OVPN Server auf Windows mit Redirect Gateway

[Bob.Dig]

Folgendes möchte ich erreichen. Ein OVPN-Server soll auf einem Windows-Server laufen und soll den Client-Internettraffic redirecten bzw. es soll halt das Internet dieses Servers genutzt werden.
Aber ich kriege es nicht hin. Ich vermute mein Problem liegt schon in Windows selbst, nämlich wie OVPN da bestehende Internet nutzen zu lassen, welches direkt anliegt, kein NAT. Meine Versuche irgendwas mit ICS zu machen etc schlugen fehl. Bridgen muss ich hoffentlich nicht?
Wer kann und will helfen? Die Client-Verbindung steht schon mal.

 

[Masamune2]

Routing und RAS Dienst konfiguriert? Ohne NAT wird das nicht gehen, nach außen musst du ja NAT nutzen.

 

[Bob.Dig]

Routing und RAS Dienst konfiguriert? Ohne NAT wird das nicht gehen, nach außen musst du ja NAT nutzen.

Wie sollte ich den konfigurieren? Mir schmeißt der immer Fehlermeldungen, wenn ich da was einstellen will.
Habe den Lan-Adapter und den OVPN-TAP-Adapter unter den Netzwerkverbindungen.

 

[Masamune2]

Naja du machst über den Konfigurationsassistenten die Funktionen NAT und LAN-Routing rein, wählst aus was interne und was externe Schnittstellen sind. Im Grunde war das alles. Dann funktioniert dein Windows Server als Gateway (in der OpenVPN Konfig auch entsprechend eintragen) und leitet Pakete ins Internet weiter.

 

[Bob.Dig]

@Masamune2 Ok, da kommt bei mir eine Fehlermeldung.

 

[snaxilian]

In einem der letzten Threads erwähnst du, dass du eine pfSense als Firewall/Router nutzt. Warum zum Geier nutzt du dann nicht deren OpenVPN-Dienst? Dafür brauchst nun wirklich keine gesonderte VM, erst recht keine Windows-VM.

edit: Du machst dir echt mit gefühlt jedem Thema das Leben unnötig schwer. Ja, Windows Server hat je nach zu hostenden Serverdiensten seine Stärken, aber auch Schwächen. Das Thema Routing gehört definitiv zu den Schwächen.

 

[Bob.Dig]

@snaxilian Bitte beim Thema bleiben, Du spekulierst in meinem Falle leider des öfteren falsch.

 

[snaxilian]

Spekulationen entstehen aufgrund nicht vorhandener Informationen. Ansonsten hat dir @Masamune2 bereits den richtigen Tipp gegeben. Wenn etwas nicht funktioniert müsste man komplett nachvollziehen können was du bereits alles eingestellt und geändert hast gegenüber einer frischen Installation mit Standardeinstellungen ohne manuelle Anpassungen oder Änderungen per GPOs sofern vorhanden.
Ich spekuliere also wieder und gehe im folgenden von einer sauberen frischen Installation aus mit aktuellster ovpn Server Installation inklusive TAP Interface. Für alles weitere würde ich es zuerst mit diesem Guide probieren, der sieht brauchbar aus: https://www.mva.ch/support/tech-blog/techblog-openvpn/openvpn-windows-server-zum-antworten-bringen/

 

[Bob.Dig]

Ich werde jetzt den WinServer nochmal neu aufsetzen. Kann nicht ausschließen, dass ich was verbaselt habe.

 

[Masamune2]

Kann nicht ausschließen, dass ich was verbaselt habe.

Bei der Fehlermeldung würde ich mal davon ausgehen.

 

[Bob.Dig]

Bei der Fehlermeldung würde ich mal davon ausgehen.

Hmm, leider nein. Alles neu aufgesetzt, schon wieder die Meldung.

 

[Masamune2]

Die Serverrolle hast du aber schon hinzugefügt?

 

[Bob.Dig]

Was @snaxilian gepostet hatte? Noch nicht. Habe jetzt ertstmal ein Snapshot erstellt. 😉
Ok, dann geht es weiter mit der Rolle. Webserver etc, da grault es mir schon mal, will ich doch alles gar nicht. 😔

 

[VDC]

Fangen wir mal von vorne an:

Was ist das für ne Kiste? 2016 oder 2019?
Welche Rollen hast du installiert?

Routing und RAS macht leider seit 2012 (Direct Access neu dazu, das unter 2008 war ja nur nen Ballon) öfters Ärger.

 

[Bob.Dig]

@snaxilian @Masamune2 Brauche ich jetzt nur NAT oder auch LAN-Routing, wenn ich nur eine Öffentliche IP an der NIC habe und sonst nichts? Was könnte mir LAN-Routing bringen? Eigentlich nix oder?

 

[VDC]

Du brauchst NAT oder der Router muss die Route zurück zu deinen Clients kennen, der macht dann das NAT.

 

[Bob.Dig]

Okay, also mein OpenVPN-Server kann nach wie vor keinen Traffic umleiten. Ich kann ihn auch gar nicht anpingen.

Wo wäre jetzt anzusetzen. Fehler könnte als nach wie vor bei meinem Windows sein, als auch in meiner OVPN Server konfig. Mit beidem habe ich nicht wirklich Erfahrung. 🤪

 

[VDC]

Dann poste doch einfach die Konfiguration

 

[Bob.Dig]

Dann poste doch einfach die Konfiguration

Spoiler

;local a.b.c.d
port 1194
;proto tcp
proto udp
;dev tap
dev tun
;dev-node MyTap
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key"
dh "C:\\Program Files\\OpenVPN\\config\\dh2048.pem"
topology subnet
server 10.66.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
;client-to-client
;duplicate-cn
keepalive 10 120
cipher AES-256-CBC
;compress lz4-v2
;push "compress lz4-v2"
;comp-lzo
;max-clients 100
;user nobody
;group nobody
persist-key
persist-tun
status openvpn-status.log
;log         openvpn.log
;log-append  openvpn.log
verb 3
;mute 20
explicit-exit-notify 1

Results

PING 10.66.0.1 (10.66.0.1) from 10.66.0.2: 56 data bytes

--- 10.66.0.1 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

 

[snaxilian]

Der VPN-Verbindungsaufbau funktioniert also? Nur weil deine Pings nicht durch gehen, muss das nicht bedeuten, dass das VPN nicht funktioniert. Da kommt es drauf an was die Host-Firewall des Windows Servers an dem tun Interface erlaubt.

Was passiert wenn du mit frischem Windows mit dieser Anleitung startest https://www.mva.ch/support/tech-blo...ter-windows-2012-r2-und-windows-10-anleitung/ und danach https://www.mva.ch/support/tech-blog/techblog-openvpn/openvpn-windows-server-zum-antworten-bringen/?
Falls du nicht weiter kommst oder die Anleitung von deiner Situation abweicht nenne bitte exakt den Punkt der der Anleitung und inwiefern deine Situation abweicht.