OpenVPN Server auf debian, Client ist Windows

[obabirgameschda]

Hallo zusammen,

Ich habe nach der Anleitung

https://blog.unterhaltungsbox.com/openv ... verbinden/

meine zwei Netze miteinander verbunden. Meine Frage ist jetzt, wenn ich mit meinem Laptop (Windows) unterwegs bin, möchte ich auch auf eines oder am besten auf beide Netze zugreifen können.

Wenn ich jetzt die Config vom einen schon bestehenden nehme (wie oben in der Anleitung) verbindet es sich zwar (in der Windows openVPN), bekomme auch ein IP aber damit kann ich nicht auf die Geräte im Netz zugreifen. Ich bekomme die 192.168.255.2 aber das Netz hat die 192.168.188.0

Kann mir jemand helfen?

In der Config habe ich schon die Adressen geändert aber dann verbindet es sich nicht...

Danke!

vG
Erik

[TomL]

meine zwei Netze miteinander verbunden. Meine Frage ist jetzt, wenn ich mit meinem Laptop (Windows) unterwegs bin, möchte ich auch auf eines oder am besten auf beide Netze zugreifen können.

Bedeutet "unterwegs", dass Du dich ausserhalb Deines Netzes befindest und von einem öffentlichen WISP oder via UMTS ins heimische Netz verbinden möchtest? Dann benötigste Du zu allererst einen zu deiner heimischen WAN-IP auflösbaren Namen für den Zugang in Dein heimisches Netzwerk. Das heisst, wenn Du von irgendwo draussen "anrufen" willst, musst Du die Rufnummer kennen. Das Problem dabei ist, dass sich die Rufnummer (die WAN-IP-Adresse Deines Providers zuhause) alle 24 Stunden ändert. Und damit muss Du das Problem lösen, dass Du unterwegs über diese neue Nummer informiert wirst. Ohne richtige Nummer kein Anruf nach Hause.

Da unterwegs jedoch keine Möglichkeit der Kommunikation besteht, eben weil die Nummer (IP) nicht bekannt ist, kann man statt der täglich wechselnden IP einen festen symbolischen Namen vergeben lassen. Das heisst, du verbindest Dich nicht mit der Nummer, sondern über den immer gleichen symbolischen Namen, der sich dann von einem Dienst zur passenden IP auflösen lässt.

Du benötigst also zuallererst einen DynDNS-Account... der ist kostenlos. Schau Dir das mal an auf http://www.noip.com/. Wenn Du das geregelt hast, gehts weiter mit den Einstellungen an Deinem Router, der dafür sorgen muss, dass die IP regelmäßig bei jeder Aktualisierung mit dem neuen symbolischen Namen verheiratet wird.

[obabirgameschda]

Hallo TomL,
korrekt, von unterwegs via umts.

Ich habe bereits dyndns und der Router ist schon eingestellt, dass er bei IP-Änderung die neue dem Dyn-Dienst mitteilt.

Mir geht's hier hauptsächlich um das erstellen von openVPN configs, mit denen ich auf ein oVPN Server - welcher auf Linux installiert ist - zugreifen kann.

Danke
Erik

[TomL]

Ich habe bereits dyndns und der Router ist schon eingestellt, dass er bei IP-Änderung die neue dem Dyn-Dienst mitteilt.

Soweit ich mich erinnere, verwenden die im Web gefundenen Beispiele meistens den Port 1194. Sofern Du den nicht geändert hast, muss auf dem Router der Port freigegeben werden und weitergeleitet werden an den PC, auf dem OpenVPN-Server läuft. Das heisst, der Client "funkt" auf 1194, der Router hat den Port 1194 geöffnet und reagiert darauf und leitet die Daten auf den Port 1194 des OpenVPN-Servers weiter. Ist der Router so eingerichtet?

Code: Alles auswählen

Mir geht's hier hauptsächlich um das erstellen von openVPN configs, mit denen ich auf ein oVPN Server - welcher auf Linux installiert ist - zugreifen kann.

Ja, ist klar... aber das ist doch einfach.... dafür gibts 100 Beispiele im Web. Nur wenns funktionieren soll brauchts eben noch einiges mehr. Und bevor ich mich mit ner Config befasse kläre ich lieber so Nebensächlichkeiten wie die Router-Config und die Windows-Firewall ab.

[obabirgameschda]

Ok, danke.
Ja, port wird weitergeleitet und ist auch von außen erreichbar.

[TomL]

Ok, dann auf zum nächsten Schritt. Als nächstes würde ich mich an den PC setzen, auf dem OpenVPN-Server läuft und den Daemon beenden:

Code: Alles auswählen

/etc/init.d/openvpn stop
oder
systemctl stopp openvpn.service

Und dann den Status kontrollieren:

Code: Alles auswählen

/etc/init.d/openvpn status
oder
systemctl status openvpn.service

Als nächstes den Service von Hand in einem Terminal starten, z.B:

Code: Alles auswählen

openvpn --config /etc/openvpn/openvpn.conf

Du musst natürlich hier den Pfad/Namen Deiner VPN-Config eintragen. Wenn Du das Programm als User startest, kanns sein, das Du in der Gruppe netdev enthalten sein musst - das weiss ich aber im Moment nicht genau. Also erst mal probieren und auf Fehlermeldungen achten. Ob Du schon in der Gruppe netdev enthalten bist, kannst Du hiermit nachsehen:

Code: Alles auswählen

awk -F':' '{ printf "%6s   %-20s  %-10s\n\r",  $3, $1, $4}' /etc/group | sort -b -g

Falls Du eine Berechtigungs-Fehler-Meldung bei OpenVPN-Start bekommst, kannst Du Dich (als root) in die Gruppe eintragen:

Code: Alles auswählen

adduser DeinName netdev

Wenn nun OpenVPN als Server läuft und im Terminal keine Fehlermeldungen offensichtlich sind, würde ich nun versuchen, mich mit dem Windows-Laptop zu verbinden. Wenn allerdings Fehlermeldungen vorhanden sind, müssen die zuerst beseitigt werden. Aber -und das ist wichtige bei dieser Testverbindung- NICHT übers WLAN, sondern über den UMTS-Stick und den DNS-Name, also tatsächlich so, als wäre das eine Verbindung von aussen. Dann müsstest Du direkt Aktivitität und Meldungen im Terminalfenster des OpenVPN-Servers sehen.... also ob überhaupt ein "Incomming-Call" erfolgt und ob der auch angenommen wird.

[obabirgameschda]

Genau jetzt bist du ja einen Schritt zu weit.
oVPN Server läuft ja, es geht darum, wie ich die Config auf dem Server für einen Windows Client erstelle, die ich dann in den Windows Clienten "einspielen" kann.

[tuxedo]

Hallo

Soweit ich mich erinnere kann man für die Windows Clients (mit OpenVPN für Windows) die gleiche config nehmen wie für einen Linux Client mit openvpn.

Grüsse

[obabirgameschda]

hey,

danke, genau das ist ja das Problem wie im #1 Post beschrieben:

Ich kann mich auf den Server verbinden, aber erhalten dann eine IP ala 192.168.255.2 und kann damit nicht in das Netz 192.168.188.0 agieren, ich will ja auf Geräte dort zugreifen können

vG

Erik

[TomL]

Genau jetzt bist du ja einen Schritt zu weit.
oVPN Server läuft ja, es geht darum, wie ich die Config auf dem Server für einen Windows Client erstelle, die ich dann in den Windows Clienten "einspielen" kann.

Die braucht man nicht einspielen. Das ist einfach ne Textdatei, die du auf dem Windows-Laptop ganz einfach z.b. mit Notepad erstellen kannst. Falls du auf dem Server Keys und Zertifikate erstellt hast, musst du die Public/Client-Files einfach via Stick kopieren. Und du startest den Client mit dem gleichen Befehl in der Windows-Konsole, wie oben angegeben. Nur dabei auf / und \ achten.
Der manuelle Start von OpenVpn ist immer der gleiche, egal ob Server oder Client. Der Inhalt der Config bestimmt, was er ist.

Wenn du nicht weißt, wie die Client-Config aussehen muss, dann poste mal die Server-Config. Wahrscheinlich kann man das daraus ableiten ....oder ggf Fehler erkennen.

[TomL]

Ich kann mich auf den Server verbinden, aber erhalten dann eine IP ala 192.168.255.2 und kann damit nicht in das Netz 192.168.188.0 agieren, ich will ja auf Geräte dort zugreifen können

uups.... da habe ich scheinbar was missverstanden. Also die Verbindung steht ....und du kannst auf den Server und z.b.dessen Shares zugreifen.
Welche Geräte meinst du noch, die du erreichen möchtest? Du solltest vielleicht mal präzisieren, das heisst "genau erklären", was geht und was nicht geht.

[obabirgameschda]

Hallo nochmal,

genau, ich bin verbunden, kann aber auf keinerlei Geräte hinter dem Server zugreifen.

hier die client.conf:

Code: Alles auswählen

dev tun
proto tcp-client
port PORT
remote MEINDYNDNS PORT
ifconfig 192.168.255.2 192.168.255.1
route 192.168.188.0 255.255.255.0
comp-lzo
keepalive 10 60
ping-timer-rem
persist-key
persist-tun
user nobody
group nogroup
secret filiale1.key

server.conf:

Code: Alles auswählen

dev tun
proto tcp-server
port PORT
ifconfig 192.168.255.1 192.168.255.2
route 192.168.188.0 255.255.255.0
comp-lzo
keepalive 10 60
ping-timer-rem
persist-key
persist-tun
user nobody
group nogroup
secret filiale1.key

Was gehen soll:
Via UMTS auf den VPN-Server verbinden, dort dann auf Geräte hinter dem Netz zugreifen können

Was geht:
ich bin mit meinem Windows-PC auf den entfernten VPN-Server verbunden.

Was nicht geht:
ich kann auf keines der Geräte hinter dem VPN-Server zugreifen.

Was ich glaube noch zu machen ist:
statische Route?

[TomL]

Ich muss gestehen, dass ich damit überfordert bin. Ich verstehe diese beiden Configs als Verbindung zwischen zwei Netzen. Das ist was anderes als dynamisch einem Client (oder mehreren) eine VPN-IP zuzuweisen und ihn via VPN ins Netz des Server zu integrieren. Meiner Meinung nach geht das mit diesen Confs nicht, weil die IPs imho quasi statisch konfiguriert sind. Dazu müsste sich jetzt jemand mit tieferer Kenntnis äussern, was zu ändern ist.

Alternativ kannst du aber auch auf dem Server eine weitere OpenVpn-Instanz starten, mit einer typischen Client-Server-Konfiguration. Ob es andere und bessere Wege gibt, weiß ich im Moment nicht.

[obabirgameschda]

hallo thomas,

vielen Dank erstmal.

Ich komme ja erstmal auf den Server und kann diesen auch aus der ferne verwalten. Das reicht erstmal. Vielleicht findet ja doch noch jemand etwas, um dieses Problem vollends zu lösen.

[TomL]

Ich habe da noch ne Idee.... ich werde das morgen früh mal versuchen. Bislang hatte ich noch nie die Notwendigkeit, von außerhalb auf andere Clients im Netz zuzugreifen. Bei mir wars darauf ausgelegt, als Client im Netz integriert zu sein, die Server-Ressourcen zu nutzen und (zweitens) meinen Router als sicheres Gateway via VPN zu nutzen. Beides funktioniert prima. Ich bin sicher, dass ich nicht so einfach vom Roadwarrior und unterwegs an die anderen Clients rankomme, um beispielsweise per SSH oder RDT etwas dort zu machen. Ich bin aber jetzt neugierig geworden und probiere das morgen mal aus.... denn, ne Idee habe ich schon.... muss das nur mal verifizieren.

[TomL]

Ich habe das jetzt gerade noch mal bei mir geprüft und habe dabei eine ziemliche Überraschung erlebt. Meine Erwartung war, dass das wie früher mit den Windows-Clients jetzt auch nicht klappt. Und völlig überraschend konnte ich vom Roadwarrior alle im Netz aktiven Clients tatsächlich via SSH erreichen.

Meines Erachtens (aus heutiger) Sicht lag das damals an meinen fehlenden Rechten zum Setzen der Route auf dem Windows-Client. Denn ich habe schon damals versucht, unter Windows generell ohne Admin-Account zurechtzukommen. Also, ich denke, der Windows-Client benötigt eine Info über das Netz hinter dem OpenVPN, und zwar eine Routen-Information. Ich beziehe mich im weiteren jetzt auf die IP'S in dem von Dir genannten Beispiel (weil ich deine Confs zu verwirrend finde *lacht*) ... in dem gesagt wird:

Es ist wichtig, dass beide Netzwerke ein unterschiedliches Netz besitzen. So besitzt das Hauptnetzwerk das Netz 192.168.0.0 und das Zweitnetzwerk das Netz 192.168.1.0.

Möchte ich also von außerhalb in das Netz 192.168.0/255 nicht nur rein (also nur vom Gateway bis zum VPN-Server), sondern das ganze Netz sehen, muss ich meinen Client über eine entspreche Route über das Netz informieren. Das passiert bei mir i.Ü.S. in der OpenVPN-Server-Conf des Netzes 192.168.0/255 mit der folgenden Anweisung:

Code: Alles auswählen

push "route 192.168.0.0 255.255.255.0"

Und analog in der Server-Conf des zweiten Netzes192.168.1/255 mit dieser Anweisung:

Code: Alles auswählen

push "route 192.168.1.0 255.255.255.0"

Das heisst, je nachdem zu welchem Server Du dich verbindest, kriegst Du die passende Route vom Server "gepusht". Das wird vermutlich auch mit einem Eintrag in der lokalen Client-Conf gehen, aber vielleicht gibts dann einen Konflikt, weil Du ja zwei Netze hast. An dieser Stelle musst Du nur gewährleisten, dass dem User auf dem Windowsclient erlaubt ist, eine Route zu setzen. Du musst also beim Starten die Fehlermeldungen beobachten. Bist Du nicht zum Setzen der Route berechtigt, musst Du Dich in die Gruppe "Netzwerkadmins" eintragen (ich hoffe, ich erinnere mich richtig an den Namen).

HTH (...und sag mal, obs wirklich geholfen hat)

[obabirgameschda]

Danke, ich prüfe und Teste es mal. Melde mich im Laufe der Woche, bzw. ich setze mich jetzt dran [emoji23]