OpenVPN

[edisch]

Hallo,

ich habe einen OpenVPN Server unter Windows 2003 SBS aufgesetzt. Er läuft, die Clients können sich auch anmelden, seh ich auch in der Log, allerdings kann ich nicht durch den Tunnel Pingen.

Netzwerk 192.168.2.0/24
DSL Router .1
SBS .2
VPN Netzwerk 192.168.170.0/24

Server Config http://nopaste.info/e2c4537989.html

Ich finde leider keinen Fehler. Am Server habe ich in der Firewall schon den Port ein und ausgehend Freigegeben.

Hab ich Irgendetwas übersehen? Desweiteren bekomme ich in der Server log lauter Meldungen wegen IPv6 er erwartet da irgendetwas.

Log Server http://nopaste.info/31ff176e9f.html

Das mit dem Routing erstmal ignorieren. Ich weiß noch nicht genau woran das liegt, wenn ich openvpn.exe als Admin starte kommen die gleichen Fehlermeldungen. Evtl hab ich irgendwo was übersehen?

Ich währe um Tipps sehr Dankbar.

 

[Karl34]

Würde an deiner stelle folgende IP Netze nutzen 10.0.0.0,
so ziemlich jeder heim Router verwendet die 192.168.0.0 und du wirst auf probleme stossen wenn du deine config beibehälst.

 

[edisch]

Ok das ist kein Problem. Aber sonst passt die config? Gibts verbesserungs Vorschläge? Oder hab ich irgendwo noch an Wurm drinn?

 

[Whistler]

Wed Sep 07 16:43:20 2011 NOTE: FlushIpNetTable failed on interface [13] {A1ACD289-4B2D-4610-994E-80F16AD2EDB5} (status=5) : Zugriff verweigert
Wed Sep 07 16:43:20 2011 C:\WINDOWS\system32\route.exe ADD 192.168.170.0 MASK 255.255.255.0 192.168.170.2
Wed Sep 07 16:43:20 2011 ROUTE: route addition failed using CreateIpForwardEntry: Zugriff verweigert [status=5 if_index=13]
Wed Sep 07 16:43:20 2011 Route addition via IPAPI failed [adaptive]
Wed Sep 07 16:43:20 2011 Route addition fallback to route.exe
Wed Sep 07 16:43:20 2011 ERROR: Windows route add command failed [adaptive]: returned error code 1

Wenn Du die Route nicht gesetzt kriegst, dann kann es mit dem PING (und vermutlich auch der Benutzung des VPNs nichts werden.
Eventuell ein Rechteproblem - ist es zufällig ein Windows7-Client?

 

[edisch]

Ja. Benutzer hat Administrator Rechte. Befindet sich im Netzwerk zum testen.

 

[kannnix]

Ja. Benutzer hat Administrator Rechte. Befindet sich im Netzwerk zum testen.

Das ist nur die halbe Wahrheit, du musst trotzdem die OpenVPN GUI per Rechtsklick->run as Administrator starten.

Gruss

 

[edisch]

Ok. ich starten den CLient und den Server als Dienst, somit hab ich keine Probleme mit den Rechten. Das Routing legt er auch an. Am Client hab ich die Firewall deaktiviert. Trotzdem bekomme ich keinen Ping durch den Tunnel. Das VPN IP Netz habe ich auf 10.0.8.0/24 geändert.

Kann ich irgendwo festlegen, dass die Clients immer bestimmte IPs bekommen?
Die eisntellung ifconfig-pool-persist listet ja nur die Leesings des DHCPs auf.

 

[danton]

Kannst du nur die IPs im lokalen Netz nicht anpingen oder geht läßt sich auch die Gateway-IP des OpenVPN-Servers (also verm. 10.0.8.1) nicht anpingen? Ist das Routing auf dem Windows-Server aktiviert?

 

[edisch]

Ich hab es jetzt geschafft, dass ich durch den tunnel Pingen kann. Also vom client (10.0.8.6) auf den server (10.0.8.1). Ich hab aber gemerkt, dass der Server dem Client ein falsches gateway gibt. er übermittelt die 10.0.8.2 ab und zu mal die 10.0.8.5. Beide Adressen gibt es nicht. Ich habe nur das push "redirect-gateway" drinn. wenn ich push "redirect-gateway 10.0.8.1" angebe, geht es auch nicht.
Ich habe das TCP/IP Forwarding am Server aktiv. Reicht das? Oder muss ich da noch ein anderes Routing einstellen?

Ich möchte ja von jedem Client im Netzwerk auf das VPN netz zugreifen. Am server habe ich shcon ein Routing auf das 10.0.8.0 Netz eingestellt. Wenn ich allerdings den Server als Gateway angebe, klappt das Trotzdem nicht.

 

[edisch]

Ist da eigentlich igendwas bekannt, dass das easy-rsa von OVPN nicht geht? Ich bekomm es leider nicht zu laufen. Ich hab meine zertifikate über ein VM Linux erstellt. Wenn ich neue Client zertifikate erstelle, muss ich dann das Server Zertifikat auch neu erstellen lassen?

 

[danton]

Ich hatte unter Linux mit dem Easy-RSA keine Probleme, mir die Zertifikate zu generieren.
Wenn du weitere Client-Zertifikate erstellst, darfst du das Server-Zertifikat natürlich NICHT neu machen, sonst funktionieren die bisherigen Client-Zertifikate nicht mehr. Du signierst die Zertifikaten nur mit dem Server-Zertifikat (bzw. vielmehr dem zugehörigen privaten Key).
Zu den IPs: Wenn dein Client per OpenVPN die 10.0.8.6 erhält, dann laufen die Routen korrekterweise auf die 10.0.8.5 - das liegt daran, daß OpenVPN intern mit /30-Subnetzen arbeitet.

 

[edisch]

Ja bei mir klappt das jetzt auch. Irgendwie wurde durch die Instalaltion die Batch Dateien zerschossen.

Der VPN Tunnel steht soweit. Allersdings hab ich irgendwie noch ein Problim mit den Routings. Von der CLient Seite her, kann ich ins Private Netzwerk hinter dem VPN Server Pingen und zugreifen. Hier Stimmen die Statischen Routings. Allersdings kann ich nicht von der Serverseite ins Client Netz pingen.

Netzwerk Bei VPN Server 192.168.2.x
VPN Netz 10.0.8.0
Netzwerk bei VPN Client 192.168.1.x

Von einem Client (192.168.1.100) kann ich auf z.b. 192.168.2.1 Pingen.

Vom einem Client (192.168.2.204) kann ich nicht auf z.b. 192.168.1.100 Pingen.

In der VPN Server Config hab ich noch ein route 192.168.1.0 255.255.255.0 eingestellt.

Wenn ich ein tracert mache, sehe ich, dass die anfrage auf den Router geht, dann Zum VPN Server, der schickt die anfrage aber wieder zurück zum Router.

Am SBS Server habe ich ein Statisches Routing von der LAN Karte zu 192.168.1.0 zum Gateway 10.0.8.1 eingestellt.

 

[danton]

Willst du jetzt zwei Netze per OpenVPN miteinander verbinden? Dann mußt du auf dem OpenVPN-Server natürlich die passenden Routen setzen auf die OpenVPN-IP der Gegenstelle (und dort muß auch Routing aktiviert sein). Und dort muß dann natürlich auch Routing auf der Maschine aktiviert sein. Dabei macht dann auch Sinn, daß diese Verbindung immer die gleichen IPs nutzt, das ist aber in der Doku des Community-Servers auf www.openvpn.net beschrieben, wie das geht.

 

[edisch]

Problem ist nur, da steht so viel drinn. Und ich weiß nicht genau was es ist. Aber ich habe festgestellt, dass ich das iroute im ccd odner mit den clientfiles brauche. Damit komm ich schon mal mit dem ping bis zum Client Router.

Ja, aber es ist momentan nur ein netz zum testen, auf das ich zugreifen will. Später sollen es mehrere werden. Derzeit bekannt,dass zum jetztigen stand 8 außen netze mit einander verbunden werden. ich werde die außen netze vermutlich mit einem .1.0/30 netz einrichten. da alle außenstellen ein.1.0 netz bekommen sollen . In jeder Außenstelle befinden sich 2 IP geräte (Route und ein Gateway)

 

[danton]

ich werde die außen netze vermutlich mit einem .1.0/30 netz einrichten. da alle außenstellen ein.1.0 netz bekommen sollen . In jeder Außenstelle befinden sich 2 IP geräte (Route und ein Gateway)

Hä? Jedes Außennetz braucht eine eigene IP-Range, die auch für alle Netze unterschiedlich sein muß. Sofern du überall mit einer Class-C Range hin kommst, könnte das wie folgt aussehen. Der OpenVPN-Server steht ja in 192.168.2.0/24, die acht Außenstandorte könnten dann die 192.168.3.0/24 bis 192.168.10.0/24 bekommen. Außerdem brauchst du noch ein Transfer-Netz für OpenVPN, das ist bei dir die 10.0.8.0/24. Letztere teilst du in acht /30er Netze auf.
Dann mußt du auch jedem der 8 Clients eigene Routen pushen, denn diese darf ja das jeweils eigene Netz nicht enthalten, sondern nur die der anderen sieben sowie des Netzes mit dem VPN-Server. Nur so können die Netze untereinander und sauber mit dem 192.168.2.0/24er Netz kommunizieren.

 

[edisch]

Ok kann ich da nicht sagen, dass ich Jeder außenstelle ein 92.168.1.0 /29 netz gebe?

1. Außenstelle 192.168.1.0/29
2. Außenstelle 192.168.1.8/29
usw..

Ok, das mit dem Routing gab ich gemerkt. ich kann auf den PC Pingen, auf dem der VPN CLient läuft (192.168.1.1). Ich hab in der config zusätzlich noch ein push "route 192.168.1.0 255.255.255.248" eingestellt. allersdings ist trotzdem die 192.168.1.2 (.pc hinter VPN CLient) nicht erreichbar.

Oder hab ich jetzt einen denkfehler?

 

[edisch]

problem ist, es steht drinn, wie ich am CLient das Server netz nutzen kann. das geht ja.

Aber ich möchte am Server Netz auch das Client Netz nutzen.
Vom Server Netz kann ich bis zum Client PC auf dem der VPN Client läuft Pingen. Aber dann fehlt mir danach irgednwie das Routing. Nur wie geb ich ihm das?

push "route 10.0.8.5 255.255.255.0 192.168.1.0" mag er nicht.

 

[danton]

Wie ist der IST-Zustand in der Außenstelle im Moment? Ich denke mal, dort existiert ein Router zum Internet (DSL-Router?) und mehrere PCs. Welche IPs habe diese Geräte im Moment?
Dann zu den Routen von OpenVPN: Der Server pusht diese zum Client, damit der Client weiß, was er hinter dem Server erreicht. Die Route, die auf dem Server für das Netz hinter dem Client notwendig ist, muß auf dem Server mit Windows-Bordmitteln gesetzt werden, das ist erst mal unabhängig von OpenVPN. Als Gateway wird dann die VPN-IP des Clients genommen, also z.B. die 10.0.8.6.

 

[edisch]

Das geht ja. Ich komme vom Server Netz bis auf den PC mit dem VPN Client. Über Ping mit der priv IP des Client PCs. Nur weitere PCs hinter dem Client PC kann ich vom server netz nicht anpingen. Ich weiß nur nicht wo und was für ein Routing ich am Client einstellen muss, dass er den Ping weiter leitet.

 

[danton]

Ich will es zum besseren Verständnis mal anders ausdrücken: Du mußt auf dem Client-PC einstellen, daß dieser IP-Pakete zwischen verschiedenen Netzwerk-Interfaces (bei dir LAN-Schnittstelle und VPN) weiterleitet. Wie und ob es geht, hängt vom verwendeten Betriebssystem ab. Windows XP kann es offiziell nicht, bei Vista und 7 dürfte es ähnlich aussehen - teilweise soll es aber mit inoffiziellen Registry-Einstellungen gehen.
Meine Frage nach dem IST-Zustand der Außenstelle hat übrigens schon seinen Sinn. Dort mußt du ja evtl. auch noch auf dem vorhandenen Router zum Internet (dürfte das Standard-Gateway sein) eine Route für das Netz hinter dem VPN-Server setzen, wobei das Gateway der VPN-Client-PC ist. Denn außer dem VPN-Client-PC kennt sonst keiner die Netze hinter dem VPN-Server.