Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Openvpn auf Ubuntu Server - Verbindung steht, Ping funktioniert, aber kein Zugriff auf Daten

Frage Linux Ubuntu

Mitglied: michi1983

michi1983 (Level 3) - Jetzt verbinden

10.02.2012, aktualisiert 18.10.2012, 6189 Aufrufe, 12 Kommentare

Hallo Admins,

ich bin irgendwie mit meinem Latein am Ende.

Ich habe einen Ubuntu Server 10.04 auf dem ich einen Openvpn Server installiert habe.
Ich nutze das tun0 interface.
Die ganzen Zertifikate sind erstellt und auch schon beim Client.
Wenn ich mich von meiner Windows 7 Kiste mittels Openvpn-gui auf den Server connecte, steht die Verbindung und ich bekomme eine IP Adresse zugewiesen.
Ich kann vom Client aus den Server anpingen und umgekehrt funktioniert es ebenso, der Server kann den Client also auch anpingen.

Wenn ich allerdings versuche ein Netzlaufwerk einzubinden oder einfach ein \\IP_DES_VPN_SERVERS im "ausführen" Fenster eingebe, kommt, dass diese IP nicht erreichbar ist.

Woran kann das liegen?

Gruß

Michael
Mitglied: aqui
10.02.2012, aktualisiert 18.10.2012
Hier findest du alle Details dazu:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Die Installation ist vollkommen Plattform unabhängig !
Dein Problem ist das das FW Profil tun0 Interface am Windows Rechner vermutlich (default) auf öffentlich steht. Damit blockt Winblows alles was dort von fremden Netzen reinkommt.
Dein Problem ist als einzig und allein ein Firewall Problem der lokalen Windows Firewall.
Stelle das auf Privat oder Arbeitsplatz oder customize es entsprechend mit den Ports und IPs die du durchlassen willst und alles wird gut !
Das du den Server anpingen kannst ist fürs Troubleshooting völlig irrelevant. Ein Ping auf alle Komponenten im remoten Netz sollte klappen und zeigt das das Routing funktioniert.
Wenn dein Ubuntu OpenVPN Server hinter einem NAT Router steht solltest du zwingend das hier beachten:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Leider kommen dazu von dir keinerlei Infos wie dein Design aussieht so können wir nur blöd raten hier...
Es ist möglich das die Default Gateways der Komponenten im remoten Netz dann auf den Router zeigen und der aber keine statische Route ins remote Netz auf den VPN Server hat.
Traceroute und Pathping sind hier deine Freunde die Wegeführung zu checken !
Bitte warten ..
Mitglied: michi1983
11.02.2012 um 13:00 Uhr
Hallo aqui,

danke für deine Antwort.

Die Firewall des Windows Clients hab ich natürlich schon angepasst und für das Interface TAP-Win32 deaktiviert.
Davor war nämlich nicht mal ein Ping vom Server auf den Client möglich.

Mein Openvpn Server hängt direkt am Modem unseres ISP. Ob der NAT "macht" bzw kann, weiß ich nicht 100%g, müsste ich den ISP fragen.
Mein Ubuntu Server hat 2 NICs, mit eth0 hängt er direkt am Modem und hat eine statische IP, eth1 ist das interne LAN.

Ich bin jetzt eine Woche auf Skiurlaub, melde mich dann in einer Woche diesbezüglich wieder.

Danke und Grüße
Bitte warten ..
Mitglied: aqui
12.02.2012 um 21:22 Uhr
Ist das Modem ein wirkliches "Modem" (also nur passiver Medienwandler) und deine PPPoE Zugangsdaten sind im Server oder ist das "Modem" ein NAT Router und du weisst nicht wirklich was der Unterschied ist ?!
Das solltest du sicher klären bevor wir hier ins Eingemachte gehen !
Bitte warten ..
Mitglied: michi1983
22.02.2012 um 10:51 Uhr
Hallo nochmal,

so, wir hatten vorgesten einen Providerwechsel im Haus und vor unserem Server (Ubuntu, 2 NICs, IPTABLES) stellt jetzt ein Thomson TG628s die Verbindung ins Internet her.
Laut Techniker dient er rein als Modem. Zugang hab ich keinen zu dem Thomson.

Kannst du damit was anfangen aqui?

Grüße
Bitte warten ..
Mitglied: aqui
23.02.2012 um 10:55 Uhr
Oha, dann hängt der Ubuntu direkt am Internet. OK, wenigstens Linux bekommt man ja halbwegs wasserdicht.
Ob dem so ist kannst du mit einem ifconfig Kommando sehen.
An einer NIC müsstest du dort eine öffentliche IP bekommen.
Hilfreich wäre nochmal die OpenVPN Server config Datei ob du auch das lokale Netzwerk dort an die Clients announced mit dem Push Route Kommando.
Checken kannst du das auf deinem W7 Client mit dem Kommando "route print" dort sollte dann das lokale LAN am Ubuntu mit dem OVPN Server als next Hop zu sehen sein.
Was du ganz sicher checken solltest ist die Firewall sowohl auf Server als auch Client.
Das tun Interface auf dem Win 7 Client bekommt fast immer das FW Profil öffentlich. Das musst du zwingend auf Arbeitsplatz oder privat umstellen sonst blockt das alles.
Analog am Server. Das lokale LAN sollte das Profil "intern" haben !
Ansonsten findest du im o.a. Tutorial ein paar Troubleshooting infos.
Bitte warten ..
Mitglied: michi1983
24.02.2012 um 11:16 Uhr
Also hier ist mal die ifconfig Ausgabe des Servers:
01.
eth0  Link encap:Ethernet  HWaddr 00:15:17:4b:bf:30   
02.
          inet addr:---.---.---.---  Bcast:---.---.---.---  Mask:255.255.255.248 
03.
          inet6 addr: fe80::215:17ff:fe4b:bf30/64 Scope:Link 
04.
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1 
05.
          RX packets:28372907 errors:0 dropped:0 overruns:0 frame:0 
06.
          TX packets:16742787 errors:0 dropped:0 overruns:0 carrier:0 
07.
          collisions:0 txqueuelen:100  
08.
          RX bytes:37718113692 (37.7 GB)  TX bytes:2705738648 (2.7 GB) 
09.
          Memory:88180000-881a0000  
10.
 
11.
eth1  Link encap:Ethernet  HWaddr 00:1b:21:0d:a1:c7   
12.
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0 
13.
          inet6 addr: fe80::21b:21ff:fe0d:a1c7/64 Scope:Link 
14.
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1 
15.
          RX packets:20502420 errors:8 dropped:0 overruns:0 frame:4 
16.
          TX packets:33122305 errors:0 dropped:0 overruns:0 carrier:0 
17.
          collisions:0 txqueuelen:100  
18.
          RX bytes:3828616053 (3.8 GB)  TX bytes:42656575585 (42.6 GB) 
19.
 
20.
lo       Link encap:Local Loopback   
21.
          inet addr:127.0.0.1  Mask:255.0.0.0 
22.
          inet6 addr: ::1/128 Scope:Host 
23.
          UP LOOPBACK RUNNING  MTU:16436  Metric:1 
24.
          RX packets:2562024 errors:0 dropped:0 overruns:0 frame:0 
25.
          TX packets:2562024 errors:0 dropped:0 overruns:0 carrier:0 
26.
          collisions:0 txqueuelen:0  
27.
          RX bytes:141098440 (141.0 MB)  TX bytes:141098440 (141.0 MB) 
28.
 
29.
tun0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00   
30.
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255 
31.
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1 
32.
          RX packets:169 errors:0 dropped:0 overruns:0 frame:0 
33.
          TX packets:154 errors:0 dropped:0 overruns:0 carrier:0 
34.
          collisions:0 txqueuelen:100  
35.
          RX bytes:9278 (9.2 KB)  TX bytes:6732 (6.7 KB)
Die öffentliche IP hab ich mal unkenntlich gemacht

Hier ist die server.conf des Openvpn Servers:
01.
port 1194 
02.
proto udp 
03.
dev tun 
04.
ca ca.crt 
05.
cert server.crt 
06.
key server.key  # This file should be kept secret 
07.
dh dh1024.pem 
08.
tls-auth ta.key 0 
09.
duplicate-cn 
10.
server 10.8.0.0 255.255.255.0 
11.
ifconfig-pool-persist ipp.txt 
12.
;push "route 192.168.2.0 255.255.255.0" 
13.
;push "redirect-gateway def1 bypass-dhcp" 
14.
;push "dhcp-option DNS 213.129.232.1" 
15.
;push "dhcp-option DNS 213.129.232.2" 
16.
;client-to-client 
17.
keepalive 10 120 
18.
comp-lzo 
19.
;max-clients 100 
20.
;user nobody 
21.
;group nogroup 
22.
persist-key 
23.
persist-tun 
24.
status openvpn-status.log 
25.
log         openvpn.log 
26.
;log-append  openvpn.log 
27.
verb 5 
28.
mute 20
Die Firewall des Win7 Clients ist definitiv deaktiviert, daran liegts also nicht.
Jedoch verwirrt mich deine Aussage bezüglich des tun Interfaces beim Win7 Client. Bei mir wird ein TAP-Win32 Interface installiert und kein tun Interface. Das ist aber schon korrekt so oder?

Wie stell ich beim Ubuntu Server das Lokale Netz auf "intern"? Was meinst du genau damit?

Ich kann dir wenn du möchtest auch meine IPTables schicken, allerdings nur als PM wenn du kurz drüber schauen möchtest.

"route print" am Client mach ich dann heute am Abend und werde das auch noch posten.

Hier noch ein netstat -nr vom Server:
01.
Kernel IP routing table 
02.
Destination     Gateway       Genmask                 Flags    MSS       Window  irtt    Iface 
03.
10.8.0.2             0.0.0.0         255.255.255.255    UH        0             0               0     tun0 
04.
---.---.--.---          0.0.0.0         255.255.255.248    U           0             0               0     eth0 
05.
192.168.2.0      0.0.0.0         255.255.255.0         U           0             0               0    eth1 
06.
10.8.0.0           10.8.0.2        255.255.255.0          UG        0             0               0    tun0 
07.
0.0.0.0           ---.---.---.---      0.0.0.0                        UG        0             0               0    eth0
Wobei mich grad wundert, die 1. unkenntlich gemachte IP in der 2. Zeile ist .208 am schluss, wobei unser Gateway eigentlich .209 ist (die 2. unkenntlich gemachte in der letzten Zeile ist die .209).

Gruß, Michael

Edit:
Hier noch die Ausgabe des "route print" des Win7 Clients

01.
IPv4-Routentabelle 
02.
=========================================================================== 
03.
Aktive Routen: 
04.
     Netzwerkziel    Netzwerkmaske          Gateway        Schnittstelle         Metrik 
05.
          0.0.0.0                0.0.0.0                 192.168.2.1     192.168.2.12          20 
06.
         10.8.0.1        255.255.255.255         10.8.0.5             10.8.0.6              30 
07.
         10.8.0.4        255.255.255.252    Auf Verbindung      10.8.0.6            286 
08.
         10.8.0.6        255.255.255.255   Auf Verbindung          10.8.0.6         286 
09.
         10.8.0.7        255.255.255.255   Auf Verbindung          10.8.0.6        286 
10.
        127.0.0.0        255.0.0.0                Auf Verbindung         127.0.0.1       306 
11.
        127.0.0.1      255.255.255.255   Auf Verbindung         127.0.0.1        306 
12.
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306 
13.
      192.168.2.0    255.255.255.0        Auf Verbindung      192.168.2.12    276 
14.
     192.168.2.12  255.255.255.255   Auf Verbindung      192.168.2.12    276 
15.
    192.168.2.255  255.255.255.255   Auf Verbindung      192.168.2.12    276 
16.
        224.0.0.0        240.0.0.0               Auf Verbindung         127.0.0.1         306 
17.
        224.0.0.0        240.0.0.0               Auf Verbindung      192.168.2.12    276 
18.
        224.0.0.0        240.0.0.0               Auf Verbindung          10.8.0.6          286 
19.
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1      306 
20.
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.2.12    276 
21.
  255.255.255.255  255.255.255.255   Auf Verbindung          10.8.0.6         286 
22.
=========================================================================== 
23.
Ständige Routen:  Keine
Bitte warten ..
Mitglied: aqui
28.02.2012, aktualisiert 18.10.2012
Dein Kardinalsfehler ist das fehlende push "route 192.168.2.0 255.255.255.0" Kommando in der Server Konfig ! Das ist bei dir mit einem ";" auskommentiert.
Lies dir bitte wirklich nochmal das Tutorial:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
für die Details durch. Die OpenVPN Konfig ist bei dir identisch und immer unabhängig von der verwendeten Hardware !!

Dort musst du unbedint das ; vor dem "push route" Kommando für dein lokales IP Netz entfernen und den OpenVPN Server neu starten lassen, damit er diese Konfig übernimmt.
Wichtig: Das Interface "eth1" auf dem Ubuntu muss in der Linux Firewall als "intern" eingestellt sein, das dort nichts geblockt wird !
Ist das alles so eingestellt MUSS ein Ping auf die 192.168.2.1 sprich die lokale Ubuntu Server IP sauber laufen.
Auch ein Ping auf alle Netzkomponenten, Clients etc. im 192.168.2.0er lokalen Netz an "eth1" sollten sauber funktionieren !
Achtung: Aber nur wenn diese alle auch die 192.168.2.1 als default Gateway eingetragen haben !!
Ansonsten fehlt die Client Route ins VPN und dann scheitert der Ping und auch alles andere. Das solltest du also sicher nochmal prüfen !
Nochwas wichtiges:
Ein dummes 192.168.2.0er IP Netz als lokales Netz im VPN Betrieb zu wählen ist nicht besonders intelligent. Warum ?? Siehe hier...:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...
.2.0 ist das klassische lokale IP Netz aller Speedport Schrottrouter...also millionenfach vertreten !
Da solltest du also dein Adressdesign nochmal genau überprüfen. Das könnte auch die Ursache deines o.a. Fehlers sein !!
Bitte warten ..
Mitglied: michi1983
28.02.2012 um 09:35 Uhr
Hallo,

danke für den Tipp.
Hab das push "route" soeben aktiviert und werde am Abend dann von zu Hause aus testen können ob das so funktioniert.
In der iptables ist eth1 als intern gelistet und darf somit "alles" machen.

Bezüglich deiner Anregung des Adresskonflikts:
Gehe ich dem nicht aus dem weg, indem ich aus dem VPN Netzt ein 10.8.0.0/24 mache und das interne Netz ein 192.168.2.0/24 Netz ist oder verstehe ich etwas grundlegendes nicht?
oder gehts hier darum, dass wenn ich zu Hause auch ein 192.168.2.0/24er Netz habe mich nicht auskenn ob ich nun ins lokale Netz im Büro pinge oder meine eignen Geräte im Netz?

Gruß
Bitte warten ..
Mitglied: aqui
01.03.2012 um 09:42 Uhr
Nein, ganz aus dem Weg gehst du dem damit logischerweise nicht.
Wenn du im Client mit aktiver OVPN Session mal ein route print eingibst, dann würdest du sehen das das 192.168.2.0er Netz über die 10.8.0.x in den VPN Tunnel geroutet wird.
Bist du nun aber mal an einem lokalen LAN oder WLAN unterwegs in einem 192.168.2.0er netzwerk was durch Speedport und Millionen anderer Router fast überall so ist, dann hast du mit einmal lokale ein 192.168.2.0er Netz und auch eins was über die Route ins VPN geht und schon ist es wieder aus mit dem VPN da nun doppelte IP Adressierung vorliegt und eine eindeutige Wegefindung im Routing unmöglich ist ! Ein Kardinalsfehler im TCP/IP.
Es gilt also niemals diese dummen Banal 192.168er netze als lokales LAN zu verwenden bei VPN wenn man sichergehen will.
Wenn du kannst wähle lieber ein 172.16-32.x.y /24er Netz dafür mit einer etwas "krummen" Nummer in Byte 2 und 3.
Bitte warten ..
Mitglied: michi1983
01.03.2012 um 22:57 Uhr
Hi aqui,

ich bins nochmal.
Ich verstehs echt nicht mehr

Habe jetzt das interne Firmen Netz auf 172.16.17.0/24 umgeändert.
Ich kann von meinem Client zu Hause mit aktiver OpenVPN Verbindung sowohl die 10.8.0.1 als auch die 172.16.17.1 anpingen.
Aber ich weiß nicht was ich noch machen soll, damit ich auf die Daten zugreifen kann.
Sobald ich im "Ausführen" Dialog \\10.8.0.1 oder \\172.16.17.1 eingebe, kommt die Fehlermeldung dass darauf nicht zugegriffen werden kann.
Die Windows FW ist komplett deaktiviert.

Hier ist nochmal die ausgabe von route print vom Windows 7 Client:

01.
 
02.
 
03.
IPv4-Routentabelle 
04.
=========================================================================== 
05.
Aktive Routen: 
06.
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik 
07.
          0.0.0.0          0.0.0.0      192.168.2.1     192.168.2.12     20 
08.
         10.8.0.1  255.255.255.255         10.8.0.5         10.8.0.6     30 
09.
         10.8.0.4  255.255.255.252   Auf Verbindung          10.8.0.6    286 
10.
         10.8.0.6  255.255.255.255   Auf Verbindung          10.8.0.6    286 
11.
         10.8.0.7  255.255.255.255   Auf Verbindung          10.8.0.6    286 
12.
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306 
13.
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306 
14.
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306 
15.
      172.16.17.0    255.255.255.0         10.8.0.5         10.8.0.6     30 
16.
      192.168.2.0    255.255.255.0   Auf Verbindung      192.168.2.12    276 
17.
     192.168.2.12  255.255.255.255   Auf Verbindung      192.168.2.12    276 
18.
    192.168.2.255  255.255.255.255   Auf Verbindung      192.168.2.12    276 
19.
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306 
20.
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.2.12    276 
21.
        224.0.0.0        240.0.0.0   Auf Verbindung          10.8.0.6    286 
22.
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306 
23.
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.2.12    276 
24.
  255.255.255.255  255.255.255.255   Auf Verbindung          10.8.0.6    286 
25.
=========================================================================== 
26.
St„ndige Routen: 
27.
  Keine
Gruß
Bitte warten ..
Mitglied: aqui
02.03.2012 um 16:48 Uhr
Die Routing Tabelle des Clients ist sauber also daran liegt es nicht mehr. Das kannst du auch sicher sehen wenn du mal ein traceroute 172.16.17.1 oder ein pathping 172.16.17.1 ausführst.
Damit ist die OpenVPN Verbindung selber also OK.
Was etwas unklar ist: Deine Daten befinden die sich auf dem Ubuntu Server selber ?? Also rennt darauf parallel ein Samba oder wie machst du die Datenverbindung auf ?
Kannst du eine SSH Verbindung auf den Ubuntu aufmachen ?
Wichtig ist auch noch die Ubuntu Firewall !! Die muss auf "intern" stehen oder so customized sein das Pakete mit 10.8.0er Absender IP passieren dürfen.
Vermutlich ist das jetzt nur noch ein Rechte oder FW Problem.
Bitte warten ..
Mitglied: michi1983
03.03.2012 um 10:22 Uhr
Hi aqui,

ich hab die iptables testweise mal komplett deaktiviert und siehe da, es funktioniert!

Werde also die Einstellungen an der iptables nochmal genau überprüfen und dann sollte das funktionieren.

Ich danke dir für deine Hilfe und Geduld

Gruß
Michi
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (1)

Frage von JulianOhm zum Thema Windows Server ...

Router & Routing
gelöst OpenVPN und PPTP Verbindung (3)

Frage von Veritas zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...