Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN keine Verbindung vom Client

Frage Netzwerke Router & Routing

Mitglied: mike7050

mike7050 (Level 2) - Jetzt verbinden

14.11.2014, aktualisiert 13:05 Uhr, 5245 Aufrufe, 14 Kommentare

Hallo,

ich habe OpnVPN eingerichtet für einen Server und einen Client.

Das OS ist bei beiden Windows 8.1. Auf dem Server habe ich erfolgreich eine Verbindung aufgebaut und es erscheint verbunden mit Server IP10.0.0.1

Die Windows Firewall ist bei beiden Rechnern ausgeschaltet. Die Portweiterleitung ist auf einer Fritz!Box 7390 eingerichtet auf den Port Udp 1194.

Die sebguhl.ddns.net lässt sich anpingen. Der Verbindungsversuch erfolgt vom Client nicht über das lokale Netzwerk.

Die OpenVPN-gui.exe wird mit Administratorrechten gestartet. Die Fehlermeldung die dann ausgegeben wird ist:
Verbindung zu Client ist fehlgeschlagen!

Eine Log Datein wird erst gar nicht erzeugt. Folgender Test funktioniert nicht:

C:\Programme\OpenVPN\config>..\bin\openvpn.exe --config server.ovpn

Die config - Datei vom Client sieht so aus:

01.
remote sebguhl.ddns.net 
02.
# die öffentliche IP (oder dyndns-Name) des Routers auf der Server-Seite 
03.
 
04.
port 1194 
05.
# legt den zu verwendenen Port fest (muß gleich dem Port beim Server sein) 
06.
 
07.
proto udp 
08.
 
09.
dev tap 
10.
 
11.
dev-node openvpn 
12.
# Achtung: Groß-/Kleinschreibung beachten 
13.
 
14.
tls-client 
15.
# "ich bin der Client" 
16.
 
17.
ca   "C:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt" 
18.
# vollständige Pfadangabe ergänzen, doppelte "\\" beachten 
19.
 
20.
key  "C:\\Programme\\OpenVPN\\easy-rsa\\keys\\vpnclient01.key" 
21.
cert "C:\\Programme\\OpenVPN\\easy-rsa\\keys\\vpnclient01.crt" 
22.
 
23.
ns-cert-type server 
24.
# der Server überprüft die Zertifikate auf Gültigkeit 
25.
 
26.
comp-lzo 
27.
 
28.
pull 
29.
# "pull" muß in der Client-config stehen, damit die push-Anweisungen 
30.
# vom Server geholt werden 
31.
Die folgenden Einstellungen dienen dazu, die Verbindung stabiler gegen Verbindungsabbrüche zu machen und legt die Protokollierstufe fest. Die client.ovpn kann optional mit diesen ergänzt werden. 
32.
Code: 
33.
tun-mtu 1500 
34.
tun-mtu-extra 32 
35.
# siehe Hinweis oben: wenn "tun-mtu" und "tun-mtu-extra", 
36.
# dann in beiden configs (Server + Client) 
37.
verb 3 
38.
mute 50 
39.
persist-key 
40.
persist-tun 
41.
log-append openvpn.log
Bitte um Hilfe!

VG Mike
Mitglied: orcape
14.11.2014 um 16:23 Uhr
Hi,
noch ein paar offene Fragen...
- wie geht der remote Client ins Internet ?
- wie sehen die Routingprotokolle auf dem Server aus ?
- gibt es Logs auf dem Server ?
Gruß orcape
Bitte warten ..
Mitglied: mike7050
14.11.2014 um 16:53 Uhr
Hi,

der Client geht über eine Tethering Verbindung über mein Smartphone ins Internet.

Serverlogs und Protokolle da wüsste ich gerne wie ich die einsehen kann. Wie gesagt auch am Server bekomme ich keine Log Datei angezeigt. Es kommt die Meldung ob ich eine erstellen möchte ( wenn ich das aus dem Kontextmenü der GUI auswähle).

Ist der erste Tunnel

Gruß
Bitte warten ..
Mitglied: orcape
14.11.2014 um 17:17 Uhr
der Client geht über eine Tethering Verbindung über mein Smartphone ins Internet.
..das könnte so schon zum Problem werden.
Die UMTS-Provider machen in der Regel NAPT (Network Address Port Translation).
Es läuft, wenn Du Glück hast ein OpenVPN-Client, den Server brauchst Du gar nicht erst versuchen, da kein DynDNS funktioniert.
Du solltest die Konfiguration erst mal an einem normalen DSL, bzw. mit 2 verbundenen Rechnern im LAN testen (conf. entsprechend anpassen), bevor Du mit einem Smartphone a´ la Windows loslegst.
Gruß orcape
Bitte warten ..
Mitglied: mike7050
26.11.2014 um 19:49 Uhr
Hallo,

leider komme ich nicht weiter und bitte euch um Hilfe!

Ich weis einfach nicht wo ich noch suchen soll!

Meine Config sieht nun so wie u.a. aus!

Der Test erfolgt nun nur lokal im eigenen Netz.

Die config - Datei vom Server sieht so aus:

01.
port 1194 
02.
# legt den zu verwendenen Port fest 
03.
 
04.
proto udp 
05.
# Verwendung des Protokolls UDP (Standard) 
06.
 
07.
mode server 
08.
# "ich bin der Server" 
09.
 
10.
dev tap 
11.
# verwendet das tap-device 
12.
 
13.
dev-node openvpn 
14.
# "openvpn" heißt mein virtueller und umbenannter Netzwerkadapter 
15.
# Achtung: hierbei wird Groß-/Kleinschreibung unterschieden !!! 
16.
 
17.
ifconfig 10.0.0.1 255.255.255.0 
18.
# legt die IP-Adresse und Subnetzmaske für den Server fest 
19.
 
20.
ifconfig-pool 10.0.0.2 10.0.0.9 
21.
# legt einen IP-Adresspool für die Clients fest. 
22.
# Der Bereich kann an die eigenen Bedürfnisse bzw. an die Anzahl der Clients angepaßt werden. 
23.
 
24.
client-to-client 
25.
# die Clients (falls mehrere) können sich untereinander sehen 
26.
 
27.
tls-server 
28.
# schaltet TLS ein und Rolle des Servers beim Handshake 
29.
 
30.
dh   c:\\Programme\\OpenVPN\\easy-rsa\\keys\\dh1024.pem 
31.
# Pfad zur Datei dh1024.pem (die doppelten Backslashes müssen sein!) 
32.
 
33.
ca   c:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt 
34.
# Pfad zur Datei ca.crt (die doppelten Backslashes müssen sein!) 
35.
 
36.
key  c:\\Programme\\OpenVPN\\easy-rsa\\keys\\server01.key 
37.
# Pfad zur Datei server1.key (die doppelten Backslashes müssen sein!) 
38.
 
39.
cert c:\\Programme\\OpenVPN\\easy-rsa\\keys\\server01.crt 
40.
# Pfad zur Datei server1.crt (die doppelten Backslashes müssen sein!) 
41.
 
42.
comp-lzo 
43.
# Einschalten der Komprimierung 
44.
 
45.
push "route-gateway 10.0.0.1" 
46.
# legt beim Client das Gateway für Verbindungen in das Netz des Servers fest 
47.
# als route-gateway muß die IP-Adresse des virtuellen Netzwerkadapters des 
48.
# Servers angegeben werden, also die VPN-IP (siehe auch oben bei "ifconfig...")

Unter dem Befehl:
cmd.exe
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Dokumente und Einstellungen\dtsr>cd c:\Programme\OpenVPN
C:\Programme\OpenVPN\config>..\bin\openvpn.exe --config server.ovpn

kommt die Meldung:
........
Sun Nov 25 02:27:08 2007 us=783984 Initialization Sequence Completed

also alles bestens!

Beim starten der der openVPN Verbindung auf dem Server kommt dann:

Server ist nun verbunden
Zugewiesene IP: 10.0.0.1

also ok!



Die config - Datei vom Client sieht so aus:

01.
client 
02.
remote 192.168.178.21 1194 
03.
port 1194 
04.
proto udp 
05.
dev tap 
06.
dev-node openvpn 
07.
tls-client 
08.
ca   "C:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt" 
09.
key  "C:\\Programme\\OpenVPN\\easy-rsa\\keys\\vpnclient01.key" 
10.
cert "C:\\Programme\\OpenVPN\\easy-rsa\\keys\\vpnclient01.crt" 
11.
ns-cert-type server 
12.
comp-lzo 
13.
pull 
14.
 
15.
Code: 
16.
tun-mtu 1500 
17.
tun-mtu-extra 32 
18.
verb 3 
19.
mute 50 
20.
persist-key 
21.
persist-tun 
22.
log-append openvpn.log
Beim Versuch die Verbindung aufzubauen kommt nur das weiße Fenster mit der Meldung:

Verbindung zu client ist fehlgeschlagen.

Die Windows Firewall ist ausgestellt!

hmmm...? Hilfe wäre super

VG
Mike
Bitte warten ..
Mitglied: orcape
26.11.2014, aktualisiert um 20:06 Uhr
Die config - Datei vom Client sieht so aus:
remote 192.168.178.21 1194
....das ist die private IP Deiner Fritzbox, wie soll da der Client eine Verbindung initiieren.
Du brauchst da schon Deinen DynDNS-Eintrag oder eine Feste-IP auf dem WAN-Interface Deiner Fritte.
Auch wenn Du da ein Portforwarding gemacht hast.
Gruß orcape
Bitte warten ..
Mitglied: aqui
27.11.2014 um 21:27 Uhr
Kollege Orcape hat Recht. Beim Server sieht soweit alles gut aus...
Unter remote a.b.c.d wir die Ziel IP Adresse des Servers definiert. Das ist per se erstmal richtig !

Da du ja schreibst du hast das in einem Testaufbau auf gesetzt wäre wichtig zu erfahren WO denn jetzt der Client angeschlossen ist bzw. WIE der im Testaufbau mit deinem Server direkt kommuniziert ??
Bedenke das beide Geräte (Server und Cient) nicht im selben IP Segment liegen dürfen.

Du hast zudem noch einen Kardinalsfehler in deiner Server Konfig, denn dort fehlt das Push Route Kommando das das lokale LAN des Servers an den Client in die Route Table sendet.
Deine Server Konfig oben bewirkt das ein VPN Client einzig nur den Server per VPN erreichen kann und sonst nix. Wenn dir das reicht ist das OK und kein Fehler.
Die Pool Kommandos in interne IP Zuweisung (Zeile 17 und 20) ist übrigens vollkommen überflüssig. Das kann man mit einer einzigen simplen Zeile server 10.0.0.0 255.255.255.0 erledigen. Den Rest erledigt dann OVPN automatisch so das auch Zeile 45 damit obsolet ist !

Dein Grundproblem ist aber das der Client hier scheinbar NICHT den Server IP seitig erreichen kann. Das siehst du an den vollkommen fehlenden Log Einträgen bei einem Verbindungsversuch !!
Ein fast sicheres Indiz das die UDP 1194er VPN Pakete entweder in der lokalen Client Firewall oder in der lokalen Server Firewall hängenbleiben !!
Ein typischer Winblows Fehler, denn denn die Winblows typische Netzwerk Detection kann das IP netzwerk des virtuellen Tunnel Adapters nicht zuordnen und nimmt dann ein öffentliches netzwerk an mit dem entsprechenden Profil. Das blockt aber gnadenlos jeden Traffic der eingehend ist.
Mit dem Ergebnis das du siehst !!
Konzentrier dich also auf den Bereich oder deaktiviere komplett das Firewalling bei beiden !
Bitte warten ..
Mitglied: orcape
28.11.2014, aktualisiert um 05:20 Uhr
@aqui
Bedenke das beide Geräte (Server und Cient) nicht im selben IP Segment liegen dürfen.
TAP-Device
..auch unterschiedliche IP-Netze ?
Mit der Winblows-Firewall wirst Du wohl nicht ganz falsch liegen.
Der Test erfolgt nun nur lokal im eigenen Netz.
...das hatte ich überlesen.
Gruß orcape
Bitte warten ..
Mitglied: mike7050
02.12.2014 um 09:00 Uhr
Hallo,

okay vielen Dank werde am Wochenende noch einmal alles versuchen!

Gruß
Mike
Bitte warten ..
Mitglied: aqui
03.12.2014 um 19:47 Uhr
Wir sind gespannt....!
Bitte warten ..
Mitglied: mike7050
05.12.2014, aktualisiert um 17:55 Uhr
Hallo,

hier habe ich noch einmal die Server config etwas modifiziert:

01.
port 1194 
02.
# legt den zu verwendenen Port fest 
03.
 
04.
proto udp 
05.
# Verwendung des Protokolls UDP (Standard) 
06.
 
07.
mode server 
08.
# "ich bin der Server" 
09.
 
10.
dev tap 
11.
# verwendet das tap-device 
12.
 
13.
dev-node openvpn 
14.
# "openvpn" heißt mein virtueller und umbenannter Netzwerkadapter 
15.
# Achtung: hierbei wird Groß-/Kleinschreibung unterschieden !!! 
16.
 
17.
server 10.0.0.0 255.255.255.0 
18.
 
19.
client-to-client 
20.
# die Clients (falls mehrere) können sich untereinander sehen 
21.
 
22.
tls-server 
23.
# schaltet TLS ein und Rolle des Servers beim Handshake 
24.
 
25.
dh   c:\\Programme\\OpenVPN\\easy-rsa\\keys\\dh1024.pem 
26.
# Pfad zur Datei dh1024.pem (die doppelten Backslashes müssen sein!) 
27.
 
28.
ca   c:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt 
29.
# Pfad zur Datei ca.crt (die doppelten Backslashes müssen sein!) 
30.
 
31.
key  c:\\Programme\\OpenVPN\\easy-rsa\\keys\\server01.key 
32.
# Pfad zur Datei server1.key (die doppelten Backslashes müssen sein!) 
33.
 
34.
cert c:\\Programme\\OpenVPN\\easy-rsa\\keys\\server01.crt 
35.
# Pfad zur Datei server1.crt (die doppelten Backslashes müssen sein!) 
36.
 
37.
comp-lzo 
38.
# Einschalten der Komprimierung 
39.
 
40.
push "route-gateway 10.0.0.1" 
41.
# legt beim Client das Gateway für Verbindungen in das Netz des Servers fest 
42.
# als route-gateway muß die IP-Adresse des virtuellen Netzwerkadapters des 
43.
# Servers angegeben werden, also die VPN-IP (siehe auch oben bei "ifconfig...")
Beide Firewalls habe ich auf den Win 8 PC´s per Befehl "netsh advfirewall set allprofiles state off"
ausgeschaltet!

Ich habe den UDP Port 1194 freigegeben!

Leider kommt immer nur noch das weis leere Fenster am Client mit der Fehlermeldung:
Verbindung zu Client fehlgeschlagen!

VG
Mike
Bitte warten ..
Mitglied: aqui
05.12.2014 um 19:14 Uhr
Das Kommando push "route-gateway 10.0.0.1" ist definitiv falsch auf dem Server ! Dort sollte:
push "route 192.168.1.0 255.255.255.0"
stehen !
Wobei die 192.168.1.0 hier das lokale LAN Netzwerk des Servers ist ! Das solltest du korrigieren.
Hilfreich wäre dann einmal das Server Log hier zu posten wenn du einen Verbindungsaufbau startest um zu sehen das eingehende OVPN Pakete (UDP 1194) dort überhaupt ankommen. Alternativ auch hier einen Sniffer wie Wireshark oder Windows NetMonitor laufen lassen.

Starte parallel auch mal einen Wireshark Sniffer auf dem Client und sieh mal nach ob überhaupt Antwortpakete vom OVPN Server kommen.
Grob sieht es so aus also ob zwischen Client und Server irgendwo ne Firewall oder NAT existiert die den Zugriff blockt !

Wie sieht den Testszenario aus ?
Wo ist der Client und wo ist der Server ? Sind da NAT Router / Firewalls dazwischen ? Ist das eine Real Life Umgebung ?
Bitte warten ..
Mitglied: mike7050
08.12.2014 um 19:49 Uhr
Hallo,

die Server log funktioniert leider nicht:

01.
Options error: --server already defines an ifconfig-pool, so you can't also specify --ifconfig-pool explicitly 
02.
Use --help for more information.
Wireshark zeigt keinen positiven echo request beim Verbindungsaufbau an! Ein einfacher ping per CMD jedoch schon und der Server ist über seine IP 192.168.178.21 erreichbar. Aber über die 10.0.0.1 wird der Ping abgelehnt.

Das Tablet (Client) zum Test ist einfach im lokalen WLAN Netz und der PC (Server) ist per LAN Kabel im lokalen Netzwerk. Der Router ist hier eine Fritz!Box 7290 WLAN. Beide können kommunizieren! Die Windows Firewalls sind abgestellt und selbst der UDP Port 1194 ist freigegeben!!

Die Logdatei funktionier bei beiden Rechnern nicht!?

hmm..?

Gruß
Mike
Bitte warten ..
Mitglied: aqui
09.12.2014 um 10:59 Uhr
die Server log funktioniert leider nicht:
Warum nicht ?? Im Default ist das immer aktiv und du kannst den gesamten Login Prozess mitlesen ?
Hast du das deaktiviert ?
Wireshark zeigt keinen positiven echo request beim Verbindungsaufbau an
Wiese "beim Verbindungsaufbau" ?? Da gibts ja gar keinen Ping. Pingen kannst du erst wenn die VPN Verbindung steht !
Den echo request solltest du aber immer sehen können ! Wenn nicht dann werkelt irgendwo noch eine Firewall die ICMP blockt bei dir !
der Server ist über seine IP 192.168.178.21 erreichbar
Lokal im LAN oder wie ?? Das ist klar das das geht. Wichtig ist aber einzig der Ping übers VPN !
Das Tablet (Client) zum Test ist einfach im lokalen WLAN Netz und der PC (Server) ist per LAN Kabel im lokalen Netzwerk.
Das kann so nicht gehen ! Der Client muss in einem separatem Netz sein wie es auch in Wirklichkeit der Fall ist. Ansonsten will der Server per "push route" die lokale Route an den Client schicken der im gleichen netz ist und das gibt dann ein Routing Problem da der Client das gleiche Netz dann einmal lokal und einmal remote sieht und die Verbindung abbricht.
Die Logdatei funktionier bei beiden Rechnern nicht!?
Wie gesagt: WARUM nicht ?? Auch das ist schonmal nicht normal bei dir ! Irgendwas ist da ziemlich faul mit deiner Installation !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

Firewall
gelöst PFSense Squid Proxy über OpenVpn Verbindung nutzen (4)

Frage von horstvogel zum Thema Firewall ...

LAN, WAN, Wireless
gelöst OpenVPN Verbindung kommt nicht zustande (35)

Frage von Xandros zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...