\\keys\\server01.crt
comp-lzo
push "route-gateway 10.0.0.1"
tun-mtu 1500
tun-mtu-extra 32
max-clients 2
verb 3
mute 50
keepalive 10 60
ping-timer-rem
persist-key
persist-tun
push "ping 10"
push "ping-restart 60"
push "ping-timer-rem"
push "route 192.168.0.50 255.255.255.0"
CLIENT-Config.
remote XXXXXXX #geändert
port 1194
proto udp
dev tap
dev-node LAN-OpenVPN
tls-client
ca "C:\\Program Files\\OpenVPN\\config\\keys\\ca.crt"
key "C:\\Program Files\\OpenVPN\\config\\keys\\vpnclient01.key"
cert "C:\\Program Files\\OpenVPN\\config\\keys\\vpnclient01.crt"
ns-cert-type server
comp-lzo
pull
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun
Ich möchte über Open VPN eine geschützte Verbindung vom Notebook zum Server aufbauen. Die funktioniert mit der unten stehenden Config auch. Über Remote kann ich auch auf dem Server arbeiten. Das Notebook wird sowohl im Netz des Servers als auch zu Hause im WLan genutzt. Was ich aber möchte: ein freigegebenes Laufwerk des Servers mappen. Ich nehme an das ich am Routing Änderungen vornehmen muss. Leider reichen meine Kenntnisse dafür nicht aus. Gesucht habe ich mittlerweile auch reichlich, aber keine passende Lösung gefunden. Kann mir jemand bitte helfen?
MfG Basilios
SERVER Grundlage
SERVER IP 192.168.0.50
Subnetzm. 255.255.255.0
Standartgateway 192.168.0.100
DNS-Server 192.168.0.50
Firewall 192.168.0.100
OpenVPN LAN-Karte 192.168.0.51
IP automatisch beziehen
DNS-Server 192.168.0.50
CLIENT Grundlage
Notebook IP 192.168.0.20
Subnetzm. 255.255.255.0
Standartgateway 192.168.0.100
DNS-Server 192.168.0.50
OpenVPN LAN-Karte IP und DNS automatisch beziehen
WLan über Speedport W700V wobei IP und DNS automatisch bezogen werden (192.168.2.xxx) (Subnetzm. 255.255.255.0)
SERVER-Config.
port 1194
proto udp
mode server
dev tap
dev-node LAN-Verbindung
ifconfig 10.0.0.1 255.255.255.0
ifconfig-pool 10.0.0.2 10.0.0.9
client-to-client
tls-server
dh c:\\programme\\openvpn\\config\\keys\\dh1024.pem
ca c:\\programme\\openvpn\\config\\keys\\ca.crt
key c:\\programme\\openvpn\\config\\keys\\server01.key
cert c:\\programme\\openvpn\\config\\keys\\server01.crt
comp-lzo
push "route-gateway 10.0.0.1"
tun-mtu 1500
tun-mtu-extra 32
max-clients 2
verb 3
mute 50
keepalive 10 60
ping-timer-rem
persist-key
persist-tun
push "ping 10"
push "ping-restart 60"
push "ping-timer-rem"
push "route 192.168.0.50 255.255.255.0"
CLIENT-Config.
remote XXXXXXX #geändert
port 1194
proto udp
dev tap
dev-node LAN-OpenVPN
tls-client
ca "C:\\Program Files\\OpenVPN\\config\\keys\\ca.crt"
key "C:\\Program Files\\OpenVPN\\config\\keys\\vpnclient01.key"
cert "C:\\Program Files\\OpenVPN\\config\\keys\\vpnclient01.crt"
ns-cert-type server
comp-lzo
pull
tun-mtu 1500
tun-mtu-extra 32
verb 3
mute 50
persist-key
persist-tun
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 116688
Url: https://administrator.de/contentid/116688
Printed on: April 23, 2024 at 15:04 o'clock
12 Comments
Latest comment
Ich verstehe nicht so ganz, was du mit "OpenVPN-LAN-Karte" meinst. Ist das der virtuelle Netzwerkadapter? Dann sollte der eine IP-Adresse aus einem anderen Bereich haben als die physisch vorhandene (also nicht 192.168.*.*, sondern bspw.10.*.*.*). Ebenfalls nicht klar ist mir der IP-Eintrag des Notebooks. Einerseits schreibst du, die Adresse wäre 192.168.0.20, andererseits, dass sie aus dem WLAN-Bereich des Routers käme und im Bereich 192.168.2.* liegt. Was denn nun? Oder bezieht sich das auf die unterschiedliche Verwendung im WLAN (mit 2.*) und im Netz des Servers (0.*)?
Deine Konfigs sehen auf den ersten Blick eigentlich sinnvoll aus. Auch die IP-Adressen sollten soweit in Ordnung sein. Hast du irgendwelche Personal Firewalls am laufen? Und was sagt ein Ping an den Server übers Notebook?
Gruß, kingkong
Deine Konfigs sehen auf den ersten Blick eigentlich sinnvoll aus. Auch die IP-Adressen sollten soweit in Ordnung sein. Hast du irgendwelche Personal Firewalls am laufen? Und was sagt ein Ping an den Server übers Notebook?
Gruß, kingkong
Mit OpenVPN-LAN-Karte ist die Netzwerkverbindung gemeint (Unter Vista: Systemsteuerung->Netzwerkverbindungen) mit dem Geätenamen TAP-Win32 Adapter V9.Die IP-Adresse wird zur Zeit automatisch bezogen.
Das Notebook wird mit dem Firmennetz über die LAN-Karte mit der IP 192.168.0.20 verbunden. Wenn ich zu Hause bin, benutze ich die eingebaute WLan-Karte als Verbindung in das Internet. Die IP wird in diesem Falle für die WLAN-Karte vom Router (Speedport W700V) vergeben.
Eine Personal Firewall habe ich nicht am laufen.
Ping geht nicht (oder ich mach was falsch). Dennoch funktioniert die Verbindung und über Remoteverbindung kann ich mich am Server anmelden.
Ich hoffe, ich habe mich verständlich ausgedrückt.
Grüße Basilios
Das Notebook wird mit dem Firmennetz über die LAN-Karte mit der IP 192.168.0.20 verbunden. Wenn ich zu Hause bin, benutze ich die eingebaute WLan-Karte als Verbindung in das Internet. Die IP wird in diesem Falle für die WLAN-Karte vom Router (Speedport W700V) vergeben.
Eine Personal Firewall habe ich nicht am laufen.
Ping geht nicht (oder ich mach was falsch). Dennoch funktioniert die Verbindung und über Remoteverbindung kann ich mich am Server anmelden.
Ich hoffe, ich habe mich verständlich ausgedrückt.
Grüße Basilios
Dir sollte klar sein das VPN Client netz und Firmennetz bei VPN Nutzung niemals gleich sein dürfen.
Da die ganze Welt 192.168.0.0 /24 benutzt ist es nicht besonders intelligent dieses netz zu verwenden, da du dann mehr oder weniger schnell in Probleme kommen wirst von remote.
Dein SP zuhause darf also nicht im 192.168.0.0 /24 er netz arbeiten.
Wenn du sagst du kannst schon auf dem Server arbeiten dann ist der Einwand mit Routing etc. doch Unsinn !
Denn wenn das nicht klappen würde kannst du gar nicht auf dem server arbeiten.
Was passiert denn wenn du ein freigegebens Verzeichnis mit Start -> Ausführen \\<ip_adr_server> zwnagsweise verbindest ???
Denk dran das die FW des Servers auf das VPN Netz customized werden muss, damit sie Pakte durchlässt.
Da du ja aber arbeiten kannst auf dem Server hast du das problem ja anscheinend schon gelöst ??!!
Da die ganze Welt 192.168.0.0 /24 benutzt ist es nicht besonders intelligent dieses netz zu verwenden, da du dann mehr oder weniger schnell in Probleme kommen wirst von remote.
Dein SP zuhause darf also nicht im 192.168.0.0 /24 er netz arbeiten.
Wenn du sagst du kannst schon auf dem Server arbeiten dann ist der Einwand mit Routing etc. doch Unsinn !
Denn wenn das nicht klappen würde kannst du gar nicht auf dem server arbeiten.
Was passiert denn wenn du ein freigegebens Verzeichnis mit Start -> Ausführen \\<ip_adr_server> zwnagsweise verbindest ???
Denk dran das die FW des Servers auf das VPN Netz customized werden muss, damit sie Pakte durchlässt.
Da du ja aber arbeiten kannst auf dem Server hast du das problem ja anscheinend schon gelöst ??!!
Danke für die Antwort. Leider bringt es mich noch keinen Schritt weiter.
Was muss ich den nun konkret unternehmen um im Explorer ein freigegebenes Verzeichnis des entfernten Servers verfügbar zu machen? Also nicht über dir Remotverbindung.
Nur zur Erinnerung: ich bin kein Profi - sonst würde ich ja hier nicht um Hilfe rufen.
Was muss ich den nun konkret unternehmen um im Explorer ein freigegebenes Verzeichnis des entfernten Servers verfügbar zu machen? Also nicht über dir Remotverbindung.
Nur zur Erinnerung: ich bin kein Profi - sonst würde ich ja hier nicht um Hilfe rufen.
Eigentlich würde es reichen, wenn du im Windows-Explorer folgendes eintippst: \\<OpenVPN-IP-Adresse des Servers>\<Freigabename des Ordners>
Alternativ kannst du eine Freigabe auch als Netzlaufwerk einrichten - dazu im Windows-Explorer (zumindest unter XP, bei Vista wirds aber ähnlich sein) unter "Extras" "Netzlaufwerk verbinden" auswählen. Dann die Daten eintragen - und es sollte funktionieren.
Wenn du per Remotedesktop auf deinen Server kommst, dann muss irgendetwas zwischendrin deine Pings und ähnliches blocken - wie aqui sagt, müsste eine Firewall aufs OpenVPN angepasst werden, denn vorher behandelt sie das Netz wie jedes andere unbekannte auch. Läuft denn auf dem Server eine Firewall? Und welche Serverversion hast du denn im Einsatz?
Alternativ kannst du eine Freigabe auch als Netzlaufwerk einrichten - dazu im Windows-Explorer (zumindest unter XP, bei Vista wirds aber ähnlich sein) unter "Extras" "Netzlaufwerk verbinden" auswählen. Dann die Daten eintragen - und es sollte funktionieren.
Wenn du per Remotedesktop auf deinen Server kommst, dann muss irgendetwas zwischendrin deine Pings und ähnliches blocken - wie aqui sagt, müsste eine Firewall aufs OpenVPN angepasst werden, denn vorher behandelt sie das Netz wie jedes andere unbekannte auch. Läuft denn auf dem Server eine Firewall? Und welche Serverversion hast du denn im Einsatz?
Die Eingabe im Explorer und Einbindung als Netzlaufwerk habe ich bereits versucht. Leider hat das nicht funktioniert.
Im Büro haben wir eine Firewall von Netgear. Dort habe ich einen Service für OpenVPN eingerichtete (Port 1194 UDP). Unter Advanced/Ports habe ich diesen Service dann freigegeben.
Im HomeOffice benutze ich die Box Speedport W700V. Auch dort habe ich dafür gesorgt, dass der Port 1194 frei ist.
Auf dem Server läuft Win 2003 SBS. Firewall: Hardwarefirewall von Netgear.
Auszug aus meinem LOG:
[...]
Sun May 24 21:04:51 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.2/255.255.255.0 on interface {93F9E393-1616-4592-8B61-1C108DE8E12A} [DHCP-serv: 10.0.0.0, lease-time: 31536000]
Sun May 24 21:04:51 2009 Successful ARP Flush on interface [28] {93F9E393-1616-4592-8B61-1C108DE8E12A}
Sun May 24 21:04:56 2009 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sun May 24 21:04:56 2009 C:\WINDOWS\system32\route.exe ADD 192.168.0.50 MASK 255.255.255.0 10.0.0.1
Sun May 24 21:04:56 2009 Warning: address 192.168.0.50 is not a network address in relation to netmask 255.255.255.0
Sun May 24 21:04:56 2009 ROUTE: route addition failed using CreateIpForwardEntry: Falscher Parameter. [status=87 if_index=28]
Sun May 24 21:04:56 2009 Route addition via IPAPI failed [adaptive]
Sun May 24 21:04:56 2009 Route addition fallback to route.exe
Sun May 24 21:04:56 2009 Initialization Sequence Completed
Hilft das vielleicht?
Im Büro haben wir eine Firewall von Netgear. Dort habe ich einen Service für OpenVPN eingerichtete (Port 1194 UDP). Unter Advanced/Ports habe ich diesen Service dann freigegeben.
Im HomeOffice benutze ich die Box Speedport W700V. Auch dort habe ich dafür gesorgt, dass der Port 1194 frei ist.
Auf dem Server läuft Win 2003 SBS. Firewall: Hardwarefirewall von Netgear.
Auszug aus meinem LOG:
[...]
Sun May 24 21:04:51 2009 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.2/255.255.255.0 on interface {93F9E393-1616-4592-8B61-1C108DE8E12A} [DHCP-serv: 10.0.0.0, lease-time: 31536000]
Sun May 24 21:04:51 2009 Successful ARP Flush on interface [28] {93F9E393-1616-4592-8B61-1C108DE8E12A}
Sun May 24 21:04:56 2009 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sun May 24 21:04:56 2009 C:\WINDOWS\system32\route.exe ADD 192.168.0.50 MASK 255.255.255.0 10.0.0.1
Sun May 24 21:04:56 2009 Warning: address 192.168.0.50 is not a network address in relation to netmask 255.255.255.0
Sun May 24 21:04:56 2009 ROUTE: route addition failed using CreateIpForwardEntry: Falscher Parameter. [status=87 if_index=28]
Sun May 24 21:04:56 2009 Route addition via IPAPI failed [adaptive]
Sun May 24 21:04:56 2009 Route addition fallback to route.exe
Sun May 24 21:04:56 2009 Initialization Sequence Completed
Hilft das vielleicht?
Wenn der NetGear Router VOR dem OpenVPN Server ist musst du hier natürlich ein Port Weiterleitung aller OpenVPN Ports auf die lokale Server IP konfigurieren !!!
Nach der fehlermeldung zu urteilen hast du aber doch vermutlich eine IP Adressgleichheit zwischen Servernetz und Client Netz.
Um es nochmal zu wiederholen: Bei einem VPN Szenario dürfen Client und Server NICHT im gleichen Netz sein !!!
D.h. bei dir darf das Servernetz und das Client netz nicht beidesmal 192.168.0.x /24 lauten !!!
Es ist generell wenig intelligent bei einem VPN Szenario gerade die 192.168.0.0 /24 als Servernetz zu wählen denn jeder Dummbatz Consumer Router benutzt dieses Netz als Default so das IP Netzgleichheit immer nur eine Frage der Zeit ist !
Erheblich sinnvoller ist es da ein krummes IP Netz aus der RFC 1918 IP Adressrange der privaten netze zu verwenden:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Intelligent wäre also sowas wie 172.27.144.0 /24 oder 172.18.5.0 /24 oder oder oder...
Damit wäre eine Kollision der millionenfach verwendeten 192.168.0er Netzen bei VPN Nutzung dann so gut wie ausgeschlossen !!
Die Verwendung des .0.0er Netzes scheinbar ohne nachzudenken zeigt eigentlich das du nicht wirklich weisst wie man mit VPNs im Allgemeinen umgeht, sorry
Nach der fehlermeldung zu urteilen hast du aber doch vermutlich eine IP Adressgleichheit zwischen Servernetz und Client Netz.
Um es nochmal zu wiederholen: Bei einem VPN Szenario dürfen Client und Server NICHT im gleichen Netz sein !!!
D.h. bei dir darf das Servernetz und das Client netz nicht beidesmal 192.168.0.x /24 lauten !!!
Es ist generell wenig intelligent bei einem VPN Szenario gerade die 192.168.0.0 /24 als Servernetz zu wählen denn jeder Dummbatz Consumer Router benutzt dieses Netz als Default so das IP Netzgleichheit immer nur eine Frage der Zeit ist !
Erheblich sinnvoller ist es da ein krummes IP Netz aus der RFC 1918 IP Adressrange der privaten netze zu verwenden:
http://de.wikipedia.org/wiki/Private_IP-Adresse
Intelligent wäre also sowas wie 172.27.144.0 /24 oder 172.18.5.0 /24 oder oder oder...
Damit wäre eine Kollision der millionenfach verwendeten 192.168.0er Netzen bei VPN Nutzung dann so gut wie ausgeschlossen !!
Die Verwendung des .0.0er Netzes scheinbar ohne nachzudenken zeigt eigentlich das du nicht wirklich weisst wie man mit VPNs im Allgemeinen umgeht, sorry
Dann ist ist wohl sinning, das Netz im HomeOffice umzustellen - oder?
"Die Verwendung des .0.0er Netzes scheinbar ohne nachzudenken zeigt eigentlich das du nicht wirklich weisst wie man mit VPNs im Allgemeinen umgeht, sorry" -> Jau, sonst würde ich ja hier nicht um hilfe bitten.
"Die Verwendung des .0.0er Netzes scheinbar ohne nachzudenken zeigt eigentlich das du nicht wirklich weisst wie man mit VPNs im Allgemeinen umgeht, sorry" -> Jau, sonst würde ich ja hier nicht um hilfe bitten.
Nicht wirklich.... Wie du an den Ausführungen zum sinnvollen IP Design bei VPNs ja oben sehen kannst wird dich beim nächsten VPN Home User das Problem dann wieder einholen...
Sinnig auf Dauer ist es also das Server Netzwerk umzustellen !!!
Einzige Ausnahme ist wenn du nur von diesem einzigen Home Netzwerk den VPN Zugang benötigst, nur dann ist es in der Tat einfacher der Home Netzwerk umzustellen.
Am einfachsten dann den Router auf sowas wie:
IP: 192.168.111.254
Maske: 255.255.255.0
DHCP Bereich: 192.168.111.100 bis 192.168.111.150
umstellen, Router neu starten, Client dort neu starten...und gut ist !!
Sinnig auf Dauer ist es also das Server Netzwerk umzustellen !!!
Einzige Ausnahme ist wenn du nur von diesem einzigen Home Netzwerk den VPN Zugang benötigst, nur dann ist es in der Tat einfacher der Home Netzwerk umzustellen.
Am einfachsten dann den Router auf sowas wie:
IP: 192.168.111.254
Maske: 255.255.255.0
DHCP Bereich: 192.168.111.100 bis 192.168.111.150
umstellen, Router neu starten, Client dort neu starten...und gut ist !!
Danke! Das werde ich wohl als nächstes mal ausprobieren.
Die andere Variante (Umstellung Server-IP) werde ich bei nächster Gelegenheit mal unserem Systempartner vorschlagen. Da mir mit meinen rudimentären Kenntnissen das Risiko der "Verschlimmbesserung" zu groß ist.
Die andere Variante (Umstellung Server-IP) werde ich bei nächster Gelegenheit mal unserem Systempartner vorschlagen. Da mir mit meinen rudimentären Kenntnissen das Risiko der "Verschlimmbesserung" zu groß ist.
Schlimm überhaupt das jemand der sich "Systempartner" nennt solch ein IP Netzwerk wählt für eine Installation !!
Scheinbar ist es mit Netzwerk Kenntnissen auch nicht so weit her bei denen..
Scheinbar ist es mit Netzwerk Kenntnissen auch nicht so weit her bei denen..
aqui, du weißt ja selbst, dass ein gewachsenes Netz eben nicht optimal ist. Manchmal gibt es das. Und wenn das Netz entsprechend groß ist und genügend Server mit fester IP eingebunden sind ist der Aufwand nicht gerade klein, jeden der Server umzustellen. Dazu die ganzen Skripte +Zeiterfassung + Warenwirtschaft + ... Jetzt wirst du sagen: "Wer keinen DHCP oder wenigstens DNS für sowas verwendet ist selbst schuld" - Richtig, aber manche Netze sind eben wie gesagt gewachsen. Und dazu kommt, dass manche Abteilungsleiter schlicht und ergreifend der Meinung sind, es bestünde kein Änderungsbedarf. Ich spreche da aus Erfahrung 
Sorry, aber das musste leider sein - niemand ist perfekt, weder du noch ich - und sicherlich kannst du dich auch noch deine Anfänge erinnern, oder?
Basilios hat gleich zu Beginn erwähnt, dass er sich noch nicht so gut auskennt, also sei bitte nicht ganz so barsch. Ich hoffe, du verstehst das als konstruktive Kritik.
Es soll nicht böse gemeint sein; ich denke einfach, dass sich alle Nutzer entspannter verhalten, wenn der Grundton offener ist.
Gruß, kingkong
Schlimm überhaupt, das s ...
Sorry, aber das musste leider sein - niemand ist perfekt, weder du noch ich - und sicherlich kannst du dich auch noch deine Anfänge erinnern, oder?
Basilios hat gleich zu Beginn erwähnt, dass er sich noch nicht so gut auskennt, also sei bitte nicht ganz so barsch. Ich hoffe, du verstehst das als konstruktive Kritik.
Es soll nicht böse gemeint sein; ich denke einfach, dass sich alle Nutzer entspannter verhalten, wenn der Grundton offener ist.
Gruß, kingkong
