Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme mit der Verbindung vom Openvpn Client zum Openvpn Server

Frage Netzwerke

Mitglied: technoraver08

technoraver08 (Level 1) - Jetzt verbinden

15.12.2009, aktualisiert 18.10.2012, 7755 Aufrufe, 15 Kommentare

Hallo,

ich habe mir gerade auf meinem Linux Server den Openvpn Dienst installiert.

Im Router habe ich den Port 1194 freigeschaltet. Über NAT. Interne IP vom Server 192.168.2.2

Leider funktioniert die Verbindung vom Client zum Server nicht.

Hier die Server Config Datei:

01.
  
02.
# Port Standardport 1194 
03.
port 1194 
04.
 
05.
# Die Revoke Liste überprüfen 
06.
#crl-verify /etc/ssl/crl.pem 
07.
 
08.
# TCP oder UDP? 
09.
proto udp 
10.
mode server 
11.
tls-server 
12.
 
13.
dev tap 
14.
 
15.
#Unsere Server IP 
16.
ifconfig 192.168.2.2 255.255.255.0 
17.
ifconfig-pool 192.168.2.2 192.168.2.9 
18.
#Server IP Adresse (Adressbereich. in dem Fall alles von 10.10.10.0) 
19.
#server  
20.
 
21.
#Wo liegen unsere Zertifikate 
22.
ca /etc/ssl/vpn-ca.pem 
23.
cert /etc/ssl/Zertifikate/server_cert.pem 
24.
key /etc/ssl/private/server_key.pem 
25.
 
26.
#Diffie-Hellmann Parameter 
27.
dh /etc/ssl/dh2048.pem 
28.
 
29.
#Die Selbe IP in der nächsten Sitzung vergeben 
30.
#ifconfig-pool-persist ipp.txt 
31.
 
32.
#IPs in den IP Tables eintragen, DNS neu vergeben und über Den Server das Routing machen, dass man z.B. über den Tunnel auf ein 
33.
# lokales Intranet zuzugreifen 
34.
#push "route 10.0.0.0 255.0.0.0" 
35.
#push "dhcp-option DNS 192.168.1.xyz" 
36.
#push "redirect-gateway" 
37.
#push "route 0.0.0.0 0.0.0.0" 
38.
 
39.
#Authentifizierungsmethode 
40.
auth SHA1 
41.
 
42.
#Verschlüsselungs Algorithmus 
43.
cipher aes-256-cbc 
44.
 
45.
#Benutze Komprimierung 
46.
comp-lzo 
47.
 
48.
#Setzt die Rechte 
49.
user nobody 
50.
group nogroup 
51.
 
52.
#Wird wegen user nobody/group nobody benötigt. 
53.
persist-key 
54.
persist-tun 
55.
 
56.
#Logging 0, (Zum testen:5) 
57.
verb 7


Hier die Client Config Datei:

01.
  
02.
 
03.
#Festlegen als was fungiert wird 
04.
tls-client 
05.
pull 
06.
 
07.
# Methode festlegen tun oder tap 
08.
dev tap 
09.
 
10.
# Protokoll auswaehlen udp oder tcp 
11.
proto udp 
12.
 
13.
# IP/Name und Port des Servers 
14.
remote raver.ath.cx 1194 
15.
 
16.
# Auflösen des Hostnames des Servers (wegen nicht permanent mit dem Internet verbundenen Rechnern) 
17.
resolv-retry infinite 
18.
 
19.
# Localen Port festlegen oder freigeben 
20.
nobind 
21.
 
22.
 
23.
# Verbindung immer gleich halten 
24.
persist-key 
25.
persist-tun 
26.
 
27.
#zu verwendende Zertifikate und Schlüssel 
28.
ca C:\\Programme\\Openvpn\\config\\vpn-ca.pem 
29.
cert C:\\Programme\\Openvpn\\config\\Client1_cert.pem 
30.
key C:\\Programme\\Openvpn\\config\\Client1_key.pem 
31.
 
32.
# Verschlüsselung 
33.
cipher AES-256-CBC 
34.
 
35.
# Komprimiernug 
36.
comp-lzo 
37.
 
38.
# Authentifizierungsmethode 
39.
auth SHA1 
40.
 
41.
# "Gesprächigkeit" des Tunnels 
42.
verb 3 
43.
 
44.
# Silence repeating messages 
45.
mute 20


Hier die Log Datei vom Client:

http://technoraver.com/network/Client_log.txt

Was muss ich ändern, damit die Verbindung zum Server läuft?

Vielen Dank schon mal im voraus für die Hilfe.
Mitglied: xm-bit
15.12.2009 um 11:36 Uhr
Hi,

ich würd sagen, das du folgende Zeilen änderst:

#zu verwendende Zertifikate und Schlüssel

ca C:\Programme\Openvpn\config\vpn-ca.pem
cert C:\Programme\Openvpn\config\Client1_cert.pem
key C:\Programme\Openvpn\config\Client1_key.pem

Hab das mal mit meiner config verglichen.
Bei mir läuft es mit einem \

mfg
Sascha
Bitte warten ..
Mitglied: technoraver08
15.12.2009 um 11:46 Uhr
hi Sascha,

vielen Dank für die Antwort.

Sonst ist die Config richtig?

Was bedeutet das?

01.
Sun Dec 13 23:11:53 2009 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 
02.
Sun Dec 13 23:11:53 2009 TLS Error: TLS object -> incoming plaintext read error 
03.
Sun Dec 13 23:11:53 2009 TLS Error: TLS handshake failed
Bitte warten ..
Mitglied: aqui
15.12.2009, aktualisiert 18.10.2012
Das bedeutet das der Client sehr wohl auf den Server kommt (Was du oben schreibst stimmt also nicht !!) aber auch das diene Zertifikate nicht stimmen.

Probier es doch IMMER erst wasserdicht im lokalen Netzwerk aus !! Wenn der Client da eine Verbindung sauber hinbekommt klappt es auch immer remote !!
Hier kannst du nochmal nachlesen wie man korrekte Zertifikate generiert:
http://www.openvpn.net/index.php/open-source/documentation/howto.html#p ...

Dieses Tutorial sollte dir dann helfen es auch praktisch in die Tat umzusetzen:

http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: technoraver08
16.12.2009, aktualisiert 18.10.2012
Zitat von aqui:
Das bedeutet das der Client sehr wohl auf den Server kommt (Was du oben schreibst stimmt also nicht !!) aber auch das diene
Zertifikate nicht stimmen.

Probier es doch IMMER erst wasserdicht im lokalen Netzwerk aus !! Wenn der Client da eine Verbindung sauber hinbekommt klappt es
auch immer remote !!
Hier kannst du nochmal nachlesen wie man korrekte Zertifikate generiert:
http://www.openvpn.net/index.php/open-source/documentation/howto.html#p ...

Dieses Tutorial sollte dir dann helfen es auch praktisch in die Tat umzusetzen:

http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...

Hey, vielen Dank für die Infos und den Link...

Ich habe jetzt die Zertifikate erneut erstellt und bekomme jetzt auch eine Verbindung.

Wenn ich mich mit dem Server verbinde, bekommt der Client die IP Adresse vom Server. Ich kann dann nicht auf den Server zugreifen.

Hier die IP Config vom OpenVPN Server (server.ovpn):

01.
#Unsere Server IP  
02.
ifconfig 192.168.2.2 255.255.255.0  
03.
ifconfig-pool 192.168.2.2 192.168.2.9  
04.
#Server IP Adresse (Adressbereich. in dem Fall alles von 10.10.10.0) 
Bei mir im Netzwerk hat der Server die IP: 192.168.2.2.

Was muss ich ändern, damit ich eine andere IP Adresse bekomme?
Bitte warten ..
Mitglied: aqui
16.12.2009, aktualisiert 18.10.2012
Rennt bei dir eine Firewall, iptables ?? Das ist in der Regel der böse Buhmann der den Zugriff verhindert...eigentlich auch logisch.
Customize also deine Firewall und das löst dein problem im Handumdrehen !!

Bedenke aber IMMER ein paar grundlegende Designregeln bei VPN:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...

Von deinem Banal IP Netz 192.168.2.0 solltest du allso besser Abstand nehmen, denn das hat jeder Dummbatz Speetport Router und diverse andere auch ! Da wirst du also relativ schnell erhebliche Probleme bekommen.
Such dir also für dein lokales Netzwerk etwas mwhr exotischeres aus !!
Beispiel: Lokales Netzwerk: 172.30.202.0 /24 und das OpenVPN Servernetz: 10.30.202.0 /24
In der OpenVPN Server Konfig Datei sieht das dann so aus:

server 10.30.202.0 255.255.255.0
push "route 172.30.202.0 255.255.255.0"

Die lokale IP Server Adresse stellst du mit den normalen Netzwerk Tools um !!
Bitte warten ..
Mitglied: technoraver08
16.12.2009, aktualisiert 18.10.2012
Zitat von aqui:
Rennt bei dir eine Firewall, iptables ?? Das ist in der Regel der böse Buhmann der den Zugriff verhindert...eigentlich auch
logisch.
Customize also deine Firewall und das löst dein problem im Handumdrehen !!

Bedenke aber IMMER ein paar grundlegende Designregeln bei VPN:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...

Von deinem Banal IP Netz 192.168.2.0 solltest du allso besser Abstand nehmen, denn das hat jeder Dummbatz Speetport Router und
diverse andere auch ! Da wirst du also relativ schnell erhebliche Probleme bekommen.
Such dir also für dein lokales Netzwerk etwas mwhr exotischeres aus !!
Beispiel: Lokales Netzwerk: 172.30.202.0 /24 und das OpenVPN Servernetz: 10.30.202.0 /24
In der OpenVPN Server Konfig Datei sieht das dann so aus:

server 10.30.202.0 255.255.255.0
push "route 172.30.202.0 255.255.255.0"

Die lokale IP Server Adresse stellst du mit den normalen Netzwerk Tools um !!



Das müsste ich nachgucken....


Dann ändere ich das lokale IP Netz.

server 10.30.202.0 255.255.255.0
push "route 172.30.202.0 255.255.255.0"

und der Server hat dann die IP: 10.30.202.0
Muss ich die Adresse noch direkt bei den Netwerkeinstellungen verändern?
Bitte warten ..
Mitglied: aqui
16.12.2009 um 11:34 Uhr
Der OpenVPN Server hat intern die 10.30.202.0 /24 also das VPN Netz. Lokal am Ethernet hat der Server logischerweise die 172.30.202.0 /24.
Diese Adressierung ist kein Muss sondern nur ein Vorschlag. Du kannst dir auch andere IP Netze aussuchen nur eben das allerwelts 192.168.2.0 sollte es besser nicht sein, denn damit kommst du bei VPN früher oder später in probleme wie dir das o.a. Tutorial ja beschreibt !
Bitte warten ..
Mitglied: technoraver08
16.12.2009 um 12:54 Uhr
Zitat von aqui:
Der OpenVPN Server hat intern die 10.30.202.0 /24 also das VPN Netz. Lokal am Ethernet hat der Server logischerweise die
172.30.202.0 /24.
Diese Adressierung ist kein Muss sondern nur ein Vorschlag. Du kannst dir auch andere IP Netze aussuchen nur eben das allerwelts
192.168.2.0 sollte es besser nicht sein, denn damit kommst du bei VPN früher oder später in probleme wie dir das o.a.
Tutorial ja beschreibt !


ok...

Wenn ich jetzt eine Verbindung zum Server aufbauen will, bekomme ich immer wieder die Adresse vom VPN Server. Der Server hat zurzeit noch die 192.168.2.2... Nach der Verbindung bekommt der Client die 192.168.2.2 so kann ich nicht auf den Server zugreifen...... Der Client bekommt die Adresse ja vom VPN Server zugewiesen über DHCP....

Was müsste ich noch ändern, damit ich einen Zugriff bekomme auf den Server? ... z.b. auf SMB Protokoll....
Bitte warten ..
Mitglied: aqui
16.12.2009 um 22:23 Uhr
Wenn deine internes Netz des OpenVPN Servers die 192.168.2.0 /24 ist und auch das lokale Netz des Servers die 192.168.2.0 /24 hat ist eine VPN Verbindung unmöglich !!
Ist ja auch logisch da du dann 2 mal das gleiche IP Netz hast. Sowas ist im IP Umfeld generell nicht möglich, da ein Routing damit unmöglich wird !

Du musst also mindestens die Serverkonfig in z.B.
server 10.30.202.0 255.255.255.0
push "route 192.168.2.0.0 255.255.255.0"

ändern wenn dein OpenVPN Server auf dem lokalen Ethernet LAN eine IP aus dem 192.168.2.0er Netz konfiguriert hat !

Damit bekommt der Client dann eine IP aus dem internen OpenVPN Servernetz 10.30.202.0 und gleichzeitig die Route ins 192.168.2.0er Netz.
Das kannst du auch sauber kontrollieren indem du nach erfolgter OpenVPN Einwahl einmal
ipconfig in der Eingabeaufforderung am Client eingibst.
Hier siehst du jetzt am TUN0 Interface (VPN Netz) eine IP aus dem 10.30.202.0er Netz. Und mit...
route print in der Eingabeaufforderung am Client siehst du die Routing Tabelle.
Dort muss eine Eintarg zum 192.168.2.0er Netz sein mit einem next Hop Gateway im 10.30.202.0er Netz !
Dann ist alles richtig und klappt. Dann kannst du auch problemlos das LAN IP Interface des Servers anpingen sofern die Firewall ICMP Pakete zulässt !!??
Also ggf. immer die Firewall auch anpassen das die das remote Netz durchlässt !!

Ohne das wirds niemals was.
Bitte warten ..
Mitglied: technoraver08
16.12.2009 um 22:24 Uhr
hey...

mit dieser Änderung kann ich den Openvpn Dienst nicht mehr starten.

server 10.30.202.0 255.255.255.0
push "route 172.30.202.0 255.255.255.0

Wie müsste die Config Datei aussehen?

Was muss ich noch ändern? (z.b. im System)
Bitte warten ..
Mitglied: aqui
16.12.2009 um 22:30 Uhr
push "route 172.30.202.0 255.255.255.0" (man achte auf die BEIDEN Ausrufezeichen !!)
macht nur Sinn wenn auch das LAN Interface des Servers eine IP Adresse aus diesem Netz hat.
Z.B. 172.30.202.254, Maske 255.255.255.0 !!

Vermutlich hast du aber wohl nur ein Ausrufezeichen in der Konfig datei vergessen, denn dann bricht der Server mit einem Konfig Eror ab..
Bitte warten ..
Mitglied: technoraver08
17.12.2009 um 10:13 Uhr
Zitat von aqui:
push "route 172.30.202.0 255.255.255.0" (man achte auf die BEIDEN Ausrufezeichen !!)
macht nur Sinn wenn auch das LAN Interface des Servers eine IP Adresse aus diesem Netz hat.
Z.B. 172.30.202.254, Maske 255.255.255.0 !!

Vermutlich hast du aber wohl nur ein Ausrufezeichen in der Konfig datei vergessen, denn dann bricht der Server mit einem Konfig
Eror ab..


Hey, vielen Dank für deine Hilfe... Das Problem war diese Zeile:

ifconfig-pool 192.168.2.2 192.168.2.9

....

Ist jetzt eigentlich auch möglich über VPN andere Geräte zu verwenden, also nicht nur den VPN Server?
Muss man da noch was in der Config Datei verändern?
Bitte warten ..
Mitglied: aqui
17.12.2009 um 10:50 Uhr
Na klar ! Das ist doch der Sinn deines VPNs, oder ??
Du hast so über das VPN Zugriff auf das gesamte remote Netzwerk. Mit push "route 192.168.2.0 255.255.255.0" wird dir ja das gesamte remote Netz auf den Client geroutet und du hast da transparenten Zugriff wie als ob du lokal im 192.168.2.0er netz bist.
Wie gesagt der tiefere Sinn eines VPNs !!

Aufpassen musst du nur wenn Endgeräte die du über das VPN ansprechen willst den DSL Router als Gateway haben und wenn zusätzlich dann dein OpenVPN Server im Internen Netz.
Hier musst du dann ggf. noch eine statische Route auf dem DSL Router angeben zum internen OpenVPN Netz via lokaler OpenVPN Server IP.
Das hängt aber von deinem Netzdesign ab zu dem du ja leider nichts mitteilst
Bitte warten ..
Mitglied: technoraver08
19.12.2009 um 20:30 Uhr
Hey,

ich kann nur meinen Server über VPN erreichen.

Was muss ich machen, wenn ich einen weiteren Rechner erreichen möchte?

Hier die Server.ovpn Config Datei:

#Unsere Server IP
ifconfig 192.168.2.2 255.255.255.0
#ifconfig-pool 10.68.1.5 10.68.1.9
#Server IP Adresse (Adressbereich. in dem Fall alles von 10.10.10.0)
#server
server 10.68.1.0 255.255.255.0
push "route 192.168.2.0 255.255.255.0"

Der Rechner hat die IP: 192.168.2.8

Kann ich das auch in der Config Datei festlegen?

Im Router kann man das nichts festlegen.....
Bitte warten ..
Mitglied: aqui
22.12.2009, aktualisiert 18.10.2012
Ja, über die Server Config Datei kannst du eine IP Adresse auf dem OpenVPN Client erzwingen wenn du willst. Die OpenVPN Doku beschreibt das ganz gut.
Hier ist auch entsprechnder Thread der es ebenfalls genau beschreibt:
http://www.administrator.de/forum/openvpn-unter-windows-begrenzung-anha ...

Deine Server Konfig ist eigentlich ganz OK und auch richtig.
Problematisch ist das lokale Allerwelts LAN mit der 192.168.2.0er IP Adresse was die halbe Welt benutzt. Da wirst du relativ schnell Probleme bekommen. Warum... lies dir bitte das hier durch:
http://www.administrator.de/wissen/vpns-einrichten-mit-pptp-117700.html ...

Vermutlich ist das auch dein Problem !

Poste bitte mal ein ipconfig des Clients und vor allen Dingen ein route print des Clients bei aktiver VPN Session !!
Das route print sollte in jedem Falle eine Route ins 192.168.2.0er netz via der 10.68.1er Server IP anzeigen !!!

Und....änder das dumme 192.168.2.er Netzwerk lokal auf etwas VPN freundliches (siehe Tutorial oben ) !!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
MBAM 2.5 Client - Server Kommunikation

Frage von thatsright zum Thema Windows Server ...

Router & Routing
Eine Steuerung hinter dem OpenVPN Client erreichen (15)

Frage von cannonball zum Thema Router & Routing ...

Exchange Server
gelöst SBS POP3 Connector stellt keine Verbindung zu Exchange Server her (28)

Frage von bafo zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...