OpenVPN Verbindung geht, routing nicht

[Gigavolt]

Moin

In einem anderen Thread habe ich Probleme gepostet da die Windows Firewall mir die VPN blockt. Nun habe ich die Firewall ausgeschaltet um die VPN zu testen, Verbindung funktioniert. Allerdings kann ich die lokale IP nicht pingen und die Laufwerke gehen über die Lokale IP auch nicht.

Ist jemand stark in bezug auf OpenVPN?
Hier mal das configfile vom Server

port 1194

proto udp

mode server

dev tap

dev-node openvpn

ifconfig 192.168.1.60 255.255.255.0

ifconfig-pool 192.168.1.61 192.168.1.61

client-to-client

tls-server

dh   c:\\programme\\openvpn\\keys\\dh2048.pem

ca   c:\\programme\\openvpn\\keys\\ca.crt

key  c:\\programme\\openvpn\\keys\\server.key

cert c:\\programme\\openvpn\\keys\\server.crt

comp-lzo

push "route-gateway 192.168.1.60"

push "route 192.168.0.101 255.255.255.0"

route -p add 192.168.0.11 mask 255.255.255.0 192.168.1.61 metric 1

und hier das vom Client:

remote name.dyndns.tv

port 1194

proto udp

dev tap

dev-node openvpn

tls-client

ca   c:\\programme\\openvpn\\keys\\ca.crt

key  c:\\programme\\openvpn\\keys\\client1.key

cert c:\\programme\\openvpn\\keys\\client1.crt

ns-cert-type server

comp-lzo

pull

LAN IP Server: 192.168.0.101
LAN IP Client: 192.168.0.11
VPN IP Server: 192.168.1.60
VPN IP Client: 192.168.1.61

Stimmt das Ganze? Sollten die VPN IPs am Schluss auch 0.XX haben oder ist es besser wie jetzt mit 1.XX?

Die PCs laufen beide mit Win7 64Bit, und liegen ein paar Städte auseinander (nicht im gleichen Netzwerk sondern per Internet verbunden).
Internetverbindung (bei beiden) 50kbit down und 7kbit up pro Sekunde.

Danke für die Hilfe!

 

[Blutschlumpf]

Das Problem in deinem Fall dürfte eher sein, dass du dem Client ein Netz pushen möchtest welches er auf der NIC connected hat:
push "route 192.168.0.101 255.255.255.0"

Wenn du vom Client IPs erreichen wilst, die im LAN auf der Server-Seite liegen, dann klappt das im Routing-Modus nur wenn du LAN-Seitig nicht auf beiden Seiten 192.168.0.0/24 benutzt.
Wenn du am Client das komplette LAN-Netz z.B. auf 192.168.2.0/24 umstellst, kannst du 192.168.0.0/24 über das VPN pushen.
Irgendwas in der Richtung sollte dir aber auch das Log auf dem Client sagen.

Wenn du das ganze zu nem Layer2-Tunnel umbaust könnte es vielleicht klappen, ist imo aber keine gute Lösung wenn da ne WAN-Verbindung zwischen liegt.

Sofern du das nicht meinst, beschrieb mal detailierter was du überhaupt testest (Zugriff auf die 192.168.1.60 sollte gehen, auf die 192.168.0.101 nicht.).
Das log wäre ggf. auch hilfreich.

 

[Gigavolt]

Hm.. okay, das Netz clientseitig auf xxx.xxx.2.xxx zu stellen dürfte gehen.

Was bedeutet die Zahl 24 bei 192.168.2.0/24?
Das heisst, wenn ich das Clientnetz umgestellt habe müsste das so gehen?

Mein Log:

Wed Aug 08 20:26:24 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Wed Aug 08 20:26:24 2012 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x.  Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Wed Aug 08 20:26:24 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Aug 08 20:26:24 2012 TAP-WIN32 device [openvpn] opened: \\.\Global\{CAD3A011-4B2F-41B6-99AB-AFCBE83E2A82}.tap
Wed Aug 08 20:26:24 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.1.60/255.255.255.0 on interface {CAD3A011-4B2F-41B6-99AB-AFCBE83E2A82} [DHCP-serv: 192.168.1.0, lease-time: 31536000]
Wed Aug 08 20:26:24 2012 Sleeping for 10 seconds...
Wed Aug 08 20:26:34 2012 Successful ARP Flush on interface [21] {CAD3A011-4B2F-41B6-99AB-AFCBE83E2A82}
Wed Aug 08 20:26:34 2012 Listening for incoming TCP connection on [undef]:1194
Wed Aug 08 20:26:34 2012 TCPv4_SERVER link local (bound): [undef]:1194
Wed Aug 08 20:26:34 2012 TCPv4_SERVER link remote: [undef]
Wed Aug 08 20:26:34 2012 Initialization Sequence Completed
Wed Aug 08 20:27:22 2012 Re-using SSL/TLS context
Wed Aug 08 20:27:22 2012 LZO compression initialized
Wed Aug 08 20:27:22 2012 TCP connection established with 80.218.66.215:49768
Wed Aug 08 20:27:22 2012 TCPv4_SERVER link local: [undef]
Wed Aug 08 20:27:22 2012 TCPv4_SERVER link remote: 80.218.66.215:49768
Wed Aug 08 20:27:26 2012 80.218.66.215:49768 [client1] Peer Connection Initiated with 80.218.66.215:49768

Das erste NOTE deutet auf dein Hinweis hin, richtig?

Testen tu ich atm nur auf dem Server: ping 192.168.0.11 also ob ich die LAN IP des Clienten ansprechen kann. ping 192.168.1.60 oder 61 funktioniert top!
Ziel wäre das wir so verbunden sind, als wären wir im selben LAN Netzwerk

Layer2-Tunnel sagt mir nichts, respektive was ändert das?

Achja, Firewallproblem behoben (umgangen eher) habe von UDP auf TCP gestellt und jetzt gehts auch mit eingeschalteter Firewall.

 

[Sebbi]

die 24 am ende ist die Subnet maske

wenn ping funzt, und ihr beide im 192.168.1.0/24er netz die IP habt, dann seit ihr auch in gleichen netz.

Ziel wäre das wir so verbunden sind, als wären wir im selben LAN Netzwerk

solange nur die beiden PCs so verbunden sein sollen, geht es so wie es jetzt is, wenn irg gegenseitig bei euch im Netzwerk rumsurfen wollt, braucht ihr feste Routen und eure jeweiligen Hausnetzwerke dürfen nicht das gleiche 192er Netz verwenden.

 

[BasCom]

der herr benutzt doch schon layer2. steht im client und server TAP. gerade dann koennen beide seiten ja gleiche subnetze haben. da ist auch kein routing noetig. des brauchst nur bei TUN. lies dich mal im openvpnwiki ueber diese unterschiede ein.

 

[Balli1981]

Moin,

Ich hatte erst vor ein paar tagen die selbe Problematik,
Bei mir lag es daran das am Client die gepushten netze nicht in der Routing Tabelle eingetragen wurden.

Ich starte jetzt den openvpn Client als Administrator.
dadurch schafft es der openvpn Client die gepushten Netze in sie Routing Tabelle einzutragen.

Sorry für die schlechte Schreibweise tippe gerade vom Handy aus.

 

[Gigavolt]

Danke, die 24 bedeutet das 255.255.255.0 Subnetz, das ist bei uns das geiche und atm haben beide Adressen mit 192.168.0.XXX.

Das heisst also, dass ich das Subnetz auf der einen Seite nicht ändern muss da ich ein Layer 2 benutz, das korrekt?

@Balli
Habe jetzt beide GUIs als Admin ausgeführt und kann denoch die LAN IP noch nicht pingen. Die Routen die ich eingetragen habe, stimmen die überhaupt?

Die Zeile "route -p add 192.168.0.11 mask 255.255.255.0 192.168.1.61 metric 1" im Serverconfig ist falsch, das ist ein cmd Befehl. Gebe ich diesen dort ein, kommt OK! und wird übernommen. Komischerweise kommt beim Ping immer noch "Zielhost nicht erreichbar."

Danke euch allen!

 

[BasCom]

jung, du muss nix routen bei TAP. korrekte konfig natuerlich vorausgesetzt. will heissen: keine unterschiedlichen subnetze. das brauchst du nur bei TUN. warum wird immer alles ueberlesen . . .

 

[Gigavolt]

Na gut, habe jetzt die "push" befehle auf dem Server ausgetextet und beim Client den "pull" befehl.
Verbindung etc geht, auch der Ping auf die VPN-IP klappt beidseitig!
Der Ping auf die LAN-IP geht aber nicht..
Du sagst "korrekte konfig natuerlich vorausgesetzt." Also muss was nicht stimmen.. was denn?

Danke

 

[BasCom]

ich sage das client und server im selben subnetz sein sollten bei TAP devices. is bei dir aber nicht. openvpn wiki.

 

[Gigavolt]

Sorry, ich versuche nun seit zwei Tagen das ganze zu perfektionieren und irgendwie seh ich den Wald vor lauter Bäume nicht. Ich habe schon so viel a diesen Adressen rumgeschraubt, dass ich einfach nicht mehr seh was ich jetzt ändern muss..
Die Serverconfig sieht atm so aus:

port 1194

proto tcp-server

mode server

dev tap

dev-node openvpn

ifconfig 192.168.0.60 255.255.255.0

ifconfig-pool 192.168.0.61 192.168.0.61

client-to-client

tls-server

dh   c:\\programme\\openvpn\\keys\\dh2048.pem

ca   c:\\programme\\openvpn\\keys\\ca.crt

key  c:\\programme\\openvpn\\keys\\server.key

cert c:\\programme\\openvpn\\keys\\server.crt

comp-lzo

keepalive 10 60

und das Clientconfig so:

remote name.dyndns.tv

port 1194

proto tcp-client

dev tap

dev-node openvpn

tls-client

ca   c:\\programme\\openvpn\\keys\\ca.crt

key  c:\\programme\\openvpn\\keys\\client1.key

cert c:\\programme\\openvpn\\keys\\client1.crt

ns-cert-type server

comp-lzo

pull

Die push sind weg wie du gesagt hast. Das ganze habe ich mit OpenVPN wiki gemacht und dort war es so beschrieben.

Danke für deine Bemühung

 

[BasCom]

mh ja der server müsste ja eigentlich ne netzwerkbrücke bilden. macht er das? ich hatte bis nur nur linux server und windows clients.
über die ferne is das natuerlich immer schwierig. TAP openvpn hatte ich schon laufen, lief auch super, aber schicker ists mit tun und routing.

meine tap konfig habe ich leider schon lange nicht mehr.

dev-node: steht openvpn, dein interface sollte in der regel auch so heissen, also das virtuelle.

http://openvpn.net/index.php/open-source/documentation/install.html?start=1

 

[Gigavolt]

der server müsste ja eigentlich ne netzwerkbrücke bilden

Wie sehe ich das ob eine BRÜCKE aktiv ist?
Jup, den virtuellen Adapter habe ich auch openvpn genannt.

 

[BasCom]

gut moeglich, das du die lankarte mit dem virtuellen adapter selbst brücken musst. openvpn habe ich unter windows halt nocht nicht als server gehabt. so recht weiss ich da ja auch nicht.

 

[Blutschlumpf]

@Gigavolt:
Geh mal in der Systemsteuerung auf deine Netzwerkadapter, entferne die Config von der NIC, wähl NIC + OpenVPN Adapter aus, mit Rechtsklick kannste die dann als Bridge zusammenfügen.
Dannach machst du die IP-Config der NIC auf die Bridge drauf.

Hab das bei mir ähnlich laufen, ich wähl mich auf nen Server (XP64) ein auf dem der tap-Adapter und ne NIC gebridged sind. Ich tunnel genaugenommen allerdings nicht Layer2 durch 2 Rechner wie du sondern benutze auf der Serverseite ein Netz und gebe dem VPN-Client direkt eine IP daraus.

 

[Gigavolt]

Danke, du schreibst ich solle die Config von der NIC nehmen. Da ich DHCP vom Router habe, habe ich dort keine Config gemacht.
Ich füge also die NIC und den OpenVPN Adapter zusammen. Dort muss ich dann Manuell die meine IP (192.168.0.101) wieder eingeben die sonst automatisch mein Router vergeben hat?!
Kannst du mir dein config Files zeigen?

Danke dir viel mals!

 

[BasCom]

die bridge MUSS nicht zwingend eine ip haben damit alles funktioniert, wird wohl aber fuer dein internetzugang notwendig sein.

 

[Blutschlumpf]

Ich würde die Bridge manuell konfigurieren, hatte da schon Probleme mit Bridge und DHCP.
Zumindest auf einer Seite wirst du ja eh die Ports forwarden und hast somit nichts mehr dynamisch.

Die Config bei mir ist auf das nötigste beschränkt, ich hab auch nen PSK genommen, viel einfacher und weniger fehleranfällig als mit Zertifikat.

Server:

tun-ipv6
port 1194 # Wir horchen auf Port 1194
dev tap # evtl. tun0 unter Linux
proto udp # Protokoll UDP, für TCP: proto tcp-server
dev-node ovpn-tap

# Hier den Pfad anpassen um auf den erstellten Key zu verweisen
secret onc.key

ping-timer-rem
keepalive 20 180 # Alle 20 Sekunden pingen. 3 Minuten Timeout fuer CLientverbindung

verb 3 # Zum Debugging erhöhen
mute 50 # Zum Debugging auskommentieren

ovpn-tap ist der tap-Adapter, nicht die Bridge.
Wie gesagt, funktioniert mein Setup eh was anders , unter anderem weil ich mehrere NICs habe und die gebridgte ne andere ist als die, die Richtung Internet geht.

Client:

#client
remote x.x.x.x 1194 # Hostname/externe IP des anderen Peer, Port entsprechend anpassen
proto udp # Protokoll UDP, für TCP: proto tcp-client
dev tap # evtl. tun0 unter Linux
dev-node vpn-onc

# Hier den Pfad anpassen um auf den erstellten Key zu verweisen
secret onc.key

ping 10 # Sendet alle 10 Sekunden einen Ping an die Gegenstelle
ping-restart 180 # Nach 3 Minuten ohne Pings von der Gegenstelle neuverbinden
ping-timer-rem # Erst nachdem wir einen anderen Peer haben ping-restart zulassen

verb 3 # Zum Debugging erhöhen
mute 50 # Zum Debugging auskommentieren