d0ckw0rka
Goto Top

OpenVPN-Server unter Windows Server 2008 - Internet funktioniert nicht

Guten Abend ihrs,

ich hatte vor Kurzem eine Testumgebung mit Windows 2008 Server R2 Standard und einem OpenVPN-Server eingerichtet.
Das Verbinden mittels OpenVPN funktioniert problemlos, auch kann ich den Host mittels IP-Adresse anpingen.

ping 192.168.1.2

Ping wird ausgeführt für 192.168.1.2 mit 32 Bytes Daten:
Antwort von 192.168.1.2: Bytes=32 Zeit=61ms TTL=127
Antwort von 192.168.1.2: Bytes=32 Zeit=61ms TTL=127
Antwort von 192.168.1.2: Bytes=32 Zeit=62ms TTL=127
Antwort von 192.168.1.2: Bytes=32 Zeit=62ms TTL=127

Ping-Statistik für 192.168.1.2:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 61ms, Maximum = 62ms, Mittelwert = 61ms

Wenn ich jedoch eine Internet-Seite (Google in meinem Testfall) anpingen will, dann wird die URL in die Adresse aufgelöst,
jedoch bekomme ich keine Antwort.

ping www.google.de

Ping wird ausgeführt für www-cctld.l.google.com [173.194.69.94] mit 32 Bytes Daten:
Zeitberschreitung der Anforderung.
Zeitberschreitung der Anforderung.
Zeitberschreitung der Anforderung.
Zeitberschreitung der Anforderung.

Ping-Statistik für 173.194.69.94:
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4
    (100% Verlust),

Ein Traceroute ergibt folgendes:

tracert www.google.de

Routenverfolgung zu www-cctld.l.google.com [173.194.69.94] ber maximal 30 Abschnitte:

  1    61 ms    61 ms    61 ms  DC1 [10.8.0.1]
  2     *        *        *     Zeitberschreitung der Anforderung.
  3     *        *        *     Zeitberschreitung der Anforderung.
  4     *        *        *     Zeitberschreitung der Anforderung.
...

Leider funktioniert so auch das "Surfen" durch den Tunnel funktioniert nicht.

Die RRAS-Dienste sind nicht installiert, somit sollte da nichts im Wege stehen; das Routing hatte ich mittels Registry-Eintrag aktiviert.

Meine OpenVPN-Konfigurationen:

Server.ovpn:
server 10.8.0.0 255.255.255.0

port 1294
proto udp
dev tun

dh "C:\\Program Files (x86)\\OpenVPN\\server-keys\\dh2048.pem"  
ca "C:\\Program Files (x86)\\OpenVPN\\server-keys\\ca.crt"  
cert "C:\\Program Files (x86)\\OpenVPN\\server-keys\\DC1.crt"  
key "C:\\Program Files (x86)\\OpenVPN\\server-keys\\DC1.key"   

push "redirect-gateway def1"  
push "redirect-gateway def1 bypass-dhcp"  
push "route 192.168.1.0 255.255.255.0"  
push "dhcp-option DNS 192.168.1.2"  

ifconfig-pool-persist "C:\\Program Files (x86)\\OpenVPN\\ipp.txt"  

keepalive 10 120
comp-lzo
persist-key
persist-tun

status "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn-status.log"  
log "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"  
log-append "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log"  
verb 3

Client.ovpn:
#OpenVPN Server conf
tls-client
client
dev tun
proto udp
tun-mtu 1400
float
remote meine.domain.ltd 1294

ca "C:\\Pfad\\zum\\Zertifikat\\ca.crt"  
cert "C:\\Pfad\\zum\\Zertifikat\\client.crt"  
key "C:\\Pfad\\zum\\Zertifikat\\client.key"  

comp-lzo
verb 3
ns-cert-type server

Ich stehe mal wieder auf'm Schlauch; habe bereits einige OpenVPN-Server unter Linux eingerichtet und genanntes Problem hatte ich bisher (zum Glück) noch nicht.
Wäre super wenn mir wer auf die Sprünge helfen könnte.

Danke im Voraus

Grüße
Thomas

Content-Key: 190115

Url: https://administrator.de/contentid/190115

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.08.2012 aktualisiert um 07:51:28 Uhr
Goto Top
Moin,

Ist das 10-er Netz im router (192.168.1.1?) eingetragen?

lks
Mitglied: d0ckw0rka
d0ckw0rka 24.08.2012 um 08:57:32 Uhr
Goto Top
Hallo und danke für deinen Hinweis.

Die Situation ist folgende:

GREEN Interface -> ...
/
ADSL -> Firewall <
\
DMZ (ORANGE Interface) |192.168.1.1| -> Windows 2008 Server R2 Standard |192.168.1.2| (mit OpenVPN)

Mein Verständnis hängt nun grad wieder ein Bisschen; muss die Route auf dem Windows Server eingetragen werden, oder in der Firewall davor? Irgendwie drängt sich mir der Windows-Server auf... also so in etwas Route zwischen 192.168.1.0 und 10.8.0.0 - wobei diese Route ja gesetzt wurde (und automatisch beim Start von OpenVPN gestartet wird).

Danke und Grüße
Thomas
Mitglied: tobi83
tobi83 24.08.2012 um 09:05:50 Uhr
Goto Top
Hi,

wenn du schon Erfahrung mit OpenVPN unter Linux hast, dann solltest du auch dabei bleiben, ich würde dir davon abraten einen produktiven Server direkt in Internet zu hängen. Oder läuft der VPNServer auf deiner Firewall?
Mitglied: d0ckw0rka
d0ckw0rka 24.08.2012 aktualisiert um 09:10:56 Uhr
Goto Top
Hallo,

würde nix lieber machen als diesen unter Linux zu betreiben, aber kann's mir leider nicht aussuchen, da dieser für unsere Entwickler als Testumgebung funktionieren soll (und sie brauchen unbedingt Ms Windows).

Der Server hängt nicht "direkt" im Internet, sondern im DMZ hinter unserer Firewall. Darauf wurde auch nur der entsprechende UDP-Port für das OpenVPN weitergeleitet - von daher mache ich mir somit erstmal keine Sorgen ;)

Grüße
Thomas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.08.2012 aktualisiert um 09:17:06 Uhr
Goto Top
nachdem der openVPN-Server auf dem W2K8 läuft, weiß der, wo 10.8.0.0/24 liegt. Das einfachste ist, die Route nach 10.8.0.0/24 auf dem default-Router in 192.168.1.0/24 einzutragen. Ob das die Firewall (192.168.1.1) ist (höchstwahrscheinlich sagt mir meine Kristallkugel), oder ein anderer weißt Du besser. Du kannst es durch eine ping auf 192.168.1.1 testen, ob Du überhaupt eine Antwort von der Firewall bekommst.

Läßt Die Firewall überhaupt Pakete aus 10.8.0.0/24 raus? -> Eventuell regeln anpassen.

Warum läuft openVPN überhaupt auf dem W2K8 und nicht auf der Firewall?

lks
Mitglied: d0ckw0rka
d0ckw0rka 24.08.2012 um 10:21:28 Uhr
Goto Top
Hallo,

also auf dem Windows Server werden die Routen beim Start von OpenVPN gesetzt.
Der Default-Router ist die Firewall (192.168.1.1).
Wenn ich vom Server aus einen TraceRoute nach Google mache, dann kommt folgendes:
tracert www.google.de

Tracing route to www-cctld.l.google.com [173.194.69.94]
over a maximum of 30 hops:
  1    <1 ms    <1 ms    <1 ms  192.168.1.1 (Gateway aka interne IP der Firewall im DMZ)
  2     1 ms    <1 ms     1 ms  192.168.2.250 (internet IP des Routers vor der Firewall)
...

Ob die Firewall aus dem DMZ anfragen vom 10.8.0.0/24 Netz rauslässt überprüfe ich gleich.

OpenVPN läuft gezwungenermaßen hinter der Firewall auf dem Server im DMZ, da auf der Firewall bereits ein OpenVPN für den Produktivbetrieb läuft, welcher aber nur für Verbindungen von unseren Aussendienstlern auf unseren Datenbestand gedacht ist und somit nicht den gesamten Traffic von denen durchreichen soll (also ohne push "redirect-gateway def1".
Unsere externen Entwickler allerdings benötigen, dass deren Traffic über unser Gateway hier raus geht.

Gruß
Thomas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.08.2012 um 10:31:38 Uhr
Goto Top
Zitat von @d0ckw0rka:
Hallo,

Tracing route to www-cctld.l.google.com [173.194.69.94]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.1.1 (Gateway aka interne IP der Firewall im DMZ)
2 1 ms <1 ms 1 ms 192.168.2.250 (internet IP des Routers vor der Firewall)
...


Ob die Firewall aus dem DMZ anfragen vom 10.8.0.0/24 Netz rauslässt überprüfe ich gleich.


Dabei auch gleich checken, ob auch ICMP irgendwo geblockt wird.

lks
Mitglied: 90857
90857 24.08.2012 um 10:36:20 Uhr
Goto Top
Nutzt ihr evtl. einen Proxy in der Firma?
Mitglied: d0ckw0rka
d0ckw0rka 24.08.2012 um 11:03:03 Uhr
Goto Top
Hallo,

ja, haben einen Proxy im Einsatz, jedoch greift dieser nicht für's DMZ face-smile

Gruß
Thomas
Mitglied: 90857
90857 24.08.2012 um 11:05:41 Uhr
Goto Top
Zitat von @d0ckw0rka:
Hallo,

ja, haben einen Proxy im Einsatz, jedoch greift dieser nicht für's DMZ face-smile

Gruß
Thomas

Ist schon klar. Aber geht der Laptop, nachdem er sich im VPN angemeldet hat, nicht ins "normale" Netz? Versuchs doch einfach mal und trag den Proxy ein.
Mitglied: d0ckw0rka
d0ckw0rka 24.08.2012 aktualisiert um 11:13:49 Uhr
Goto Top
Also der Client (mit welchem ich teste) ist über UMTS im Internet (hatte das aber auch von zuhause aus (über einen anderen DSL-Anschluss). Darüber verbindet er sich mittels OpenVPN mit dem OpenVPN-Server, welcher im DMZ (also nicht internes LAN, welches auch den Proxy verwendet) steht.

Vom DMZ aus kann ich nach draussen PINGEN und auch der normale Internetverkehr funktioniert; nur eben nicht wenn ich im DMZ mit einer von OpenVPN vergebenen Adresse bin.

Ich denke Lochkartenstanzer's Ansatz ist der Richtige - nämlich dass die Firewall keinen Traffic vom 10.8.0.0/24 Netz nach draussen lässt.

Da ich aber auf der Stelle trete werde ich gerne auch Mal versuchen, die Proxy-Einstellungen zu testen (hab mittlerweile allerhand versucht, welches kurzzeitig "vernünftig" klang face-smile)

Gruß
Thomas
Mitglied: aqui
aqui 24.08.2012 um 12:00:49 Uhr
Goto Top
Du hast immer noch nicht beantwortet wie du am Router/Firewall DMZ Interface mit dem 10.8.0.0er Netz verfährst.
Bedeneke immer das alle OVPN Clients aus dem VPN mit 10.8er Absender IPs ankommen am DMZ Router.
Es ist also essentiell wichtig WAS dieser Router mit diesen Paketen macht ?!
Du musst zwingend sofern es eine Firewall ist die die DMZ bedient diese IP Adressen passieren lassen in einer inbound Regel. Ferner musst du ebenso diese IPs im NAT/Masquerading dort zulassen, das die ins Internet geNATtet werden.
Auch MUSS auf dem Router/Firewall eine statische Route aufs 10.8er netz eingetragen sein mit Gateway auf die lokale OVPN Server LAN IP. Klar, denn der OVPN Server ist aus IP Sicht ja sowas wie ein Router fürs VPN.
Hast du das alles entsprechend gemacht im Router Firewall ??
Lies dir bitte dieses Tutorial dazu durch:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
im Abschnitt: "OpenVPN hinter einem bestehenden NAT Router betreiben"
Mitglied: d0ckw0rka
d0ckw0rka 24.08.2012 um 12:32:57 Uhr
Goto Top
Hallo nochmal,

wie bereits zuvor Lochkartenstanzer meinte, war genau das das Problem, nämlich, dass die Firewall den ausgehenden Traffic vom 10.8er Netz aus unterband. Das war auch der Ansatz, welchen ich gefolgt war.

Der Satz,
Zitat von @aqui:

Auch MUSS auf dem Router/Firewall eine statische Route aufs 10.8er netz eingetragen sein mit Gateway auf die lokale OVPN Server LAN IP.

hat mir schließlich die richtige Biege gegeben.

Die Lösung lag in (auf der Firewall):

route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.2 dmz-1

Hatte zuvor fälschlicherweise die 10.8.0.1 als Gateway verwendet.

Vielen Danke allen

Thema gelöst!

Gruß
Thomas
Mitglied: Lochkartenstanzer
Lochkartenstanzer 24.08.2012 aktualisiert um 12:49:18 Uhr
Goto Top
Zitat von @d0ckw0rka:

> route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.2 dmz-1
> 

Hatte zuvor fälschlicherweise die 10.8.0.1 als Gateway verwendet.


Das ist doch ganz einfach zu merken. Der "next hop" sprich das gateway muß i.d.R. immer im gleichen Netz liegen wie die Maschine, auf der die Route eingerichtet wird. Ausnahmen sind bei PPP- und SLIP-verbindungen vorhanden.

lks
Mitglied: aqui
aqui 24.08.2012 um 13:11:14 Uhr
Goto Top
Müssen wir wohl nochmal ein Tutorial schreiben zum Prinzip statischer Routen damit man das hier nicht immer täglich 3mal erklären muss face-wink
Gut wenns nun alles klappt !