It is currently 15.12.2017 18:00


All times are UTC




Post new topic Reply to topic  [ 8 posts ] 
Author Message
 Post subject: Routingproblem OpenVPN-Windows
PostPosted: 18.07.2016 11:57 
DES
DES

Joined: 18.07.2016 10:56
Posts: 5
Hallo zusammen,

seit einiger Zeit versuche ich via OpenVPN eine Verbindung von meinem Home-Office in die Firma aufzubauen. Zu diesem Zweck hab ich den OpenVPN-Seerver in der Firma auf einem Windows 7/64-PC installiert und die Firewall-Regeln, sowie den Registry-Eintrag für die sichtbarkeit der Rechner konfiguriert. Auf dem Home-PC mit Windows 7/32 ist der Client installiert und die Firewall-Regeln auch eingetragen. Der Homep-PC verbindet mit dem OpenVPN-Client, übergibt die IP-Adresse an den Client und das Symbol wird grün.

Problem ist nun, dass ich weder aus der Firma einen Ping zum privaten PC, noch ein Ping vom Home-Office in die Firma absetzen kann.

Nach längerem Studium diverser Internetbeiträge kommt es mir so vor, als dass die Route zurück nicht läuft, bzw. ich da ja auch nichts eingetragen habe. Da ich mich mit IP-Routen nicht auskenne nun meine Hoffnung, dass mir hier jemand einen entscheidenden Hinweis geben könnte :pray

Home-Office-PC / Windows 7/32:
IP 192.168.99.60
255.255.255.0
Gateway 192.168.99.1 (Fritzbox 6630)

OpenVPN-Server Firma (Windows 7/64)
IP 10.4.240.240
255.255.255.0
Gateway 10.4.240.89 (Allnet VPN20)

Irgendwo muss ich wohl nun eine Route eintragen?

Server.ovpn:

port 1194
# legt den zu verwendenen Port fest

proto udp
# Verwendung des Protokolls UDP (Standard)

mode server
# "ich bin der Server"

dev tap
# verwendet das tap-device

dev-node openvpn
# "openvpn" heißt mein virtueller und umbenannter Netzwerkadapter
# Achtung: hierbei wird Groß-/Kleinschreibung unterschieden !!!

ifconfig 10.4.240.240 255.255.255.0
# legt die IP-Adresse und Subnetzmaske für den Server fest

ifconfig-pool 10.4.240.241 10.4.240.249
# legt einen IP-Adresspool für die Clients fest.
# Der Bereich kann an die eigenen Bedürfnisse bzw. an die Anzahl der Clients angepaßt werden.

client-to-client
# die Clients (falls mehrere) können sich untereinander sehen

tls-server
# schaltet TLS ein und Rolle des Servers beim Handshake

dh "C:\\Program Files\\OpenVPN\\keys\\dh1024.pem"
# Pfad zur Datei dh1024.pem (die doppelten Backslashes müssen sein!)

ca "C:\\Program Files\\OpenVPN\\keys\\ca.crt"
# Pfad zur Datei ca.crt (die doppelten Backslashes müssen sein!)

key "C:\\Program Files\\OpenVPN\\keys\\server01.key"
# Pfad zur Datei server1.key (die doppelten Backslashes müssen sein!)

cert "C:\\Program Files\\OpenVPN\\keys\\server01.crt"
# Pfad zur Datei server1.crt (die doppelten Backslashes müssen sein!)

comp-lzo
# Einschalten der Komprimierung

push "route-gateway 10.4.240.240 255.255.255.0"
# legt beim Client das Gateway für Verbindungen in das Netz des Servers fest
# als route-gateway muß die IP-Adresse des virtuellen Netzwerkadapters des
# Servers angegeben werden, also die VPN-IP (siehe auch oben bei "ifconfig...")

tun-mtu 1500
# weist dem TAP-Adapter eine max. MTU von 1500 zu (empfehlenswert bei DSL)

tun-mtu-extra 32
# Zusatzeinstellung für den MTU-Wert (empfehlenswert bei DSL)

# Wichtig: falls die Parameter "tun-mtu" und "tun-mtu-extra" verwendet werden,
# so muß dies bei beiden configs erfolgen,
# also in der Server-config und in der Client-config !

max-clients 4
# max. 4 Clients können sich zeitgleich zum OpenVPN-Server connecten
# Hinweis: der IP-Adresspool (siehe oben) muß ggfs. entsprechend
# angepaßt werden bzw. groß genug sein.

verb 3
# schaltet die Protokollierung auf die Stufe 3
# ("3" reicht in der Regel, bei Problemen evt. auf 4 od. 5 erhöhen,
# damit mehr protokolliert wird)

mute 50
# max. 50 Fehlermeldungen der gleichen Kategorie werden protokolliert

keepalive 10 60
# Timeouts für den Servermode, ping alle 10 Sek., Neustart, falls nach
# 60 Sek. keine Rückantwort kommt.

ping-timer-rem
persist-key
persist-tun



Bin für jeden Hiweis dankbar.

Grüße

Roland


Attachments:
netz.jpg
netz.jpg [ 41.05 KiB | Viewed 2697 times ]
Top
Offline Profile  
Reply with quote  
 Post subject: Re: Routingproblem OpenVPN-Windows
PostPosted: 18.07.2016 12:12 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2191
Hallo,
ad 1 : die Win-dosen dürfen jetzt pingen? (pingantworten -> hast du eingeschaltet ?)
ad2.: du must der Kiste sagen, wo sie die Paktet hinschicken soll !
hört sich einfach an -> ist einfach -> ist mühsam!
eigentlich brauchst du nur (aufschreiben ?) die Reichenfolger aller beteiligten (logischen) Interfaces , von denen müssen ALLE wissen, wohin die die Paktet weiterschicken .
sollen (also mühsam).

ad3: überall, wo es nicht korrekt klappt, musst du nachhelfen (und eintragen).
ad4: dein Bild ist ein guter Anfang... verfeinern!

natürlich musst du dir über das was geht keine Gedanken mehr machen, Tunneleingang und Tunnelausgang sind deine Baustellen (was dazwischen ist - Internet - ist PAL -> Problem anderer Leute)

ansonsten - Ping ist Mist... traceroute bringt das Gleiche, dsagt dir aber wo es (manchmal falsch?) langgeht.

Und wirklich Interfaces betrachten (nicht Blechkisten) - dann tut es...!

F.
ps: 1. ich lasse extra aussen vor, dass man/wo man manchmal etwas zusammenfassen kann (kannst du nachdenken, wenn alles geht)
2. stör dich nicht an meiner (meist) U**X Schreibweise (weiss nicht warum dos/win das manchmal kryptisch abkürzen...)


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Routingproblem OpenVPN-Windows
PostPosted: 18.07.2016 15:45 
DES
DES

Joined: 18.07.2016 10:56
Posts: 5
Hallo,

MS-DOS kann schon Ping seit es IPV4 dazu gibt :-)
Pingantwort muss man nicht extra an den Geräten einschalten. Ich kann zumindest im LAN alle Geräte anpingen, welche ich benötige.

Dann fang ich einfach mal hier an:

push "route-gateway 10.4.240.240 255.255.255.0"
# legt beim Client das Gateway für Verbindungen in das Netz des Servers fest
# als route-gateway muß die IP-Adresse des virtuellen Netzwerkadapters des
# Servers angegeben werden, also die VPN-IP (siehe auch oben bei "ifconfig...")

Hat das was mit der Route zurück zu tun? Die 10.4.240.240 ist die IP-Adresse des Windows 7/64-PC in der Firma auf dem OpenVPN läuft. Der OpenVPN-Server hat in der server.ovpn die gleiche Adresse 10.4.240.240. Ist das so korrekt oder muss der ne ander Adresse bekommen.

Gehe ich in der Annahme richtig, dass ich dann eine Route vom Server zurück zum Client basteln muss. "route add" unter Windows...


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Routingproblem OpenVPN-Windows
PostPosted: 18.07.2016 15:56 
DES
DES

Joined: 18.07.2016 10:56
Posts: 5
Wenn ich vom OpenVPN-Server aus mit geöffnetem Tunnel ein Traceroute auf meinen lokalen PC im Homeoffice mache kommt folgendes:

tracert 192.168.99.60

Routenverfolgung zu 192.168.99.60 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms 10.4.240.89
2 1 ms <1 ms <1 ms 172.55.16.1
3 2 ms 1 ms 1 ms 195.202.55.1
4 15 ms 4 ms * 195.226.180.169
5 11 ms 10 ms 11 ms 46.189.71.133
6 * * * Zeitüberschreitung der Anforderung.
7 * * * Zeitüberschreitung der Anforderung.

Es geht also vom 10.4.240.240 aus (OpenVPN-Server) zum Router (Gateway) mit 10.4.240.89 und dann ins www. Mir ist nun nicht klar, muss ich dem OpenVPN-Server mit "route add" was beibringen oder muss ich am Router selbst (10.4.240.240) eine Route eintragen? Und falls ja, was :roll:


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Routingproblem OpenVPN-Windows
PostPosted: 18.07.2016 15:58 
DES
DES

Joined: 18.07.2016 10:56
Posts: 5
Mach ich nun eine Traceroute vom Home-Office auf den VPN-Server:

tracert 10.4.240.240

Routenverfolgung zu 10.4.240.240 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms fritz.box [192.168.99.1]
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * * ^C

Auch hier :(


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Routingproblem OpenVPN-Windows
PostPosted: 18.07.2016 19:26 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2191
vistacor wrote:
Wenn ich vom OpenVPN-Server aus mit geöffnetem Tunnel ein Traceroute auf meinen lokalen PC im Homeoffice mache kommt folgendes:

tracert 192.168.99.60

Routenverfolgung zu 192.168.99.60 über maximal 30 Abschnitte

1 <1 ms <1 ms <1 ms 10.4.240.89
2 1 ms <1 ms <1 ms 172.55.16.1
3 2 ms 1 ms 1 ms 195.202.55.1
4 15 ms 4 ms * 195.226.180.169
5 11 ms 10 ms 11 ms 46.189.71.133
6 * * * Zeitüberschreitung der Anforderung.
7 * * * Zeitüberschreitung der Anforderung.

Es geht also vom 10.4.240.240 aus (OpenVPN-Server) zum Router (Gateway) mit 10.4.240.89 und dann ins www. Mir ist nun nicht klar, muss ich dem OpenVPN-Server mit "route add" was beibringen oder muss ich am Router selbst (10.4.240.240) eine Route eintragen? Und falls ja, was :roll:

1. ich kann dir nun wirklich NICHT sagen, wo er in deiner Netzstruktur hin muss !
2. im gültigen Plan stehen die Devices, hör auf in "Blechkisten" zu denken!

Oder: wozu in aller Welt habe ich geschrieben
Quote:
ad2.: du must der Kiste sagen, wo sie die Paktet hinschicken soll !
hört sich einfach an -> ist einfach -> ist mühsam!
eigentlich brauchst du nur (aufschreiben ?) die Reichenfolger aller beteiligten (logischen) Interfaces , von denen müssen ALLE wissen, wohin die die Paktet weiterschicken .
sollen (also mühsam).
wenn du dich eh nicht dran hältst !
Oder anders gesagt: wen interessiert der IST-Zustand ..wenn der SOLL-Zustand nicht definiert ist....

Die Wuselei hat auch oft die Ursache, dass zufällig und ohne Absicht "versehentlich" alles richtig ist.... aber spätestens beim zweiten Tunnel lohnt der Aufwand...

F.
ps: und ja... ab Win7 bekommst du im Grundzustand vom Winoof keine ping-Anwort mehr (evtl Vista..hatte ich nie)


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Routingproblem OpenVPN-Windows
PostPosted: 19.07.2016 08:39 
DES
DES

Joined: 18.07.2016 10:56
Posts: 5
Hallo,

hätte gedacht ein Beispiel einer Route zu bekommen ....


Top
Offline Profile  
Reply with quote  
 Post subject: Re: Routingproblem OpenVPN-Windows
PostPosted: 19.07.2016 13:05 
Profi
Profi

Joined: 23.10.2007 12:10
Posts: 2191
vistacor wrote:
Hallo,

hätte gedacht ein Beispiel einer Route zu bekommen ....

du meinst

route add -net 192.168.199.0/30 dev eth7


oder so...
Es ist eben wie beim Autofahren, an jeder (!!) Abzweigung musst du wissen ob links oder rechts...
o.k. ich will von hier nach München...wie muss ich fahren ?
Mit viel Glück und dem "richtigen" Ausgangspunkt und dem "richtigen" Ziel passt es machmal: immer die Hauptstrasse entlang , ist aber eher zufällig als dass man sich drauf verlassen könnte.
Routing ist ein ähnlich gelagertes Beispiel, Jeder "Knoten" wo ein Paket durchkommt, muss wissen wohin er es weiterschicken muss (die Route eben). Wer ausser dir kennt den Weg sonst? Du hast das gebaut...

F.
ps: "aufregend" wird es erst wenn du mehrere Wege hast und konkurrierende Definitionen machen musst, für den Fall dass evtl. mehrere Wege "verstopft" sind (langsam gehen oder gar nicht)


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 8 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: Bing [Bot] and 13 guests


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net