Ich brauche Hilfe bei meiner VPN Verbindung

[Horst86]

Hallo Leute,

ich möchte folgendes realisieren:

Mein Heimnetzwerk über einen Raspberry Pi mit OpenVPN von außen zugänglich machen. Da ich oft beruflich unterwegs bin muss ich häufig von außen an meine Daten oder auch mal etwas über VNC zuhause machen. Dabei soll der Internettraffic aber nicht durch den Tunnel geleitet werden.

Zusätzlich muss ich meiner Familie zeitweise Hilfestellung geben.

d.h.
Position A (mein Zuhause)
Position B (ich Unterwegs)
Position C (Haus meiner Mutter)
Position D (Wohnung meiner Schwester)

Von Position B also über A auf Position C und/oder D per VNC zugreifen um Hilfestellung leisten zu können. Das mache ich zur Zeit per Hamachi.

Da ist doch VPN die bessere Wahl denke ich ... alleine schon weil Hamachi nicht auf allen Linux Systemen bei mir Zuhause läuft.

Dank dem Wiki OpenVPN habe ich es hinbekommen von außer auf mein ganzes Netzwerk zuzugreifen.

Nur sobald ich einen Client verbunden habe, hat dieser kein Internet mehr.

Nach ein wenig googlen habe ich es, nach dieser Anleitung klick geschafft eine Internetweiterleitung einzurichten. Es war nur als Test gedacht da bei dieser Konfiguration der gesamte Traffic durch den Tunnel geht und die Internetverbindung einiges an Geschwindigkeit einbüßt

Wie muss ich mein VPN konfigurieren damit der Internettraffic nicht durch den Tunnel geleitet wird?

Das einzige was ich gefunden habe ist das ich die Zeile

Code: Alles auswählen

push "redirect-gateway def1"

in der config meines Servers auskommentieren soll.

Diese Zeile ist aber gar nicht vorhanden.

Meine Configdateien sind alle so wie sie das Wiki vorgeben.

Meinem Verständnis nach muss ich doch etwas am Client ändern damit dieser den Internettraffic am Tunnel vorbei leitet oder sehe ich das falsch?

Ich danke euch schon mal für eure Hilfe

[TomL]

Nur sobald ich einen Client verbunden habe, hat dieser kein Internet mehr.

Das ist relativ einfach zu lösen. Du benötigst einerseits einen Gateway-Redirect auf dem VPN-Server. Und weiterhin musst du ihm mitteilen, welche DNS-Server er verwenden soll. Poste mal deine Server-Conf und die Client-Conf.

[Horst86]

Das ist relativ einfach zu lösen.

Diese paar Worte haben mir so unglaublich viel Hoffnung gegeben ich bin schon Tage lang mit dem Problem beschäftigt

Hier meine server.conf

Code: Alles auswählen

;local a.b.c.d
port 1194
;proto tcp
proto udp
;dev tap
dev tun
;dev-node MyTap
ca ./easy-rsa2/keys/ca.crt
cert ./easy-rsa2/keys/server.crt
key ./easy-rsa2/keys/server.key    # Diese Datei geheim halten.
dh ./easy-rsa2/keys/dh1024.pem     # Diffie-Hellman-Parameter
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
client-to-client
;server-bridge
push "route 192.168.178.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
;client-to-client
;duplicate-cn
keepalive 10 120
;tls-auth ta.key 0 # This file is secret
;cipher BF-CBC        # Blowfish (default)
;cipher AES-128-CBC   # AES
;cipher DES-EDE3-CBC  # Triple-DES
comp-lzo
;max-clients 100
;user nobody
;group nogroup
persist-key
persist-tun
status openvpn-status.log
;log         openvpn.log
;log-append  openvpn.log
verb 3
;mute 20

Ich habe alle auskommentierten Zeilen entfernt. Kannst du mir bei der gelegenheit gleich sagen was ein Semikolon vor einem Befehl bedeutete?

so und hier der Client

Code: Alles auswählen

client
;dev tap
dev tun
;dev-node MyTap
;proto tcp
proto udp
remote xxxx.xxxx.net 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nogroup
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert Laptop.crt
key Laptop.key
ns-cert-type server
;tls-auth ta.key 1
;cipher x
comp-lzo
verb 3
;mute 20

Tausendfacher Dank

[uname]

Die Frage ist doch eigentlich ob du wirklich das Default-GW durch den VPN-Tunnel und darüber ins Internet schicken willst oder ob es nicht vielleicht reicht nur einzelne Subnetze durch den Tunnel zu routen. Was sagt denn jeweils

Code: Alles auswählen

route -n

[Horst86]

Hey Ho

zuhause scheint gerade der Router abgestürzt zu sein oder openvpn funktioniert nicht mehr. Ich kann jedenfalls keine Verbindung mehr herstellen. D.h. ich kann erst Freitag den Befehl ausführen. Ich halte euch aber auf dem Laufenden und bedanke mich schonmal

[TomL]

Moin Horst

Mein Heimnetzwerk über einen Raspberry Pi mit OpenVPN von außen zugänglich machen. Da ich oft beruflich unterwegs bin muss ich häufig von außen an meine Daten oder auch mal etwas über VNC zuhause machen. Dabei soll der Internettraffic aber nicht durch den Tunnel geleitet werden.

Zusätzlich muss ich meiner Familie zeitweise Hilfestellung geben.

d.h.
Position A (mein Zuhause)
Position B (ich Unterwegs)
Position C (Haus meiner Mutter)
Position D (Wohnung meiner Schwester)

Von Position B also über A auf Position C und/oder D per VNC zugreifen um Hilfestellung leisten zu können. Das mache ich zur Zeit per Hamachi.

Ganz schön kompliziert.... das bedeutet also, auf dem Raspi läuft der OpenVPN-Server, und auf diesem Server A sind (u.U. auch alle gleichzeitig) also die Standorte B,C und D als Clients im Netz angemeldet oder sollen sich künftig verbinden können. Also, was jetzt imho relativ einfach ist, ist die Anmeldung der 3 Clients am Server, jeder für sich.... das würde ich als erstes umsetzen. Und im 2. Schritt schauen, ob die Clients sich untereinander anpingen können. Das müsste ich mal testen mit unseren 2 Androiden, die sich jeweils via UMTS einloggen können, ob das klappt.

Nur sobald ich einen Client verbunden habe, hat dieser kein Internet mehr.

Nach ein wenig googlen habe ich es, nach dieser Anleitung klick geschafft eine Internetweiterleitung einzurichten. Es war nur als Test gedacht da bei dieser Konfiguration der gesamte Traffic durch den Tunnel geht und die Internetverbindung einiges an Geschwindigkeit einbüßt

Wie muss ich mein VPN konfigurieren damit der Internettraffic nicht durch den Tunnel geleitet wird?

Das einzige was ich gefunden habe ist das ich die Zeile

Code: Alles auswählen

push "redirect-gateway def1"

in der config meines Servers auskommentieren soll.

Diese Zeile ist aber gar nicht vorhanden.

Das ist eigentlich eine Default-Einstellung vom OpenVPN, dass nur der Traffic für das VPN-Netz durch den Tunnel geht und der "andere" Internet-Traffic das lokale default-Gateway nutzt. Wenn das anders sein soll, das also auch der Internet-Traffic durch den Tunnel gehen soll, muss man das eigentlich explizit vorgeben.

Meine Configdateien sind alle so wie sie das Wiki vorgeben.

Genau an dem Punkt würde ich jetzt auch anfangen, das Problem zu lösen... und zwar, in dem ich diese beiden Configs erst mal lösche... Ich würde da jetzt mal nen kleineren Gang einlegen und mit einer Minimal-Conf erstmal eine funktionierende Verbindung aufbauen.

1. Ich würde jetzt zu Beginn die folgenden "Fakten" feststellen, bzw. prüfen:
- Wie lautet das Netzwerk, welches Dein Heim-Router zuhause repräsentiert? Es sieht aus, als wäre es das Netz 192.168.178/24. Der Router wird vermutlich also die LAN-IP 192.168.178.1 innehaben...?... ist das richtig?

- Das VPN-Netz lautet 10.8.0./24. Der VPN-Server-PC (also der Raspi) wird also zwei IP haben, zum einen die des lokalen LANs, z.b. 192.168.178.10, und zum anderen die des VPN, z.B. 10.8.0.2

2. Dann ist folgendes zu tun:
- Auf dem Router muss sichergestellt werden, dass der Raspi nach einem Systemstart IMMER die gleiche IP bekommt, sonst funktioniert das nicht mit der Port-Weiterleitung und der statischen Route. Also ist auf dem Router die IP für den Raspi unbedingt exklusiv zu reservieren.

- Nehmen wir an, der Raspi hat im VPN-Netz die IP 10.8.0.2, dann muss auf dem Router eine statische Route eingerichtet werden. Das sieht etwa so aus und definiert eine Route für ein Paket aus dem VPN-Netz zum VPN-Gateway "Raspi".
Statische Route:

Code: Alles auswählen

Name der Route:                 OpenVPN
Route ist privat (nur LAN):     unchecked
Route ist aktiv:                checked
IP-Zieladresse:                 10.8.0.0  
Subnet-Maske:                   255.255.255.0
Gateway-IP-Adresse:             192.168.178.10
Metrik:                         2    (1 o. 2)

3. Weiterhin muss auf dem Router die Portfreigabe und eine entsprechende Weiterleitung eingerichtet werden. Also in Deinem Beispiel wird der Port 1194 ebenfalls an den Raspi 192.168.178.10 weitergeleitet. Wobei ich sofort einen anderen Port wählen würde, irgendwas zwischen 49.152 und 65.535.

4. Als letztes ist der Raspi zu konfigurieren, und zwar muss das IP-Forwarding erlaubt werden, in dem du in der entsprechenden Zeile den Comment-Tag entfernst

Code: Alles auswählen

nano /etc/sysctl.conf
	  net.ipv4.ip_forward = 1

und danach diese Änderung sofort aktivierst, ohne den PI neu starten zu müssen:

Code: Alles auswählen

sysctl -p

Ich habe alle auskommentierten Zeilen entfernt. Kannst du mir bei der gelegenheit gleich sagen was ein Semikolon vor einem Befehl bedeutete?

Das # ist ein Comment-Tag, welches auch in der Zeile verwendet werden kann, dass ; ist eben ein Comment für die ganze Zeile.....

Ich würde mal mit folgender Minimal-Server-Conf (/etc/openvpn/openvpn.conf ) anfangen zu testen, und ggf. Port-Nr. und die Pfade für Keys und Zertifikate ändern:

Code: Alles auswählen

server 10.8.0.0 255.255.255.0

proto udp
dev tun 
port 55555

link-mtu 1432

comp-lzo

push "route 192.168.178.0 255.255.255.0"

#Server
ca    /etc/openvpn/keys/ca.crt
cert  /etc/openvpn/keys/Server.crt
key   /etc/openvpn/keys/Server.key
dh    /etc/openvpn/keys/dh1024.pem

ping-timer-rem
keepalive 20 180 

persist-key
persist-tun

verb 3
mute 10

Auf dem Client würde ich folgende einfache Version versuchen, wobei Du nur die DynDns-Adresse und ggf. den Port und Pfade ändern musst.

Code: Alles auswählen

tls-client 

remote horst86.no-ip.biz

proto udp
dev tun 
link-mtu 1432

port 55555

pull
comp-lzo 
ns-cert-type server 

ca    /etc/openvpn/keys/ca.crt
cert  /etc/openvpn/keys/Client.crt
key   /etc/openvpn/keys/Client.key
 
ping 60

verb 3
mute 10

Ich würde das VPN nicht als Daemon testen, sondern den Server-Dienst erst mal stoppen und killen.
Ist der Daemon aktiv?

Code: Alles auswählen

service openvpn status 

Dann stoppen

Code: Alles auswählen

service openvpn stop

oder

Code: Alles auswählen

/etc/init.d/openvpn stop

Und dann den Server von Hand über die Konsole starten. Du siehst sofort live und aktuell das Start-Protokoll und später auch genauso live das Log für die verbundenen Clients und kannst sofort Fehler erkennen.

Code: Alles auswählen

openvpn --config /etc/openvpn/openvpn.conf 

Als nächste würde ich mein Handy nehmen, die UMTS-Verbindung ins Web öffnen und mit dem Android-OpenVPN-Client zum Server verbinden. Und wenn Du keinen Android-Client auf dem Handy hast, dann richte das Smartphone kurzhand über Tethering als WLAN-Hotspot ein und nutze die UMTS-Verbindung des Handys, um z.B. den Laptop via WLAN über das Handy-UMTS mit dem Server zu verbinden. Eigentlich sollte das auf Anhieb funktionieren.... also die Verbindung zum VPN-Server, ohne das das "restliche" Internet auch durch den Tunnel geschickt wird.

Und wenn das funktioiert, würde ich mir weitere Keys und Zertifikate für die anderen Clients erstellen und diese Clients in gleicher Manier zum Server verbinden. Erst zum Schluss würde ich mir die alte Conf anschauen und überlegen, wass ich davon noch gebrauchen kann und ob überhaupt.

Und erst jetzt prüfe ich, ob ich die VPN-Clients untereinander erreichen kann und mache ich mir dann darüber Gedanken, warum es nicht geht, wenns nicht geht.

HTH

[Horst86]

Moin Moin,

Da dachte ich mich ich schaue noch eben schnell vor der Arbeit ins Forum und dann das!!!
Unglaublich wie viel Mühe du dir gegeben hast ... ich weis gar nicht was ich sagen soll

Ich mache morgen frei und fahre heute schon nach hause um das ganze zu testen! Ich bin echt beeindruckt

[Horst86]

Mahlzeit:

1. Ich würde jetzt zu Beginn die folgenden "Fakten" feststellen, bzw. prüfen:
- Wie lautet das Netzwerk, welches Dein Heim-Router zuhause repräsentiert? Es sieht aus, als wäre es das Netz 192.168.178/24. Der Router wird vermutlich also die LAN-IP 192.168.178.1 innehaben...?... ist das richtig?

- Das VPN-Netz lautet 10.8.0./24. Der VPN-Server-PC (also der Raspi) wird also zwei IP haben, zum einen die des lokalen LANs, z.b. 192.168.178.10, und zum anderen die des VPN, z.B. 10.8.0.2

2. Dann ist folgendes zu tun:
- Auf dem Router muss sichergestellt werden, dass der Raspi nach einem Systemstart IMMER die gleiche IP bekommt, sonst funktioniert das nicht mit der Port-Weiterleitung und der statischen Route. Also ist auf dem Router die IP für den Raspi unbedingt exklusiv zu reservieren.

- Nehmen wir an, der Raspi hat im VPN-Netz die IP 10.8.0.2, dann muss auf dem Router eine statische Route eingerichtet werden. Das sieht etwa so aus und definiert eine Route für ein Paket aus dem VPN-Netz zum VPN-Gateway "Raspi".

3. Weiterhin muss auf dem Router die Portfreigabe und eine entsprechende Weiterleitung eingerichtet werden. Also in Deinem Beispiel wird der Port 1194 ebenfalls an den Raspi 192.168.178.10 weitergeleitet. Wobei ich sofort einen anderen Port wählen würde, irgendwas zwischen 49.152 und 65.535.

4. Als letztes ist der Raspi zu konfigurieren, und zwar muss das IP-Forwarding erlaubt werden, in dem du in der entsprechenden Zeile den Comment-Tag entfernst

Also ich habe alle Punkte abgearbeitet. Vorher habe ich aber die SD-Karte des Raspi formatiert und ganz von vorne angefangen da ich nicht mehr genau wusste was ich durch mein ganzes ausprobieren so alles verbockt habe

Nach dem ich alle Punkte abgearbeitet habe ist der Stand leider der gleiche wie vorher.

Ich kann von außen auf das Netzwerk zugreifen. Auch auf alle Freigaben hinter dem VPN Server. Aber ich habe kein Internet. Mein Windows PC versucht sich scheinbar immer noch über den Raspi mit dem Internet zu verbinden und da ich dieses mal die Weiterleitung ja nicht eingerichtet habe funktioniert das nicht. Ich habe natürlich auch deine client-config verwendet.

Eventuell hilft es ja wenn ich mal Poste was Chrome dazu sagt.

Der Server unter http://www.google.de kann nicht gefunden werden, weil die DNS-Suche fehlgeschlagen ist. DNS ist der Netzwerkdienst, der den Namen einer Website in die zugehörige Internetadresse übersetzt. Der häufigste Grund für diesen Fehler ist eine fehlende Internetverbindung oder ein falsch konfiguriertes Netzwerk. Eine weitere mögliche Ursache ist ein nicht reagierender DNS-Server oder eine Firewall, die den Netzwerkzugriff durch Google Chrome verhindert.
Fehlercode: DNS_PROBE_FINISHED_NXDOMAIN

Auf dieser Internetseite Klick wird das Problem auch besprochen und eventuell im letzten Post geklärt ... leider bin ich in Sachen Netzwerk nicht so fit um zu verstehen was er mit "Die Subnetze auf Client- und Serverseite müssen unterschiedlich sein" meint.

Ich hoffe du kannst mir helfen.

Achja ob sich die verbundenen clients anpingen können habe ich noch nicht getestet. Es gibt leider noch Orte an denen mobiles Internet nicht verfügbar ist

Nachtrag:
ich habe mir gerade mal über cmd "ipconfig -all" angesehen:

Lanverbindung 1: da sieht (was ich beurteilen kann) alles gut aus

Code: Alles auswählen

Ethernet-Adapter LAN-Verbindung:

   Verbindungsspezifisches DNS-Suffix: fritz.box
   Beschreibung. . . . . . . . . . . : Intel(R) 82583V Gigabit Network Connection
   Physikalische Adresse . . . . . . : 10-BF-48-84-6C-59
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::a0cb:5825:9dd7:c8d1%11(Bevorzugt) 
   IPv4-Adresse  . . . . . . . . . . : 192.168.178.45(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Donnerstag, 12. M„rz 2015 19:29:32
   Lease l„uft ab. . . . . . . . . . : Montag, 23. M„rz 2015 07:22:37
   Standardgateway . . . . . . . . . : 192.168.178.1
   DHCP-Server . . . . . . . . . . . : 192.168.178.1
   DHCPv6-IAID . . . . . . . . . . . : 235978568
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1C-5F-D5-F3-10-BF-48-84-6C-59
   DNS-Server  . . . . . . . . . . . : 192.168.178.1
   NetBIOS ber TCP/IP . . . . . . . : Aktiviert

VPN Verbindung: müsste hier nicht meine Fritzbox bei DNS Server stehen? also 192.168.178.1

Code: Alles auswählen

   Verbindungsspezifisches DNS-Suffix: 
   Beschreibung. . . . . . . . . . . : TAP-Windows Adapter V9
   Physikalische Adresse . . . . . . : 00-FF-6B-C8-DF-FE
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::c146:f84f:c31d:dcde%17(Bevorzugt) 
   IPv4-Adresse  . . . . . . . . . . : 10.8.0.6(Bevorzugt) 
   Subnetzmaske  . . . . . . . . . . : 255.255.255.252
   Lease erhalten. . . . . . . . . . : Freitag, 13. M„rz 2015 14:10:57
   Lease l„uft ab. . . . . . . . . . : Samstag, 12. M„rz 2016 14:10:56
   Standardgateway . . . . . . . . . : 
   DHCP-Server . . . . . . . . . . . : 10.8.0.5
   DHCPv6-IAID . . . . . . . . . . . : 469827435
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-1C-5F-D5-F3-10-BF-48-84-6C-59
   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS ber TCP/IP . . . . . . . : Aktiviert

[TomL]

Hallo

Nach dem ich alle Punkte abgearbeitet habe ist der Stand leider der gleiche wie vorher.

Das bedeutet (wenn ich Dich richtig verstehe), Du kannst mit dem Windows-Laptop ganz normal ins Internet und alle Seiten ansurfen, und sobald Du den OpenVPN-Client startest wirst Du fehlerfrei mit dem OpenVPN-Server (RasPi) und Deinem Heimnetzwerk verbunden, kannst aber ab dem Moment nicht mehr surfen und bekommst diese Fehlermeldung?

Eventuell hilft es ja wenn ich mal Poste was Chrome dazu sagt.

Der Server unter http://www.google.de kann nicht gefunden werden, weil die DNS-Suche fehlgeschlagen ist. DNS ist der Netzwerkdienst, der den Namen einer Website in die zugehörige Internetadresse übersetzt. Der häufigste Grund für diesen Fehler ist eine fehlende Internetverbindung oder ein falsch konfiguriertes Netzwerk. Eine weitere mögliche Ursache ist ein nicht reagierender DNS-Server oder eine Firewall, die den Netzwerkzugriff durch Google Chrome verhindert.
Fehlercode: DNS_PROBE_FINISHED_NXDOMAIN

Der Fehler ist ja eindeutig.... nur anscheinend nicht die Ursache. Dieser von Dir angegebene Thread sagt letzten Endes nichts anderes aus, als auch die Texte bei OpenVPN selber.

Redirect

By default, when an OpenVPN client is active, only network traffic to and from the OpenVPN server site will pass over the VPN. General web browsing, for example, will be accomplished with direct connections that bypass the VPN.

Das bedeutet, dass der Internet-Traffice per default NICHT durchs VPN geroutet wird. Wenn man das will, muss man das explizit mit push "redirect-gateway def1" einstellen. Und da Du das nicht willst und auch nicht gemacht hast, liegt ein anderer Fehler vor.

VPN Verbindung: müsste hier nicht meine Fritzbox bei DNS Server stehen? also 192.168.178.1

Nee, meiner Meinung nach genau nicht. Du willst ja von unterwegs gar nicht die der Fritzbox bekannten DNS-Server nutzen... zumindest habe ich Dich so verstanden. Du willst unter Nutzung der lokal vorhandenen Ressourcen ins Internet und das hat ja mit dem Tunnel nachhause ins private Netz nix zu tun. Im Normalfall sieht der Windows-Laptop als Roadwarrior die Fritzbox gar nicht, siehe oben die Defaulteinstellung vom OpenVPN. Das wäre allenfalls dann denkbar, wenn Du auch über das VPN surfen willst und es explizit eingestellt hast. Genau das wollte ich zum Beispiel und ich habe genau aus diesem Grund die meiner Fritzbox bekannten DNS-Server in die Conf eingetragen.

Aber noch mal eben eine Verständnisfrage. Der Windows-Laptop kann eigentlich draussen und unterwegs nichts von Deiner Fritzbox wissen.... er kennt ja NUR während der VPN-Verbindung die Host-IP - das ist die IP, die die Fritzbox von Deinem Provider als WAN-IP erhalten hat. Und im Idealfall ermittelt der Laptop diese IP, wenn Du irgendwo draussen und unterwegs bist, über einen DynDNS-Service, wie. z.B. no-ip.com. Über welchen Provider geht Deine Fritzbox zuhause ins Netz? Und über welchem Provider und ggf. mit welchen Hardware-Gimmicks (UMTS-Stick) geht der Laptop von unterwegs ins Netz? Nur um das noch mal deutlich und zweifelsfrei zu unterscheiden.

Das Problem hat jedenfalls eine Ursache. Meinung Meinung liegt die aber nicht im OpenVPN. Ich würde jetzt zuerst einmal testen, wie es sich verhält, wenn am Windows-Laptop kurzzeitig die Firewall und die UAC abgeschaltet wird. Nicht als Dauerzustand, sondern nur mal testen, ob die FW oder UAC sich möglicherweise irgendwie einmischt. Und noch eine weitere Frage: Muss wirklich beides gleichzeitig möglich sein ...?... also dass Du unter Verwendung des lokalen (W)ISP surfen kannst und gleichzeitig über den Tunnel mit dem entfernten Server verbunden bist?

Und wenn nicht Windows mit FW und UAC verantwortlich ist, versuchst Du mal einen der beiden folgenden Einträge in der Client-Conf, entweder

Code: Alles auswählen

route-noexec 

oder

Code: Alles auswählen

route-nopull

Beide ignorieren "vorsätzlich'" den Gateway-Redirect, wo auch immer der herkommen mag......

Wenn die beiden vorherigen Versuche nicht erfolgreich waren, gibts noch die Möglichkeit, die Verwendung von "lokalen" DNS-Server in der Client-Conf durch "Überschreiben" vorzugeben:

Code: Alles auswählen

route 0.0.0.0 128.0.0.0 net_gateway
route 128.0.0.0 128.0.0.0 net_gateway

Ich empfehle Dir, immer nur EINE Variante zu testen. Ist sie erfolgreich, belassen. Ist sie nicht erfolgreich, wird der Eintrag in der Client.Conf wieder entfernt. Nicht das es da nachher noch zu unerwünschten Wechselwirkungen kommt und man deshalb das Ziel nie erreicht.

Nachtrag:
Mir ist gerade hinsichtlich "NoExec" noch eine weitere mögliche Quelle für Probleme eingefallen. Dadurch hatte ich damals auch Probleme. Für das Setzen und auch Entfernen von Routen muss der angemeldete User entweder Adminrechte haben oder zumindest als Mitglied der Gruppe "Netzwerkadministratoren" eingetragen sein. Bei deiner jetzigen Konfiguration benötigst du imho diese Rechte, mit NoExec vermutlich nicht, weil ja nichts ausgeführt wird.

[Horst86]

Das bedeutet (wenn ich Dich richtig verstehe), Du kannst mit dem Windows-Laptop ganz normal ins Internet und alle Seiten ansurfen, und sobald Du den OpenVPN-Client startest wirst Du fehlerfrei mit dem OpenVPN-Server (RasPi) und Deinem Heimnetzwerk verbunden, kannst aber ab dem Moment nicht mehr surfen und bekommst diese Fehlermeldung?

Genau so sieht es aus.

Aber noch mal eben eine Verständnisfrage. Der Windows-Laptop kann eigentlich draussen und unterwegs nichts von Deiner Fritzbox wissen.... er kennt ja NUR während der VPN-Verbindung die Host-IP - das ist die IP, die die Fritzbox von Deinem Provider als WAN-IP erhalten hat. Und im Idealfall ermittelt der Laptop diese IP, wenn Du irgendwo draussen und unterwegs bist, über einen DynDNS-Service, wie. z.B. no-ip.com. Über welchen Provider geht Deine Fritzbox zuhause ins Netz? Und über welchem Provider und ggf. mit welchen Hardware-Gimmicks (UMTS-Stick) geht der Laptop von unterwegs ins Netz? Nur um das noch mal deutlich und zweifelsfrei zu unterscheiden.

Also in meiner Wohnung (wo der Raspi steht) habe ich 1&1, meine Eltern haben Telekom, in meiner anderen Wohnung habe ich Vodafone und dann noch verschiedene Hotelnetze also alles komplett durchgemischt. Als DynDNS-Service benutze ich SPDNS.de

Code: Alles auswählen

route-noexec 

Ich glaube genau das war es. Ich bin gerade mal mit dem Laptop zu meinen Eltern gefahren.
Ihren Computer habe ich per WLAN verbunden und meinen Laptop per Handy-tethering. Beide Verbindungen haben auf Anhieb funktioniert. Untereinander konnte ich die Rechner aber nicht anpingen. Nach kurzem googlen habe dann über SSH in die Server config:

Code: Alles auswählen

client-to-client

eingetragen und neugestartet.

Alles wieder verbunden und schon konnte ich direkt per VNC auf den Rechner meiner Eltern zugreifen.
In mein Netzwerk Zuhause bin ich auch ohne Probleme rein gekommen und sogar das Internet funktioniert.

Es ist nun alles so wie ich es brauche!

Du hast mir wirklich sehr geholfen nochmal tausend Dank