Keine SMB Verbindung durch OpenVPN

WolleKette

New Member
Ich musste den Server, der für den Internetzugang unserer Firma zuständig ist, neu aufsetzen (Debian 9). Unter anderem läuft da OpenVPN drauf. Aber obwohl ich die Konfiguration vom alten Server IMO vollständig übernommen habe, bekomme ich OpenVPN nicht richtig zum laufen. Ich steh im Moment völlig auf dem Schlauch und suche etwas Unterstützung.

Es gibt sowohl eine TAP als auch eine TUN Konfiguration. Aber erstmal zu TAP.
Sowohl Windows- als auch MAC Clients können sich verbinden und TCPIP Verbindungen (ping, interner Webserver, ...) funktionieren auch.
Aber der Zugriff auf SMB Freigaben oder eine Remotedesktop Sitzung funktionieren nicht und ich hab leider keine Idee, wie ich da sinnvollerweise debuggen soll.


Unsere Server Konfiguration
Adresse des Firewall/OpenVPN Servers: 192.168.11.2

Code:
port 10443
proto tcp-server
dev tap0

ca ./easy-rsa/keys/ca.crt
cert ./easy-rsa/keys/neutron_fw.crt
key ./easy-rsa/keys/neutron_fw.key
dh ./easy-rsa/keys/dh2048.pem
tls-auth ./easy-rsa/keys/ta.key 0
crl-verify ./easy-rsa/keys/crl.pem

server-bridge 192.168.110.1 255.255.255.0 192.168.110.208 192.168.110.215
user nobody
group nogroup

keepalive 10 120
cipher AES-256-CBC   # AES
compress lz4
persist-key
persist-tun
link-mtu 1500
max-clients 10

client-config-dir client-config-dir
push "route 192.168.11.0 255.255.255.0"
push "dhcp-option DNS 192.168.11.71"
push "dhcp-option WINS 192.168.11.71"
push "dhcp-option DOMAIN neutron.lan"

status /var/log/openvpn/openvpn-tap-status.log
log-append /var/log/openvpn/openvpn-tap.log
verb 4
Client Konfiguration
Code:
client
dev tap
proto tcp
remote 80.154.109.66 10443
dev-node openvpn-adapter

cipher AES-256-CBC
compress lz4
nobind
persist-key
persist-tun

remote-cert-tls server
verb 3

ca ca.crt              
cert xxxx.crt
key xxxx.key
tls-auth ta.key 1
 

danton

Debian User
Kannst du denn die SMB oder RDP-Verbindungen per IP-Adresse aufrufen oder geht das auch schon nicht?
 

WolleKette

New Member
Nö, das geht auch nicht. Die Namensauflösung funktioniert. Kann auch alle Rechner im Netzwerk mit Namen anpingen.
 

danton

Debian User
Ich setze OpenVPN nur im TUN-Modus per UDP ein und habe dabei keine Probleme (während es sich damals bei Tests mit TAP und TCP bei mir recht zickig verhielt, war aber ich meine Version 2.0). Ich verwende die OpenVPN-Pakete vom OpenVPN-Projekt, nicht das aus dem Debian-Repo.
Läuft auf dem VPN-Gateway evtl. eine Firewall, die zu restriktiv ist? Oder falls der alte und neue Server in einer DMZ stehen, ist der neue OpenVPN-Server in der Firewall zum internen Netz entsprechend freigegeben?
 

WolleKette

New Member
Ja, an die Firewall auf dem Gateway hab ich auch schon gedacht. Aber es lief ja schon mal auf dem alten Rechner und die Konfiguration wurde 1:1 übernommen. Außerdem kann ich im Log keine entsprechenden Drop oder Rejected Meldungen sehen.

Ich habe nochmal einiges getestet. Unsere Intranetseite auf einem Windows Server funktioniert, die Webseite eines internen Linux-Rechners funktioniert nicht. Und das, obwohl ich mich per ssh problemlos auf dem Server anmelden kann. Das Fehlerbild ist für mich total konfus.
 
Top