It is currently 24.11.2017 16:35


All times are UTC




Post new topic Reply to topic  [ 14 posts ] 
Author Message
 Post subject: Großes Tutorial wie man 2 Netzwerke via Internet verbindet!
PostPosted: 20.02.2005 03:01 
14.09.2005: Ich werde das Tutorial noch mal umschreiben :)

Ich habe hier ein großes Tutorial geschrieben und hoffe, es sind keine Fehler drin. Ich denke, diesen Beitrag könnte ein Mod oder Admin obenhalten, denn ich kann mir gut vorstellen, dass es vielen Leuten hilft :)

Hier nun ein Tutorial, wie man mit OpenVPN zwei Netzwerke über das Internet verbindet. Dieses Tutorial ist sehr ausführlich geschrieben (vielleicht zu ausführlich^^), es kann also auch ein Anfänger ohne Probleme zum Ziel finden.

Ihr braucht die neuste OpenVPN Version (im Moment 2.0.2 RC1). Diese könnt Ihr Euch hier herunterladen:

http://openvpn.net/beta/ und dort ladet Ihr die Datei openvpn-2.0.2_rc1-install.exe herunter.

Das eine Netzwerk nenne ich LAN1 und das andere Netzwerk LAN2. In LAN1 wird OpenVPN auf einem PC installiert und in LAN2 wird OpenVPN auch auf nur einem PC installiert. Einer wird OpenVPN-Server und der andere Rechner wird OpenVPN-Client. Auf diesen beiden Rechnern muss Windows XP oder Windows 2003 installiert sein. Ältere Windows Versionen kennen keine Netzwerkbrücken.

Außnahmen:

Wenn Ihr wirklich nur 2 PC's verbinden wollt, dann könnt Ihr dieses Tutorial auch auf ältere Windows Versionen anwenden und lasst einfach die Netzwerkbrücken weg. Ein anderer Sonderfall wäre, wenn Ihr einzelne PC's in Euer Netzwerk holen wollt, dann kann auf den einzelnen PC's auch eine ältere Windows Version laufen, dann müsste nur auf Eurem Server Windows XP oder 2003 laufen, da Ihr dann nur eine Netzwerkbrücke bräuchtet.

Wer natürlich keinen Router hat, also direkt mit dem DSL Modem verbunden ist und keine weitere Netzwerkkarte hat oder benutzt, braucht natürlich keine Netzwerkbrücke, weil ja dann auch, wie eben schon gesagt, keine weiteren PC's im Netzwerk enthalten sind.

Man kann also sagen, Ihr braucht immer nur dann eine Netzwerkbrücke, wenn weitere PC's hinter dem OpenVPN-Server oder Client mit eingebunden werden sollen.

Ohne Netzwerkbrücke könnte aber das Broadcast nicht gehen, bin mir gerade unsicher, macht es lieber mit einer Brücke :)

Um OpenVPN zu installieren, sollte man die Installation durchführen ohne irgendetwas zu verändern. Also ich gehe davon aus, dass Ihr es komplett auf C:\Programme\OpenVPN installiert.

Nun macht einen Rechtsklick auf die Netzwerkumgebung, geht auf Eigenschaften. Dort sucht Ihr die LAN-Verbindung die zu einem TAP-Win32 Adapter V8 gehört. Ich würde diese Verbindung in VPN umbenennen. Solltet Ihr dort keine LAN-Verbindung haben hinter der dieser TAP-Win32 Adapter V8 steckt (was ich mir nicht vorstellen kann), dann geht auf Start->Programme->OpenVPN->Add a new TAP-Win32 virtual ethernet adapter und nun sollte auf jeden Fall eine LAN-Verbindung für TAP-Win32 Adapter V8 da sein.

Nach dem Ihr nun auf beiden Rechnern OpenVPN wie eben beschrieben installiert habt, kann es ja losgehen. Falls Ihr eine Firewall habt, dann richtet diese bitte so ein, dass OpenVPN uneingeschränkten Zugriff hat. Bei meiner Firewall ZoneAlarm muss ich z.B. den TAP-Win32 Adapter V8 als Trusted einstellen und die openvpn.exe durchlassen. Und prüft bitte, ob die Windows XP Firewall auch ausgeschaltet ist bzw. richtig eingestellt. Aber auf Software-Firewall’s gehe ich jetzt nicht weiter ein, denn dies würde den Rahmen dieses Tutorials sprengen.

Dies sollte seit Version RC16 nicht mehr so sein:

(OpenVPN ist standardmäßig als Dienst eingerichtet. Dadurch würde später der Client dauerhaft versuchen Kontakt zum Server aufzunehmen und der Server würde sich nach jedem Windows Start öffnen. Wer das nicht will (ich will es nicht), geht in die Systemsteuerung, dort auf Verwaltung->Dienste macht einen Rechtsklick auf OpenVPN Service, geht auf Eigenschaften und stellt den Starttyp auf Manuell und klickt auf Beenden.)


Nun erstellen wir uns Zertifikate, dies machen wir, damit die Verbindung zwischen den beiden Netzwerken sicher ist. Die Zertifikate müssen auf dem PC erstellt werden, der OpenVPN-Server wird.

Dazu geht Ihr in die Eingabeaufforderung (Start->Ausführen und cmd eintippen und auf OK klicken). Dann tippt Ihr folgendes ein (nach jeder Zeile Enter drücken):

Code:

cd C:\Programme\OpenVPN\easy-rsa

c:

init-config



Dann geht Ihr in Windows nach C:\Programme\OpenVPN\easy-rsa und macht einen Rechtsklick auf die vars.bat und geht auf Bearbeiten. Hier mal meine vars.bat, passt sie bitte Euren Daten an.

Code:

@echo off
rem Edit this variable to point to
rem the openssl.cnf file included
rem with easy-rsa.

set HOME=C:\Programme\OpenVPN\easy-rsa
set KEY_CONFIG=openssl.cnf

rem Edit this variable to point to
rem your soon-to-be-created key
rem directory.
rem
rem WARNING: clean-all will do
rem a rm -rf on this directory
rem so make sure you define
rem it correctly!
set KEY_DIR=keys

rem Increase this to 2048 if you
rem are paranoid.  This will slow
rem down TLS negotiation performance
rem as well as the one-time DH parms
rem generation process.
set KEY_SIZE=1024

rem These are the default values for fields
rem which will be placed in the certificate.
rem Change these to reflect your site.
rem Don't leave any of these parms blank.

set KEY_COUNTRY=DE
set KEY_PROVINCE=Berlin
set KEY_CITY=Berlin
set KEY_ORG=PrivatPerson
set KEY_EMAIL=martinator.de@arcor.de



Bitte ändert wenigstens die E-Mail Adresse. Danke!

Nun geht Ihr wieder in die Eingabeaufforderung und tippt folgendes ein:

Code:

cd C:\Programme\OpenVPN\easy-rsa

c:

vars

clean-all

build-ca (Bestätigt alle Sachen mit Enter, aber bei Organizational Unit Name (eg, section) []: und Common Name (eg, your name or your server's hostname) []: schreibt Ihr ca hin.)

build-dh (kann lange dauern)

build-key-server server1 (bestätigt alle Sachen mit Enter, aber bei Organizational Unit Name (eg, section) []: und Common Name (eg, your name or your server's hostname) []: schreibt Ihr server1 hin und zum Schluss kommen Fragen die Ihr mit y beantworten müsst.)

build-key client1 (bestätigt alle Sachen mit Enter, aber bei Organizational Unit Name (eg, section) []: und Common Name (eg, your name or your server's hostname) []: schreibt Ihr client1 hin und zum Schluss kommen Fragen die Ihr mit y beantworten müsst.)



Nun habt Ihr die Zertifikate auf Eurem OpenVPN-Server. Als nächstes müsst Ihr drei Dateien zum OpenVPN-Client schicken (z.B. via E-Mail, ist aber nicht so sicher). Und zwar sind das die client1.crt, client1.key und ca.crt welche der Client benötigt. Auf dem OpenVPN-Client erstellt Ihr in C:\Programme\OpenVPN\easy-rsa ein Verzeichnis mit dem Namen keys und kopiert dann alle drei Dateien nach C:\Programme\OpenVPN\easy-rsa\keys und damit wäre dieser Punkt erledigt.

Ich gehe davon aus, dass der OpenVPN-Server den UDP Port 1194 benutzt. Deswegen muss in dem Netzwerk, wo der Server steht, auf dem Router der UDP Port 1194 geöffnet werden und zwar als Incoming, meist bei VirtualServer.

Nun kommt ein ganz wichtiger Punkt!

Ihr müsst nun wissen, wie der IP-Bereich von LAN1 und LAN2 ist. Geht an irgendeinen PC in LAN1, Start->Ausführen cmd eingeben und auf OK klicken. Gebt dann ipconfig ein. Nun sehr Ihr die IP-Adresse. Das gleiche macht Ihr an einem PC in LAN2. Eine IP-Adresse besteht aus vier Blöcken 111.222.333.444 und wenn die ersten drei Blöcke gleich sind, dann sind beide IP-Bereiche gleich. Wenn sich Block eins, zwei oder drei unterscheidet sind die IP-Bereiche unterschiedlich.

Wenn beide IP-Bereiche gleich sind, dann kann man es mit OpenVPN ohne Probleme schaffen, dass es sich wie ein normales LAN verhält (Netzwerkumgebung klappt, jedes Spiel was einen LAN-Modus hat wird funktionieren, ohne spezielle Ports freizuschalten).

Wenn die IP-Bereiche unterschiedlich sind, dann müsst Ihr entweder einen IP-Bereich in einem Netzwerk ändern oder Ihr müsst damit leben, dass die Netzwerkumgebung nur mit Einschränkungen läuft (Ihr werden keine Rechner aus dem anderen Netz sehen und diese nur erreichen, wenn Ihr deren IP eingebt). Die meisten Spiele würden gar nicht klappen. Nur in einem Sonderfall würde fast alles funktionieren. Wenn in einen Netzwerk nur ein PC in das andere Netzwerk will, sprich also wenn nur der Client mitmachen möchte, dann geht es. Denn der Client hätte zwei IP-Adressen, seine normale und eine IP-Adresse aus dem IP-Bereich des anderen Netzwerkes. Aber Spiele klappen auch nur dann, wenn man eine IP-Adesse für den LAN-Modus auswählen kann, wie z.B. bei C&C Generals. Dann müsste der Client nämlich dort die IP-Adresse auswählen, die in dem IP-Bereich des anderen Netzwerkes liegt. Dies ist sehr ärgerlich, aber es ist leider so. Wer meint eine Lösung zu haben, kann diese gerne posten. Ich werde es testen und, wenn es klappt, auch mit aufnehmen. Mir wurde aber versichert, dass es nur sehr schwierig und kompliziert zu realisieren wäre.


##########################


Wenn die IP-Bereiche gleich sind oder es werden sollen, dann folgt dieser Anleitung:


##########################


Egal ob beide IP-Bereiche schon gleich sind oder Ihr es jetzt umstellt, Ihr müsst Euch an folgende Regel halten:

Keine IP-Adresse darf doppelt vorkommen. Und vergesst nicht den Router, meist hat der z.B. die IP 192.168.0.1 und im anderen Netzwerk, wo der IP-Bereich ja nun auch 192.168.0.X ist, wird der Router dort wohl auch diese IP-Adresse haben. Ich habe es so gelöst:

LAN1 hat die IP-Adessen 192.168.0.1 bis 192.168.0.99 (Router hat 192.168.0.1)
LAN2 hat die IP-Adressen 192.168.0.100 bis 192.168.0.254 (Router hat 192.168.0.100)

Vergesst nicht die DNS und Gateway Einträge auf allen Rechnern zu ändern, wenn Ihr die IP-Adresse des Routers ändert.

Falls Ihr einen MAC-Adressen Filter beim Router anhabt, dann solltet Ihr diesen ausstellen, bevor Ihr nun die Netzwerkbrücke erstellt. Denn eine Netzwerkbrücke bekommt eine eigene MAC-Adresse. Leider ist es so, dass Windows nach dem Erstellen der Netzwerkbrücke oft eine andere MAC-Adresse vergibt, als nach einem Neustart. Also startet den PC am besten neu, nach dem Ihr die Netzwerkbrücke, wie gleich beschrieben, eingerichtet habt. Dann geht Ihr auf Start->Ausführen, tippt cmd und klickt auf OK. Nun gebt Ihr ipconfig /all ein, seht nun die MAC-Adresse, könnt diese beim MAC-Filter eintragen und diesen wieder aktivieren.

Wenn Ihr keinen Router habt, dann dürft Ihr nicht die Netzwerkkarte überbrücken, die mit dem DSL Modem verbunden ist, da diese Netzwerkkarte ja die Internet-IP von Eurem Provider bekommt. Wenn Ihr keine 2. Netzwerkkarte in Eurem Rechner eingebaut habt, dann braucht Ihr keine Netzwerbrücke, da Euer Rechner ja mit keinen weiteren PC's verbunden ist. Wenn Ihr eine 2. Netzwerkkarte habt und diese Euren PC mit Eurem Netzwerk verbindet, dann müsst Ihr diese Netzwerkkarte mit dem TAP-Device bridgen.

Wenn z.B. der PC 192.168.0.15 OpenVPN-Server ist, dann muss auf diesem PC die Netzwerkkarte mit dem TAP-Device überbrückt werden. Dazu macht Ihr einen Rechtsklick auf die Netzwerkumgebung und wählt Eigenschaften. Dann markiert die beiden Verbindungen und geht auf Erweitert->Verbindungen überbrücken. Falls Windows nun sagt, diese beiden Verbindungen könnten nicht überbrückt werden: Die Netzwerkkarte, die überbrückt werden soll, darf nicht in die Internetverbindungsfreigabe von Windows mit eingebunden sein. Rechtsklick auf die Netzwerkbrücke, dann auf Eigenschaften und geht beim Internetprotokoll (TCP/IP) auf Eigenschaften. Dort stellt Ihr folgende Sachen ein:

Code:

IP-Adresse 192.168.0.15
Subnetzmaske: 255.255.255.0
Standartgateway: IP vom Router z.B. 192.168.0.1
Bevorzugter DNS-Server: IP vom Router z.B. 192.168.0.1
 


Wenn z.B. der PC 192.168.0.101 OpenVPN-Client ist, dann muss auf diesem PC die Netzwerkkarte mit dem TAP-Device überbrückt werden. Dazu macht Ihr einen Rechtsklick auf die Netzwerkumgebung und wählt Eigenschaften. Dann markiert die beiden Verbindungen und geht auf Erweitert->Verbindungen überbrücken. Rechtsklick auf die Netzwerkbrücke, dann auf Eigenschaften und geht beim Internetprotokoll (TCP/IP) auf Eigenschaften. Dort stellt Ihr folgende Sachen ein:

Code:

IP-Adresse 192.168.0.101
Subnetzmaske: 255.255.255.0
Standartgateway: IP vom Router z.B. 192.168.0.100
Bevorzugter DNS-Server: IP vom Router z.B. 192.168.0.100
 


Bitte beachtet bei Eurer Software-Firewall, dass die Netzwerkbrücke als neues Gerät gilt. Bei ZoneAlarm muss ich z.B. die Netzwerkbrücke auf Trusted stellen.

Ihr seid fast fertig. Nun fehlen nur noch die Config-Dateien. Auf dem OpenVPN-Server erstellt Ihr unter C:\Programme\OpenVPN\config die Datei server1.ovpn und folgendes schreibt Ihr in diese Datei:

Code:

port 1194
mode server
dev tap
client-to-client
tls-server
dh C:\\Programme\\OpenVPN\\easy-rsa\\keys\\dh1024.pem
ca C:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt
key C:\\Programme\\OpenVPN\\easy-rsa\\keys\\server1.key
cert C:\\Programme\\OpenVPN\\easy-rsa\\keys\\server1.crt
keepalive 10 60
verb 4



Auf dem OpenVPN-Client erstellt Ihr unter C:\Programme\OpenVPN\config die Datei client1.ovpn und folgendes schreibt Ihr in diese Datei:

Code:

port 1194
remote name.no-ip.com (hier schreibt Ihr also die IP oder URL des Servers rein)
dev tap
tls-client
ca C:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt
key C:\\Programme\\OpenVPN\\easy-rsa\\keys\\client1.key
cert C:\\Programme\\OpenVPN\\easy-rsa\\keys\\client1.crt
ns-cert-type server
keepalive 10 60



Dann macht beim Server einen Rechtsklick auf die server1.ovpn und klickt auf Start OpenVPN on this config file und danach macht Ihr beim Client einen Rechtsklick auf die client1.ovpn und klickt auf Start OpenVPN on this config file. Folgende Hinweis Meldung wird wahrscheinlich kommen: "NOTE: could not get adapter index for \DEVICE\TCPIP_{...}, status=55 : Die angegebene Netzwerkressource bzw. das angegebene Gerät ist nicht mehr verfügbar.", dies ist aber normal. Und schon geht alles :) Wenn Windows Probleme mit den Berechtigungen macht (Ihr müsst z.B. ein Passwort eingeben, wenn Ihr auf einen PC im anderen Netzwerk wollt), dann stellt es mal so ein (habe es nur mit Windows XP gemacht, sollte bei Windows 2003 aber fast genauso sein):

Bei der Freigabe muss bei Berechtigungen und bei Sicherheit JEDER stehen.

Dann geht Ihr in die "Computerverwaltung" (Systemsteuerung->Verwaltung), "System", "Lokale Benutzer und Gruppen", dann "Benutzer" und aktiviert vorsichtshalber den GAST Account.

Dann geht in die "Lokale Sicherheitsrichtlinie" (Systemsteuerung->Verwaltung), dann "Lokale Richtlinien" und klickt dort auf "Zuweisen von Benutzerrechten". Da muss bei "Auf diesen Computer vom Netzwerk aus zugreifen" JEDER eingestellt sein. Dann schaut bei "Zugriff vom Netzwerk auf diesen Computer verweigern", ob da JEDER und Gast nicht drin steht.

Geht auf "Lokale Sicherheitsrichtlinie" (Systemsteuerung->Verwaltung), dann "Lokale Richtlinien" und da in die "Sicherheitsoptionen" und aktiviert den "Netzzugriff: Die Verwendung von 'Jeder'-Berechtigungen für anonyme Benutzer ermöglichen" und alles sollte klappen.


##########################


Wenn die IP-Bereiche unterschiedlich sind, dann folgt dieser Anleitung:


##########################


Ich gehe vom folgenden Beispiel aus:

LAN1 hat die IP-Adessen 192.168.0.1 bis 192.168.0.254 (Router hat 192.168.0.1)
LAN2 hat die IP-Adressen 192.168.2.1 bis 192.168.2.254 (Router hat 192.168.2.1)

Falls Ihr einen MAC-Adressen Filter beim Router im Netzwerk des Servers anhabt, dann solltet Ihr diesen ausstellen, bevor Ihr nun die Netzwerkbrücke erstellt. Denn eine Netzwerkbrücke bekommt eine eigene MAC-Adresse. Leider ist es so, dass Windows nach dem Erstellen der Netzwerkbrücke oft eine andere MAC-Adresse vergibt, als nach einem Neustart. Also startet den PC am besten neu, nach dem Ihr die Netzwerkbrücke, wie gleich beschrieben, eingerichtet habt. Dann geht Ihr auf Start->Ausführen, tippt cmd und klickt auf OK. Nun gebt Ihr ipconfig /all ein, seht nun die MAC-Adresse, könnt diese beim MAC-Filter eintragen und diesen wieder aktivieren.

Wenn Ihr keinen Router habt, dann dürft Ihr nicht die Netzwerkkarte überbrücken, die mit dem DSL Modem verbunden ist, da diese Netzwerkkarte ja die Internet-IP von Eurem Provider bekommt. Wenn Ihr keine 2. Netzwerkkarte in Eurem Rechner eingebaut habt, dann braucht Ihr keine Netzwerbrücke, da Euer Rechner ja mit keinen weiteren PC's verbunden ist. Wenn Ihr eine 2. Netzwerkkarte habt und diese Euren PC mit Eurem Netzwerk verbindet, dann müsst Ihr diese Netzwerkkarte mit dem TAP-Device bridgen.

Wenn z.B. der PC 192.168.0.15 OpenVPN-Server ist, dann muss auf diesem PC die Netzwerkkarte mit dem TAP-Device überbrückt werden. Dazu macht Ihr einen Rechtsklick auf die Netzwerkumgebung und wählt Eigenschaften. Dann markiert die beiden Verbindungen und geht auf Erweitert->Verbindungen überbrücken. Falls Windows nun sagt, diese beiden Verbindungen könnten nicht überbrückt werden: Die Netzwerkkarte, die überbrückt werden soll, darf nicht in die Internetverbindungsfreigabe von Windows mit eingebunden sein. Rechtsklick auf die Netzwerkbrücke, dann auf Eigenschaften und geht beim Internetprotokoll (TCP/IP) auf Eigenschaften. Dort stellt Ihr folgende Sachen ein:

Code:

IP-Adresse 192.168.0.15
Subnetzmaske: 255.255.255.0
Standartgateway: IP vom Router z.B. 192.168.0.1
Bevorzugter DNS-Server: IP vom Router z.B. 192.168.0.1



Bitte beachtet bei Eurer Software-Firewall, dass die Netzwerkbrücke als neues Gerät gilt. Bei ZoneAlarm muss ich z.B. die Netzwerkbrücke auf Trusted stellen.

Wenn z.B. der PC 192.168.2.2 OpenVPN-Client ist und sich jetzt mit dem OpenVPN-Server verbinden würde, hätte er Kontakt zu allen PC's in LAN1 und alle PC's in LAN1 haben Kontakt zum Client. Der Client hat jetzt 2 IP-Adressen, 192.168.2.2 und 192.168.0.40 und er ist nun der Knotenpunkt.

Damit nun auch die anderen PC's in LAN2 Kontakt zu den PC's in LAN1 und alle PC's in LAN1 Kontakt zu den anderen PC's in LAN2 bekommen, muss man Routen einstellen.

Diese Routen müssen auf allen PC's eingerichtet werden, die zueinander Kontakt haben sollen:

Geht in die Eingabeaufforderung (Start->Ausführen cmd eingeben und auf OK klicken) und folgendes eintippen:

Alle PC's aus LAN1 bekommen diese Route, auch der OpenVPN-Server:

Code:
 

route add 192.168.2.0 mask 255.255.255.0 192.168.0.40
 
Wenn diese Route dauerhaft gespeichert werden soll, dann fügt noch -p zum Befehl hinzu (z.B.
route add 192.168.2.0 mask 255.255.255.0 192.168.0.40 -p).



Damit werden also alle Anfragen aus LAN1 zu 192.168.2.X auf den Client 192.168.0.40 weitergeleitet. Dies müsst Ihr auf jedem Rechner in LAN1 eintippen.

Alle PC's (außer der Client) aus LAN2 bekommen diese Route:

Code:

route add 192.168.0.0 mask 255.255.255.0 192.168.2.2
 
Wenn diese Route dauerhaft gespeichert werden soll, dann fügt noch -p zum Befehl hinzu (z.B.
route add 192.168.0.0 mask 255.255.255.0 192.168.2.2 -p).



Damit werden also alle Anfragen aus LAN2 zu 192.168.0.X auf den Client 192.168.2.2 weitergeleitet. Dies müsst Ihr auf jedem Rechner in LAN2 eintippen.

Ihr seid fast fertig. Nun fehlen nur noch die Config-Dateien. Auf dem OpenVPN-Server erstellt Ihr unter C:\Programme\OpenVPN\config die Datei server1.ovpn und folgendes schreibt Ihr in diese Datei:

Code:

port 1194
mode server
ifconfig 192.168.0.15 255.255.255.0 (IP und Subnetz des Servers)
ifconfig-pool 192.168.0.40 192.168.0.254 (der Client erhält eine IP aus diesen Bereich, keine IP in diesem Beriech sollte schon belegt sein)
ifconfig-noexec
dev tap
client-to-client
tls-server
dh C:\\Programme\\OpenVPN\\easy-rsa\\keys\\dh1024.pem
ca C:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt
key C:\\Programme\\OpenVPN\\easy-rsa\\keys\\server1.key
cert C:\\Programme\\OpenVPN\\easy-rsa\\keys\\server1.crt
keepalive 10 60
push "keepalive 10 60"
verb 4



Auf dem OpenVPN-Client erstellt Ihr unter C:\Programme\OpenVPN\config die Datei client1.ovpn und folgendes schreibt Ihr in diese Datei:

Code:

port 1194
remote name.no-ip.com (hier schreibt Ihr also die IP oder URL des Servers rein)
dev tap
tls-client
ca C:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt
key C:\\Programme\\OpenVPN\\easy-rsa\\keys\\client1.key
cert C:\\Programme\\OpenVPN\\easy-rsa\\keys\\client1.crt
ns-cert-type server
pull



Dann macht beim Server einen Rechtsklick auf die server1.ovpn und klickt auf Start OpenVPN on this config file und danach macht Ihr beim Client einen Rechtsklick auf die client1.ovpn und klickt auf Start OpenVPN on this config file. Folgende Hinweis Meldung wird wahrscheinlich kommen: "NOTE: could not get adapter index for \DEVICE\TCPIP_{...}, status=55 : Die angegebene Netzwerkressource bzw. das angegebene Gerät ist nicht mehr verfügbar.", dies ist aber normal. Und schon geht alles :) Wenn Windows Probleme mit den Berechtigungen macht (Ihr müsst z.B. ein Passwort eingeben, wenn Ihr auf einen PC im anderen Netzwerk wollt, dann stellt es mal so ein (habe es nur mit Windows XP gemacht, sollte bei Windows 2003 aber fast genauso sein):

Bei der Freigabe muss bei Berechtigungen und bei Sicherheit JEDER stehen.

Dann geht Ihr in die "Computerverwaltung" (Systemsteuerung->Verwaltung), "System", "Lokale Benutzer und Gruppen", dann "Benutzer" und aktiviert vorsichtshalber den GAST Account.

Dann geht in die "Lokale Sicherheitsrichtlinie" (Systemsteuerung->Verwaltung), dann "Lokale Richtlinien" und klickt dort auf "Zuweisen von Benutzerrechten". Da muss bei "Auf diesen Computer vom Netzwerk aus zugreifen" JEDER eingestellt sein. Dann schaut bei "Zugriff vom Netzwerk auf diesen Computer verweigern", ob da JEDER und Gast nicht drin steht.

Geht auf "Lokale Sicherheitsrichtlinie" (Systemsteuerung->Verwaltung), dann "Lokale Richtlinien" und da in die "Sicherheitsoptionen" und aktiviert den "Netzzugriff: Die Verwendung von 'Jeder'-Berechtigungen für anonyme Benutzer ermöglichen" und alles sollte klappen.

Danke an dabu66 und DataKill :D

Copyright by Martin "Martinator" Wegner martinator.de@arcor.de

Edit1: Habe das Tutorial an RC16 angepasst. Ich hoffe, die Config ist mit keepalive so richtig :)

Edit2: Kleine Ungenauigkeiten beseitigt.

Edit3: Habe den Hinweis hinzugefügt, dass die Netzwerkbrücken nur unter Windows XP und Windows 2003 verfügbar sind. Dieses Tutorial setzt also voraus, dass auf dem OpenVPN-Server/Client Windows XP oder Windows 2003 installiert ist.

Edit4: RC16 gegen RC17 ausgetauscht.

Edit5: RC17 gegen RC18 ausgetauscht und die Download-Link editiert.

Edit6: RC18 gegen RC19 ausgetauscht.

Edit7: Hinweis, wenn Windows bei der Netzwerküberbrückung eine Fehlermeldung brachte, hinzugefügt. Dann habe ich noch geschrieben, dass die eine Meldung von OpenVPN normal ist.

Edit8: RC19 gegen RC20 ausgetauscht.

Edit9: RC20 gegen RC21 ausgetauscht.

Edit10: RC21 gegen die 2.0 Final ausgetauscht.

Edit11: Zwei Sonderfälle ganz oben genannt, wann man auch ohne Windows XP oder 2003 zum Ziel kommt.

Edit12: Problemstellung einer Netzwerkbrücke genannt, wenn man keinen Router hat.

Edit13: 2.0 Final gegen 2.0.1 RC1 ausgetauscht. Final gibt es hier http://openvpn.net/download.html#beta

Edit14: 2.0.1 RC1 gegen 2.0.1 RC2 ausgetauscht.

Edit15: 2.0.1 RC2 gegen 2.0.1 RC3 ausgetauscht.

Edit16: 2.0.1 RC3 gegen 2.0.1 RC7 ausgetauscht.

Edit17: 2.0.1 RC7 gegen 2.0.2 RC1 ausgetauscht.

Edit18: Ein paar Sätze zur Netzwerkbrücken-Problematik dazu geschrieben.


Last edited by Martinator on 14.09.2005 20:08, edited 37 times in total.

Top
  
Reply with quote  
 Post subject:
PostPosted: 20.02.2005 12:41 
AES 256 bit
AES 256 bit
User avatar

Joined: 04.06.2004 12:08
Posts: 363
Location: Hannover
Hallo Martin,

vielen Dank für dieses sehr umfangreiche Tutorial! (auch an alle anderen beteiligten) Habs zwar gerade nur überflogen aber ich denke es ist mit Sicherheit äußerst hilfreich.
Ich werds erstmal oben anpinnen und wenn alles soweit passt würd ichs gerne auch in den Tutorial Bereich kopieren.

Bis später
Daniel


Top
Offline Profile  
Reply with quote  
 Post subject: Frage und Tippfehler
PostPosted: 20.02.2005 15:50 
DES
DES

Joined: 20.02.2005 15:38
Posts: 3
Muss es in der Zeile
"Damit werden also alle Anfragen aus LAN2 zu 192.168.0.X auf den Client 192.168.2.2 weitergeleitet. Dies müsst Ihr auf jedem Rechner in LAN1 eintippen."
nicht eigentlich LAN2 statt LAN1 heissen?

Ich habe alles soweit nach der zweiten Konfigurationsmöglichkeit (OS: XP SP2) gemacht,
allerdings beendet sich der Server sofort:

Sun Feb 20 16:47:47 2005 us=804739 TCP/UDP: Socket bind failed on local address [undef]:5000: Address already in use (WSAEADDRINUSE)
Sun Feb 20 16:47:47 2005 us=805028 Exiting

Meine Frage nun:
Ist es normal, dass der TAP-Adapter permanent die Verbindung über die Netzwerkbrücke hergestellt hat, obwohl kein VPN-Server läuft...

Locale IP: 192.168.0.2
Router: 192.168.0.1
Code:
port 5000
mode server
ifconfig 192.168.0.2 255.255.255.0
ifconfig-pool 192.168.0.100 192.168.0.254
ifconfig-noexec
dev tap
client-to-client
tls-server
ca ca.crt
cert EIMSBUSH.crt
key EIMSBUSH.key
dh dh1024.pem
ping 10
ping-restart 120
push "ping 10"
push "ping-restart 60"
verb 4


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 06.04.2005 08:21 
Top-Supporter
Top-Supporter
User avatar

Joined: 13.09.2004 08:51
Posts: 1465
Location: Schwobaländle
Hallo zusammen,

ich habe den Rest des Themas abgetrennt. Meiner Ansicht nach wird das langsam etwas unübersichtlich.
Bitte schreibt Fragen in einem eigenen Thread.
Damit bleiben Antworten zusammenhängend. Im alten Thread wurden mehrere Fragen von verschiedenen Leuten gleichzeitig gestellt.

Den Rest findet ihr hier wieder
http://www.vpnforum.de/openvpn-forum/viewtopic.php?t=604


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 16.08.2005 16:37 
Falls Ihr nach dem Erstellen der Netzwerkbrücke keien Verbidnung mehr zu Eurem Router etc. habt, dann probiert mal folgendes aus:

dabu66 wrote:


dabu66 wrote:
Das kann auch an dem Promiscuous Mode liegen. Aktivier mal die Brücke.

Gib dann mal in der Eingabeaufforderung
netsh bridge show adapter
ein.

Jetzt sollte der Kombatibilitäts Modus aktiviert sein. Wenn nicht die Adapter ID merken und mit der ID aktivieren

netsh bridge set adapter ID enable

Dann sollte/könnte es gehen


Top
  
Reply with quote  
 Post subject:
PostPosted: 20.09.2005 10:32 
Tripple-DES
Tripple-DES

Joined: 12.09.2005 22:26
Posts: 23
der client bekommt, obwohl wir gleiche adressbereiche in den lans haben eine 169.x.x.x ip zugewiesen und ist nur unter der anpingbar und zocken geht nicht- viell. wegen der starken verschlüsselung ? hmmp


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 20.09.2005 17:00 
Zocken geht, haste die Priorität beim Client udn Server für openvpn.exe im Task-Manager auf hoch gestellt? Und Du hast dem TAP-Device eine feste IP gegeben und so bald Du VPN machst, wechselt Windows diese...? Außerdem soll man hier gar net schreiben ;)


Top
  
Reply with quote  
 Post subject:
PostPosted: 20.09.2005 19:00 
Tripple-DES
Tripple-DES

Joined: 12.09.2005 22:26
Posts: 23
juhuuuuuuu - es geht endlich - plötzlich ging alles


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 23.09.2005 07:21 
Tripple-DES
Tripple-DES

Joined: 22.09.2005 14:06
Posts: 11
Ich nutze OpenVPN schon seit der ersten 2er beta Version. Die MAN Page war immer mein Freund und Helfer :) Ich selbst benutze mit paar anderen Leuten um per VPN im LAN Multiplayer zu zocken. Daher gibt es 1 Server (den mach ich) und die anderen sind nur clients. Dafür wird noch als Option client-to-client benutzt.

Klappt ja auch soweit, daß ja in einem eigenen IP Netz gezockt wird. Aber nun zurück zum Thema.

Dieses Tutorial ist sehr interessant und leicht verständlich. Habe es mir in Ruhe durchgelesen und soweit ist mir ja alles klar bis auf das Netzwerkbridging. Warum müssen Client und Server eine Netzwerkbridge haben? Reicht da nicht "route" auf jedem Rechner (inkl Client+Server) aus?

EDIT1:
So. Nochmal fix den anfang durchgelesen. Also Netzwerkbrücke ist nur für Broadcast das das funktioniert? Ansonsten wenn man kein Broadcast benötigt bräuchte man also auch keine Netzwerkbrücke? (Meine Frage bezieht sich auf Beispiel 2 - zwei LANs - unterschiedliche IPs)


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 23.09.2005 14:48 
Tripple-DES
Tripple-DES

Joined: 12.09.2005 22:26
Posts: 23
Also ich habe ja selber kaum Ahnung. Ich habe mir den ganzen Stress mitOpenVPN angetan, da ich 2 LANs perfekt verbinden wollte (mit den LAN IPs und daß LANserver problemlos gefunden werden).

die WinXP Lösung war um ein vielfaches schneller und einfacher, aberdie Netze wurden nicht verbunden und LANspiele nur über IP gefunden.

Sogar bei Mohaa Breakthrough ruckelt es extrem- warum ist die vpn verb. so lahm ? mit dem winXP vpn hatte ich keine probleme. gibt es tricks ?

Die netzwerkbrücke dient dazu, dich nach innen und nach außen über die gleiche Ip erreichbar zu machen- LAN und VPN werden also sozusagen miteinander verbunden - mit openvpn funktioniert broadcast aber auch ohne brücke glaube ich.

Machen die Brücken die Verbindung langsamer ?


Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 23.09.2005 21:29 
Die Netzwerkbrücke macht nichts langsamer und man kann über OpenVPN auch super zocken!

Die Netzwerbrücke braucht man, für das Windows Broadcast, ansonsten siehst Du die anderne Rechner nicht und musst immer direkt die IP eingeben.


Top
  
Reply with quote  
 Post subject:
PostPosted: 29.09.2005 11:33 
DES
DES

Joined: 29.09.2005 11:13
Posts: 2
<space>


Last edited by i013200 on 28.07.2006 11:22, edited 3 times in total.

Top
Offline Profile  
Reply with quote  
 Post subject:
PostPosted: 23.11.2005 21:48 
DES
DES

Joined: 06.02.2005 12:04
Posts: 6
TIPP:

Falls jemand Probleme damit hat, W-Lan Rechner über's Internet mit OpenVPN zu verbinden, der sollte darauf achten, Windows NICHT die Konfiguration des W-Lan-Adapters zu überlassen!
Am Besten ihr benutzt dann das Hersteller-Tool.

Das Problem besteht nämlich dann, wenn man z.B. WEP aktiviert hat, da man keine Möglichkeit mehr hat, den Key über die Netzwerkbrücke einzustellen. (soweit ich das bei mir gesehen habe)


Top
Offline Profile  
Reply with quote  
 Post subject: Warum Netzwerkbrücke
PostPosted: 11.02.2006 22:47 
DES
DES

Joined: 11.02.2006 22:32
Posts: 1
Hallo,

erst mal vielen Dank für das Forum hier. Es hat mir sehr geholfen, mein OpenVPN einzurichten!

Nun zum eigentlichen:

da ich irgendwie mit den Netzwerkbrücken von Windows nicht klar komme, habe ich es einfach anders gelöst, dass die Netze untereinander sichbar sind.

Das Device als TAP nutzen ist die erste Vorraussetzung.

Wenn die VPN-Verbindung steht, ist es wichig, den Routing und RAS-Dienst unter Windows zu starten und auf automatisch starten zu stellen.

In den einzelnen Netzwerken müssen jetzt in den Standardgateways nur noch die Routen zu dem jeweiligen anderen Netzwerk eingetragen werden.
Sofern das Standardgateway ein DSL-Router ist, der keine weiteren Routen unterstützt, einfach das Gateway auf nen PC setzen, vorzugsweise den VPN-Server/Client, der dann das weitere Routing übernimmt.

LAN1 192.168.1.0, VPN-Server-IP 192.168.1.2, VPN-IP 192.168.11.1
LAN2 192.168.2.0, VPN-Client-IP 192.168.2.2, VPN-IP 192.168.11.8

bei mir ist der VPN-Server/Client jeweils auch das Standardgateway.
Dort ist dann als Standardgateway wieder der DSL-Router des Netzwerks (192.168.x.1) eingetragen, damit man auch weiter surfen kann.

Routen für LAN1 auf 192.168.1.2
Ziel: 192.168.2.0, MASK 255.255.255.0, Gateway 192.168.11.8

Route für LAN2 auf 192.168.2.2
Ziel: 192.168.1.0 MASK 255.255.255.0, Gatetway 192.168.11.1

Damit läuft es bei mir 1a, habe die Routen nach dem testen mit -p als statisch eingetragen.

gerne stelle ich auch meine Scripte für die VPN zur Verfügung bei Bedarf, aber ich denke, so sollte es erst einmal reichen.

So verstehe ich das nur :-) und brauche die seltsamen Netzwerkbrücken nicht. Vielleicht schreibt man mir mal ne PN, wo mir das näher erklärt wird *g*.

Viel Spaß

Gruß Balu


Top
Offline Profile  
Reply with quote  
Display posts from previous:  Sort by  
Post new topic Reply to topic  [ 14 posts ]  Moderator: Moderators

All times are UTC


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Theme created StylerBB.net