Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OpenVPN-Server unter Windows Server 2008 - Internet funktioniert nicht

Frage Netzwerke

Mitglied: d0ckw0rka

d0ckw0rka (Level 1) - Jetzt verbinden

23.08.2012 um 23:54 Uhr, 6523 Aufrufe, 15 Kommentare

Guten Abend ihrs,

ich hatte vor Kurzem eine Testumgebung mit Windows 2008 Server R2 Standard und einem OpenVPN-Server eingerichtet.
Das Verbinden mittels OpenVPN funktioniert problemlos, auch kann ich den Host mittels IP-Adresse anpingen.

01.
ping 192.168.1.2 
02.
 
03.
Ping wird ausgeführt für 192.168.1.2 mit 32 Bytes Daten: 
04.
Antwort von 192.168.1.2: Bytes=32 Zeit=61ms TTL=127 
05.
Antwort von 192.168.1.2: Bytes=32 Zeit=61ms TTL=127 
06.
Antwort von 192.168.1.2: Bytes=32 Zeit=62ms TTL=127 
07.
Antwort von 192.168.1.2: Bytes=32 Zeit=62ms TTL=127 
08.
 
09.
Ping-Statistik für 192.168.1.2: 
10.
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 
11.
    (0% Verlust), 
12.
Ca. Zeitangaben in Millisek.: 
13.
    Minimum = 61ms, Maximum = 62ms, Mittelwert = 61ms
Wenn ich jedoch eine Internet-Seite (Google in meinem Testfall) anpingen will, dann wird die URL in die Adresse aufgelöst,
jedoch bekomme ich keine Antwort.

01.
ping www.google.de 
02.
 
03.
Ping wird ausgeführt für www-cctld.l.google.com [173.194.69.94] mit 32 Bytes Daten: 
04.
Zeitberschreitung der Anforderung. 
05.
Zeitberschreitung der Anforderung. 
06.
Zeitberschreitung der Anforderung. 
07.
Zeitberschreitung der Anforderung. 
08.
 
09.
Ping-Statistik für 173.194.69.94: 
10.
    Pakete: Gesendet = 4, Empfangen = 0, Verloren = 4 
11.
    (100% Verlust),
Ein Traceroute ergibt folgendes:

01.
tracert www.google.de 
02.
 
03.
Routenverfolgung zu www-cctld.l.google.com [173.194.69.94] ber maximal 30 Abschnitte: 
04.
 
05.
  1    61 ms    61 ms    61 ms  DC1 [10.8.0.1] 
06.
  2     *        *        *     Zeitberschreitung der Anforderung. 
07.
  3     *        *        *     Zeitberschreitung der Anforderung. 
08.
  4     *        *        *     Zeitberschreitung der Anforderung. 
09.
...
Leider funktioniert so auch das "Surfen" durch den Tunnel funktioniert nicht.

Die RRAS-Dienste sind nicht installiert, somit sollte da nichts im Wege stehen; das Routing hatte ich mittels Registry-Eintrag aktiviert.

Meine OpenVPN-Konfigurationen:

Server.ovpn:
01.
server 10.8.0.0 255.255.255.0 
02.
 
03.
port 1294 
04.
proto udp 
05.
dev tun 
06.
 
07.
dh "C:\\Program Files (x86)\\OpenVPN\\server-keys\\dh2048.pem" 
08.
ca "C:\\Program Files (x86)\\OpenVPN\\server-keys\\ca.crt" 
09.
cert "C:\\Program Files (x86)\\OpenVPN\\server-keys\\DC1.crt" 
10.
key "C:\\Program Files (x86)\\OpenVPN\\server-keys\\DC1.key"  
11.
 
12.
push "redirect-gateway def1" 
13.
push "redirect-gateway def1 bypass-dhcp" 
14.
push "route 192.168.1.0 255.255.255.0" 
15.
push "dhcp-option DNS 192.168.1.2" 
16.
 
17.
ifconfig-pool-persist "C:\\Program Files (x86)\\OpenVPN\\ipp.txt" 
18.
 
19.
keepalive 10 120 
20.
comp-lzo 
21.
persist-key 
22.
persist-tun 
23.
 
24.
status "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn-status.log" 
25.
log "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log" 
26.
log-append "C:\\Program Files (x86)\\OpenVPN\\log\\openvpn.log" 
27.
verb 3
Client.ovpn:
01.
#OpenVPN Server conf 
02.
tls-client 
03.
client 
04.
dev tun 
05.
proto udp 
06.
tun-mtu 1400 
07.
float 
08.
remote meine.domain.ltd 1294 
09.
 
10.
ca "C:\\Pfad\\zum\\Zertifikat\\ca.crt" 
11.
cert "C:\\Pfad\\zum\\Zertifikat\\client.crt" 
12.
key "C:\\Pfad\\zum\\Zertifikat\\client.key" 
13.
 
14.
comp-lzo 
15.
verb 3 
16.
ns-cert-type server
Ich stehe mal wieder auf'm Schlauch; habe bereits einige OpenVPN-Server unter Linux eingerichtet und genanntes Problem hatte ich bisher (zum Glück) noch nicht.
Wäre super wenn mir wer auf die Sprünge helfen könnte.

Danke im Voraus

Grüße
Thomas
Mitglied: Lochkartenstanzer
24.08.2012, aktualisiert um 07:51 Uhr
Moin,

Ist das 10-er Netz im router (192.168.1.1?) eingetragen?

lks
Bitte warten ..
Mitglied: d0ckw0rka
24.08.2012 um 08:57 Uhr
Hallo und danke für deinen Hinweis.

Die Situation ist folgende:

GREEN Interface -> ...
/
ADSL -> Firewall <
\
DMZ (ORANGE Interface) |192.168.1.1| -> Windows 2008 Server R2 Standard |192.168.1.2| (mit OpenVPN)

Mein Verständnis hängt nun grad wieder ein Bisschen; muss die Route auf dem Windows Server eingetragen werden, oder in der Firewall davor? Irgendwie drängt sich mir der Windows-Server auf... also so in etwas Route zwischen 192.168.1.0 und 10.8.0.0 - wobei diese Route ja gesetzt wurde (und automatisch beim Start von OpenVPN gestartet wird).

Danke und Grüße
Thomas
Bitte warten ..
Mitglied: tobi83
24.08.2012 um 09:05 Uhr
Hi,

wenn du schon Erfahrung mit OpenVPN unter Linux hast, dann solltest du auch dabei bleiben, ich würde dir davon abraten einen produktiven Server direkt in Internet zu hängen. Oder läuft der VPNServer auf deiner Firewall?
Bitte warten ..
Mitglied: d0ckw0rka
24.08.2012, aktualisiert um 09:10 Uhr
Hallo,

würde nix lieber machen als diesen unter Linux zu betreiben, aber kann's mir leider nicht aussuchen, da dieser für unsere Entwickler als Testumgebung funktionieren soll (und sie brauchen unbedingt Ms Windows).

Der Server hängt nicht "direkt" im Internet, sondern im DMZ hinter unserer Firewall. Darauf wurde auch nur der entsprechende UDP-Port für das OpenVPN weitergeleitet - von daher mache ich mir somit erstmal keine Sorgen ;)

Grüße
Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
24.08.2012, aktualisiert um 09:17 Uhr
nachdem der openVPN-Server auf dem W2K8 läuft, weiß der, wo 10.8.0.0/24 liegt. Das einfachste ist, die Route nach 10.8.0.0/24 auf dem default-Router in 192.168.1.0/24 einzutragen. Ob das die Firewall (192.168.1.1) ist (höchstwahrscheinlich sagt mir meine Kristallkugel), oder ein anderer weißt Du besser. Du kannst es durch eine ping auf 192.168.1.1 testen, ob Du überhaupt eine Antwort von der Firewall bekommst.

Läßt Die Firewall überhaupt Pakete aus 10.8.0.0/24 raus? -> Eventuell regeln anpassen.

Warum läuft openVPN überhaupt auf dem W2K8 und nicht auf der Firewall?

lks
Bitte warten ..
Mitglied: d0ckw0rka
24.08.2012 um 10:21 Uhr
Hallo,

also auf dem Windows Server werden die Routen beim Start von OpenVPN gesetzt.
Der Default-Router ist die Firewall (192.168.1.1).
Wenn ich vom Server aus einen TraceRoute nach Google mache, dann kommt folgendes:
01.
tracert www.google.de 
02.
 
03.
Tracing route to www-cctld.l.google.com [173.194.69.94] 
04.
over a maximum of 30 hops: 
05.
  1    <1 ms    <1 ms    <1 ms  192.168.1.1 (Gateway aka interne IP der Firewall im DMZ) 
06.
  2     1 ms    <1 ms     1 ms  192.168.2.250 (internet IP des Routers vor der Firewall) 
07.
...
Ob die Firewall aus dem DMZ anfragen vom 10.8.0.0/24 Netz rauslässt überprüfe ich gleich.

OpenVPN läuft gezwungenermaßen hinter der Firewall auf dem Server im DMZ, da auf der Firewall bereits ein OpenVPN für den Produktivbetrieb läuft, welcher aber nur für Verbindungen von unseren Aussendienstlern auf unseren Datenbestand gedacht ist und somit nicht den gesamten Traffic von denen durchreichen soll (also ohne push "redirect-gateway def1".
Unsere externen Entwickler allerdings benötigen, dass deren Traffic über unser Gateway hier raus geht.

Gruß
Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
24.08.2012 um 10:31 Uhr
Zitat von d0ckw0rka:
Hallo,
Tracing route to www-cctld.l.google.com [173.194.69.94]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms 192.168.1.1 (Gateway aka interne IP der Firewall im DMZ)
2 1 ms <1 ms 1 ms 192.168.2.250 (internet IP des Routers vor der Firewall)
...
</code>

Ob die Firewall aus dem DMZ anfragen vom 10.8.0.0/24 Netz rauslässt überprüfe ich gleich.


Dabei auch gleich checken, ob auch ICMP irgendwo geblockt wird.

lks
Bitte warten ..
Mitglied: jayjay0911
24.08.2012 um 10:36 Uhr
Nutzt ihr evtl. einen Proxy in der Firma?
Bitte warten ..
Mitglied: d0ckw0rka
24.08.2012 um 11:03 Uhr
Hallo,

ja, haben einen Proxy im Einsatz, jedoch greift dieser nicht für's DMZ

Gruß
Thomas
Bitte warten ..
Mitglied: jayjay0911
24.08.2012 um 11:05 Uhr
Zitat von d0ckw0rka:
Hallo,

ja, haben einen Proxy im Einsatz, jedoch greift dieser nicht für's DMZ

Gruß
Thomas

Ist schon klar. Aber geht der Laptop, nachdem er sich im VPN angemeldet hat, nicht ins "normale" Netz? Versuchs doch einfach mal und trag den Proxy ein.
Bitte warten ..
Mitglied: d0ckw0rka
24.08.2012, aktualisiert um 11:13 Uhr
Also der Client (mit welchem ich teste) ist über UMTS im Internet (hatte das aber auch von zuhause aus (über einen anderen DSL-Anschluss). Darüber verbindet er sich mittels OpenVPN mit dem OpenVPN-Server, welcher im DMZ (also nicht internes LAN, welches auch den Proxy verwendet) steht.

Vom DMZ aus kann ich nach draussen PINGEN und auch der normale Internetverkehr funktioniert; nur eben nicht wenn ich im DMZ mit einer von OpenVPN vergebenen Adresse bin.

Ich denke Lochkartenstanzer's Ansatz ist der Richtige - nämlich dass die Firewall keinen Traffic vom 10.8.0.0/24 Netz nach draussen lässt.

Da ich aber auf der Stelle trete werde ich gerne auch Mal versuchen, die Proxy-Einstellungen zu testen (hab mittlerweile allerhand versucht, welches kurzzeitig "vernünftig" klang )

Gruß
Thomas
Bitte warten ..
Mitglied: aqui
24.08.2012 um 12:00 Uhr
Du hast immer noch nicht beantwortet wie du am Router/Firewall DMZ Interface mit dem 10.8.0.0er Netz verfährst.
Bedeneke immer das alle OVPN Clients aus dem VPN mit 10.8er Absender IPs ankommen am DMZ Router.
Es ist also essentiell wichtig WAS dieser Router mit diesen Paketen macht ?!
Du musst zwingend sofern es eine Firewall ist die die DMZ bedient diese IP Adressen passieren lassen in einer inbound Regel. Ferner musst du ebenso diese IPs im NAT/Masquerading dort zulassen, das die ins Internet geNATtet werden.
Auch MUSS auf dem Router/Firewall eine statische Route aufs 10.8er netz eingetragen sein mit Gateway auf die lokale OVPN Server LAN IP. Klar, denn der OVPN Server ist aus IP Sicht ja sowas wie ein Router fürs VPN.
Hast du das alles entsprechend gemacht im Router Firewall ??
Lies dir bitte dieses Tutorial dazu durch:
http://www.administrator.de/contentid/123285
im Abschnitt: "OpenVPN hinter einem bestehenden NAT Router betreiben"
Bitte warten ..
Mitglied: d0ckw0rka
24.08.2012 um 12:32 Uhr
Hallo nochmal,

wie bereits zuvor Lochkartenstanzer meinte, war genau das das Problem, nämlich, dass die Firewall den ausgehenden Traffic vom 10.8er Netz aus unterband. Das war auch der Ansatz, welchen ich gefolgt war.

Der Satz,
Zitat von aqui:

Auch MUSS auf dem Router/Firewall eine statische Route aufs 10.8er netz eingetragen sein mit Gateway auf die lokale OVPN Server LAN IP.

hat mir schließlich die richtige Biege gegeben.

Die Lösung lag in (auf der Firewall):

01.
route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.2 dmz-1
Hatte zuvor fälschlicherweise die 10.8.0.1 als Gateway verwendet.

Vielen Danke allen

Thema gelöst!

Gruß
Thomas
Bitte warten ..
Mitglied: Lochkartenstanzer
24.08.2012, aktualisiert um 12:49 Uhr
Zitat von d0ckw0rka:
01.
> route add -net 10.8.0.0 netmask 255.255.255.0 gw 192.168.1.2 dmz-1 
02.
> 
Hatte zuvor fälschlicherweise die 10.8.0.1 als Gateway verwendet.


Das ist doch ganz einfach zu merken. Der "next hop" sprich das gateway muß i.d.R. immer im gleichen Netz liegen wie die Maschine, auf der die Route eingerichtet wird. Ausnahmen sind bei PPP- und SLIP-verbindungen vorhanden.

lks
Bitte warten ..
Mitglied: aqui
24.08.2012 um 13:11 Uhr
Müssen wir wohl nochmal ein Tutorial schreiben zum Prinzip statischer Routen damit man das hier nicht immer täglich 3mal erklären muss
Gut wenns nun alles klappt !
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst Windows-Explorer funktioniert nicht mehr Windows Server 2008 R2 (4)

Frage von Zeus0815 zum Thema Windows Server ...

Windows Server
gelöst NTP Server auf einem Windows Server 2008 R2 DC standardmäßig schon drauf? (11)

Frage von M.Marz zum Thema Windows Server ...

Netzwerkgrundlagen
gelöst Heimnetzwerk über Server im Internet und OpenVPN erreichbar machen (16)

Frage von byt0xm zum Thema Netzwerkgrundlagen ...

Windows Server
Windows Server 2008 R2 Aero-Design auf Remote Desktop geht nicht (3)

Frage von Motherboard33 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...