OpenVPN routing probleme

[nespresso_zh]

Hallo zusammen,

ich bin was routing anbelangt völlig hinterm Mond, bin mir aber sicher, dass mein Problem was mit routing zu tun hat.

Mein Vorhaben ist einen OpenVPN Server auf Windows 2012R2 zu installieren. Der steht in Deutschland beim Provider.
Dann möchte ich mit meinem Windows 10 Rechner via OpenVPN Client diesen VPN Server nutzen um mit deutscher IP Netflix zu verwenden. Da ich sehr oft im Ausland bin und öffentliche VPN's von Netflix geblockt werden, möchte ich meinen eigenen VPN Server nutzen.

Kurzum, alles ist installiert und konfiguriert, der VPN Tunnel kann erfolgreich aufgebaut werden, aber ich kann nicht über den Server browsen.

Hier die server.opvn

port 443
proto udp4
dev tap

mode server
tls-server

ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"

dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh2048.pem"

server 10.0.0.0 255.255.255.0

ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\log\\ipp.txt"


push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

keepalive 10 120

cipher AES-128-CBC

persist-key
persist-tun

status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"

verb 3

auth-user-pass-verify "C:\\Program Files\\OpenVPN\\config\\auth.bat" via-env
script-security 3

Hier die dazugehörige client.opvn


client

dev tap

proto udp4

remote xxx.xxx.xxx.xxx 443

resolv-retry infinite

nobind

persist-key
persist-tun

ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\user.crt"
key "C:\\Program Files\\OpenVPN\\config\\user.key"



remote-cert-tls server

cipher AES-128-CBC

verb 3

auth-user-pass


Nach Connect und Tunnelaufbau sieht das Routing wie folgt aus:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.5 55
0.0.0.0 128.0.0.0 10.0.0.1 10.0.0.2 291
10.0.0.0 255.255.255.0 Auf Verbindung 10.0.0.2 291
10.0.0.2 255.255.255.255 Auf Verbindung 10.0.0.2 291
10.0.0.255 255.255.255.255 Auf Verbindung 10.0.0.2 291
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
128.0.0.0 128.0.0.0 10.0.0.1 10.0.0.2 291
144.76.12.77 255.255.255.255 192.168.1.1 192.168.1.5 311
192.168.1.0 255.255.255.0 Auf Verbindung 192.168.1.5 311
192.168.1.5 255.255.255.255 Auf Verbindung 192.168.1.5 311
192.168.1.255 255.255.255.255 Auf Verbindung 192.168.1.5 311
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.5 311
224.0.0.0 240.0.0.0 Auf Verbindung 10.0.0.2 291
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.5 311
255.255.255.255 255.255.255.255 Auf Verbindung 10.0.0.2 291
===========================================================================
Ständige Routen:
Keine

Also wie es ausschaut, klappt das routing zum V PN Server aber der Rückweg wird wohl nicht gefunden?

Würde m ich freuen, wenn wir das zusammen irgend wie hinbiegen könnten.

LG
Uwe

 

[redeye86]

Kann es sein, dass in der Client config noch ein "pull" fehlt? Sonst dürfte der Client die push Anweisungen des Servers nicht beachten.

Ansonsten könnte ich mir vorstellen, dass das Routing im Netzwerkadapter des Servers noch freigegeben werden muss. Zumindest früher hieß das Internet Connection Sharing.

Habe Windows-Openvpns bisher aber selbst immer nur ohne Routing eingerichtet.

 

[Picormorant]

Das Routing scheint mir auf den ersten Blick in Ordnung zu sein.

Was du definitiv noch brauchst, ist ein Routing / NAT Masquerading für das OpenVPN Transfernetz zur öffentlichen IP Adresse des Servers.
Das lässt sich bei Windows mit der RRAS Rolle umsetzen.

 

[Datax]

Die Metrik der Default-Route, die dein OpenVPN-Client gepusht bekommt,
ist höher als die der Default-Route, die er vorher schon hatte.

Wenn zwei Routen das gleiche Ziel haben,
dann wird die Route mit der geringeren Metrik ( Kosten ) genutzt.

0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.5 55 ( Default-Route, die er der Client bereits vor dem Aufbau des Tunnels hatte, Metrik = 55 )
0.0.0.0 128.0.0.0 10.0.0.1 10.0.0.2 291 ( Default-Route, die der Client beim Tunnelaufbau gepusht bekommen hat, Metrik = 219 )

Der Metrik-Wert der Default-Route, die der Client gepusht bekommt,
wird durch zwei Faktoren festgelegt:

- Metrik-Vorgabe in der Config des OpenVPN-Servers ( normalerweise legt der OpenVPN-Server eine Metrik von 0 fest )
- Offset, den Windows selbst z.B. durch die Netzwerkadapter-Reihenfolge ( Priorisierungsliste so zu sagen ) festlegt

Den Offset-Wert, der von Windows zum Festlegen der Metrik genutzt wird,
kannst du beeinflussen.

Lösung für Windows Vista, 7, 8:
https://www.dirks-computerecke.de/n...et-der-lan-und-wlan-verbindung-einstellen.htm

Lösung für Windows 10:
https://answers.microsoft.com/en-us...ndows-10/d2b63caa-e77c-4b46-88b5-eeeaee00c306

Gruß, Datax

 

[Picormorant]

Die eingestellte Metrik ist in Ordnung solange die Option redirect-gateway defl gesetzt ist.

 

[nespresso_zh]

Das Routing scheint mir auf den ersten Blick in Ordnung zu sein.

Was du definitiv noch brauchst, ist ein Routing / NAT Masquerading für das OpenVPN Transfernetz zur öffentlichen IP Adresse des Servers.
Das lässt sich bei Windows mit der RRAS Rolle umsetzen.

Besten Dank! Habe über die RAS Rolle NAT konfiguriert und siehe da, es funzt auf Anhieb!

Manchmal ist es so einfach ;-)

Ergänzung (6. Mai 2018)

Alles umsonst. Wenn ich nun Netflix per Windows App aufrufe, kommt sofort eine Fehlermeldung ich würde einen Proxy oder VPN verwenden

 

[Picormorant]

Vermutlich ist das Netz deines Providers für und von Netflix geblockt.

 

[nespresso_zh]

Vermutlich ist das Netz deines Providers für und von Netflix geblockt.

Ja, das ist die einzig vernünftige Erklärung.
Na immerhin geht mein Sky Go mit dem VPN, das tröstet ein wenig.

Danke nochmals für die schnelle und kompetente Hilfe!

 

[Raijin]

Wenn ich nun Netflix per Windows App aufrufe, kommt sofort eine Fehlermeldung ich würde einen Proxy oder VPN verwenden

Normalerweise kann Netflix gar nicht sehen ob ein VPN genutzt wird oder nicht. Das einzige was Netflix sieht, ist die öffentliche IP. Wenn diese wiederum aber auf der VPN-Blacklist steht, weil entweder in dieser IP-Range bereits mehrfach VPNs betrieben wurden oder im worst case sogar direkt von dieser speziellen IP. Ich hatte beispielsweise bei einem gemieteten vServer das Problem, dass zB geizhals die IP geblockt hat. Auf Nachfrage wurde mir mitgeteilt, dass auf dieser IP in der Vergangenheit "Unregelmäßigkeiten" festgestellt wurden und man würde die IP unter Vorbehalt wieder freischalten. Heißt im Klartext: Einer der Vormieter meines vServers bzw. der IP hat geizhals in irgendeiner Form angegriffen, gescannt oder was auch immer..

Du kannst daher höchstens versuchen, dich bei Netflix zu melden und die Situation erklären. Musst ja nicht unbedingt erwähnen, dass es dir um Regionalsperren geht. Mit etwas Glück wird die IP des Servers von der Blacklist genommen.