• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

OpenVPN - Kein Internetzugriff

Jürgen55

New Member
Situation
Ich habe bei Strato einen Root-Server (Ubuntu 14.04.3 LTS, Plesk 12.5) und nach https://wiki.ubuntuusers.de/OpenVPN/ OpenVPN auf diesem Server und meinem Windows 10 (64bit) PC installiert. Der Plan ist, künftig über meinen Server und mit dessen IP-Adresse in´s Internet zu gehen.

Aktueller Stand
Der VPN-Tunnel wird aufgebaut, erhält die IPs 10.8.0.1 (Server) und 10.8.0.4 (Client), die sowohl vom Server als auch vom PC per ping erreichbar sind.
Meine eigenen Internetseiten/domains auf dem Server lassen sich nach Aufbau des Tunnels aufrufen und über die IP 10.8.0.1 (Port 1194, UDP) erhalte ich dann auch ssh-Zugriff (mit putty) auf den Server/Datein.

Problem
Ich komme über eingeschaltetes VPN weder vom PC aus noch über einen Laptop, bei dem alles wie o.g. funktioniert, per Mobilfunk in´s Internet. Bei dem Versuch beliebige Internetadressen aufzurufen, zeigt sich nach kurzer Zeit nur die Meldung - Seite nicht verfügbar.

Um das IP-Forwarding auf dem Server einzurichten, habe ich die Dateien rc.local und sysctl.conf wie folgt geändert (und danach den Server neu gestartet).

rc.local:
Code:
sysctl -w net.ipv4.ip_forward=1
iptables -A FORWARD -o eth0 -i tun0 -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
exit 0
sysctl.conf:
Code:
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

Hat jemand einen Rat für mich?
 
Last edited by a moderator:
Meinst Du
sudo route add -net 10.8.0.0 netmask 255.255.255.0 gw vpn.server.i.p

bzw. route add -net 10.8.0.0 netmask 255.255.255.0 gw vpn.server.i.p in rc.local eingetragen?

Ich dachte, dies müsste man auf dem Client eintragen. Falls nein, was trage ich auf dem Server denn für vpn.server.i.p ein?
Mit route -n bekomme ich auf dem Server dieses Ergebnis:
Kernel-IP-Routentabelle
Ziel ###Router ### Genmask ### Flags Metric Ref Use Iface
0.0.0.0 ###85.214.64.1 ### 0.0.0.0 ### UG 0 0 0 eth0
10.8.0.0 ### 0.0.0.0### 255.255.255.0 ### U 0 0 0 tun0
85.214.64.1 ### 0.0.0.0### 255.255.255.255 ###UH 0 0 0 eth0
 
Last edited by a moderator:
vpn.server.i.p könnte wohl was bedeuten? Die normale IP des Servers! Die, welche das Gateway 85.214.64.1 nutzt.
 
Nach
sudo route add -net 10.8.0.0 netmask 255.255.255.0 gw X.X.X.X
funktioniert ping nicht mehr und in´s Internet geht´s auch noch nicht.

root@X.X.X.X:~# ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=0.100 ms
--- 10.8.0.1 ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 5997ms
rtt min/avg/max/mdev = 0.076/0.091/0.122/0.018 ms

aber:

root@X.X.X.X:~# ping 10.8.0.4
PING 10.8.0.4 (10.8.0.4) 56(84) bytes of data.
^C
--- 10.8.0.4 ping statistics ---
12 packets transmitted, 0 received, 100% packet loss, time 11086ms
 
Last edited by a moderator:
Lies mal richtig, was ich geschrieben habe. Die IP, welche dort hinkommt, hast du nirgendwo erwähnt. Folglich kann ich dir die gar nicht geschrieben haben. Schon gar nicht die 85.214.64.1.

Es kommt die IP von deinem Server da hin. 85.214.64.1 ist das Gateway von der IP des Server. Das Gateway von deinem Server kommt da aber nicht hin.

P.S.: Vergiss nicht die falsche Route wieder zu löschen.
 
Erst einmal herzlichen Dank für Deine Hilfe! Kannst Du mir den Befehl sagen, wie ich die falsche Route wieder lösche?
 
Habe den Server neu gestartet. Damit dürften jetzt nur die Routen aktiv sein, die aktuell in rc.local stehen:
sysctl -w net.ipv4.ip_forward=1
iptables -A FORWARD -o eth0 -i tun0 -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
route add -net 10.8.0.0 netmask 255.255.255.0 gw X.X.X.X
exit 0

ping zum Client über putty zu 10.8.0.4 geht nicht mehr. In´s Internet komme ich immer noch nicht per Browser vom Client. Anbei als Anhang die Tabelle nach route -v.
 

Attachments

  • routing.JPG
    routing.JPG
    40.6 KB · Views: 276
Last edited by a moderator:
Das für rc.local schaut ok aus.
Das Routing scheint aber nicht ganz zu passen.

Poste mal die Ausgabe von "ifconfig" und die Konfigdateien von OpenVPN auf Serverseite.
 
Nachfolgend ifconfig und server.conf:

ifconfig:

Using username "root".
Welcome to Ubuntu 14.04.3 LTS (GNU/Linux 3.13.0-77-generic x86_64)

* Documentation: https://help.ubuntu.com/

System information as of Fri Feb 12 17:46:13 CET 2016

System load: 0.85 Processes: 155
Usage of /: 22.8% of 453.61GB Users logged in: 0
Memory usage: 85% IP address for eth0: X.X.X.X
Swap usage: 1% IP address for tun0: 10.8.0.1

Graph this data and manage this system at:
https://landscape.canonical.com/

Last login: Fri Feb 12 16:55:11 2016 from pd9f81a23.dip0.t-ipconnect.de
root@X.X.X.X:~# ifconfig
eth0 Link encap:Ethernet Hardware Adresse 00:24:21:2e:42:df
inet Adresse:X.X.X.X Bcast:X.X.X.X Maske:255.255.255.255
inet6-Adresse: fe80::224:21ff:fe2e:42df/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX-Pakete:14403 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:10936 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX-Bytes:9459657 (9.4 MB) TX-Bytes:3893438 (3.8 MB)
Interrupt:16 Speicher:feae0000-feb00000

lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX-Pakete:188710 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:188710 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX-Bytes:43147462 (43.1 MB) TX-Bytes:43147462 (43.1 MB)

tun0 Link encap:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet Adresse:10.8.0.1 P-z-P:10.8.0.1 Maske:255.255.255.0
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metrik:1
RX-Pakete:788 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:0 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:100
RX-Bytes:153609 (153.6 KB) TX-Bytes:0 (0.0 B)

________________________________________________________

server.conf:
________________________________________________________
port 1194
proto udp
dev tun
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key # This file should be kept secret
dh ./easy-rsa2/keys/dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1"
push "route 10.8.0.0 255.255.255.0"
push "route 0.0.0.0 0.0.0.0"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
ifconfig-pool-persist ipp.txt
verb 3
status openvpn-status.log
log-append openvpn.log

------------------------------------------
Als Anhang noch ein aktuelles Logfile vom Server.
 

Attachments

  • Logfile.pdf
    20.8 KB · Views: 317
Last edited by a moderator:
Kannst du "redirect-gateway def1" mal in die Konfig vom Client schreiben bzw. dort aktivieren.
Und "push "route 0.0.0.0 0.0.0.0" " weglassen.
 
Gemacht. Leider gibt es immer noch ein time out, wenn ich bei bestehendem Tunnel eine Internetseite auf dem Client aufrufen will. Vom Server aus kann ich auch nur meinen Client erfolgreich anpingen, wenn ich
route add -net 10.8.0.0 netmask 255.255.255.0 gw X.X.X.X
weglasse.

Ist vielleicht meine Client-config auch falsch:
client
dev tun
proto udp
remote X.X.X.X 40000
resolv-retry infinite
redirect-gateway def1
nobind
user openvpn
group openvpn
persist-key
persist-tun
;mute-replay-warnings
ca c:/Programme/OpenVPN/config/keys/ca.crt
cert c:/Programme/OpenVPN/config/keys/XXX.crt
key c:/Programme/OpenVPN/config/keys/XXX.key
comp-lzo
route-method exe
route-delay 2
verb 5
 
Last edited by a moderator:
So sah meine Konfig mal aus.
Code:
client
dev tun
proto udp
remote hier.die.Server.ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert walter-home.crt
key walter-home.key
ns-cert-type server
comp-lzo
verb 3
Das einzig merkwürdige war, das ich jedes mal wenn ich neu verbunden habe, es nicht mehr ging. Ein erneutes Installieren von Openvpn auf dem Client behob das dann für eine Sitzung. Wieso habe ich bis heute nicht heraus gefunden.
 
Hallo sbr2d2,
danke für den Hinweis. Ich habe meine *.ovpn mal abgespeckt mit Deiner als Vorlage. Funktionierte leider noch nicht. Jetzt ist der Stand, dass ich nach löschen der route 0.0.0.0 auf dem Server und den Einträgen des google DNS-Servers (8.8.8.8 und 8.8.4.4 vom Laptop über WLAN aus manche Seiten im Internet sehen kann (z.B. Wikipedia, google, LinkedIn) und viele nicht z.B. www.duden.de etc.
Vom Desktop aus geht noch kein Zugang zum Internet:-(
In beiden Fällen steht der Tunnel.
 
ping works

Einen Fehler konnte ich jetzt beheben. Das port forwarding des Routers war nicht richtig eingestellt. Jetzt funktioniert ping vom server (10.8.0.1 zum client 10.8.0.2 und vice versa.

Nur der Zugriff per chrome browser auf Internetseiten funktioniert noch nicht richtig.

https://de.wikipedia.org/ topic21025.html funktioniert.
https://http://www.duden.de/ führt zu ERR_CONNECTION_TIMED_OUT, genauso wie https://www.ingress.com/intel und alle Bank-seiten, ebay, amazon etc.
Noch eine Idee?
 
Back
Top