VPN Server Debian 7.4 / Windows Client

[McGyverr]

Hallo liebe Debianfreunde ,

Ich benötige bitte Hilfestellung, was die Einrichtung eines VPN-Servers betrifft. Ich bin eigentlich ziemlich ein Neuling, was das betrifft . Minimale Linux Kenntnisse sind vorhanden .

Ich nutze VMware Workstation und habe Debian 7.4 virtualisiert (soll der VPN-Server sein!). Der physikalische Rechner(Windows 7), von dem ich auch gerade schreibe , soll der Client sein, der sich mit dem VPN-Server verbindet.

Dabei bin ich dieser Anleitung gefolgt: http://idienstler.de/2255/tutorial-so-r ... erver-ein/

Jetzt habe ich folgendes Problem dabei:
Wenn ich meine IP unter http://www.wieistmeineip.de/ abrufe, so ist es egal, ob meine VPN-Verbindung aktiv ist oder nicht. Ich bekomme die selbe IP zurück. (liegt das daran, weil der Server bei mir lokal ist?) Sorry für die dumme Frage, aber ich kenne mich da wirklich nicht so gut aus . Die Verbindung habe ich mit OpenVPN aufgebaut und ich kann mich auch verbinden. Der Client bekommt die IP 10.8.0.6 und ich kann auch auf dem Client "ping 10.8.0.1" ausführen und bekomme Antworten! Zu Testzwecken wollte ich mich dann mit meinem Google Nexus 4 per OpenVPN (Arne Schwabe) mit meiner mobilen Internetverbindung(nicht über WLAN!) verbinden. Das sah so aus:

1. Verbinde mit VPN windowspc
2. Warte auf Internetverbindung
3. Warte auf Serverantwort (Geht nicht!)
Bleibt dann leider bei Schritt 3.) stehen und geht nicht weiter.

Was mach ich falsch? ich weiß wirklich nicht weiter.

Hier mal die conf von Server und Client, falls die weiterhelfen sollten.

server.conf:

37760

client.conf:

37761

Sollten noch weitere Dateien zur genauere Fehleranalyse benötigt werden, sagt es mir. Ansonsten bedanke ich mich schonmal recht herzlich für Eure Hilfe!!

Gruß,
Michael

[McGyverr]

Hat echt niemand eine Idee?

Oder einen Ratschlag?

[DynaBlaster]

Hoihoi,

mir ist der Sinn deines Setups nicht ganz klar: wieso willst du dich per VPN vom Windows-7-VMware-Host auf eine von ihm selbst bereitgestellte VM verbinden und dann von dort das Gateway ins Internet nutzen, das der Windows-7-Rechner auch direkt erreichen kann?

Wie auch immer - vermutlich eine Teststellung. So oder so bleibt deine extern sichtbare IP-Adresse bei wieistmeineip.de immer dieselbe, da dein Gateway nun mal nur eine externe IP hat und alles aus seinem LAN auf diese externe IP umsetzt.

Weitere Probleme, die du hast, sind vermutlich deaktiviertes ip_forward auf der Debian-VM und zusätzlich noch eine fehlende "statische Rückroute" auf deinem Gateway für das OpenVPN-Netz 10.8.0.0/24. Letztlich wird aber auch das dich nicht glücklich machen. Stichwort OSI Layer-2.

Beachte die Hinweise bzgl. ip_forward und der "statische Route auf dem Gateway" und mache eine Portweiterleitung auf deinem Router aus dem Internet für Port UDP 1194 (OpenVPN-Server) auf die LAN-IP der Debian-VM. Anschließend von einem anderen Internet anschluß auf die externe IP vom Gateway (hier die IP von wieistmeineip.de) verbinden. Dann sollte alles klappen. Als Testclient könntest du bspw. die Internetanbindung eines Smarthones mit entsprechendem Client nutzen (für iOS und Android gibt es kostenlose OpenVPN-Apps). Oder du nutzt die Internetanbindung eines Smartphones mittels der WLAN-Hotspot-Funktion des Telefons für ein Laptop mit OpenVPN-Client.

[McGyverr]

Zunächst einmal danke für deine Hilfe!! Das hilft mir schonmal um einiges weiter!

mir ist der Sinn deines Setups nicht ganz klar: wieso willst du dich per VPN vom Windows-7-VMware-Host auf eine von ihm selbst bereitgestellte VM verbinden und dann von dort das Gateway ins Internet nutzen, das der Windows-7-Rechner auch direkt erreichen kann?

Der Grund dafür ist ganz einfach der, dass ich für die Schule ein Projekt zu erledigen habe, wo ich einen VPN-Server unter Linux einrichten soll. Da ich aber keinen Rechner mit Linux habe, virtualisiere ich das ganze.

Wie auch immer - vermutlich eine Teststellung. So oder so bleibt deine extern sichtbare IP-Adresse bei wieistmeineip.de immer dieselbe, da dein Gateway nun mal nur eine externe IP hat und alles aus seinem LAN auf diese externe IP umsetzt.

Ziel des Projektes ist es, zu zeigen, dass ich die VPN-Verbindung nutzen kann und ich somit eine andere IP bekomme, die ich mir dann mit http://www.wieistmeineip.de auslese. Als Client dafür nutze ich dann wohl das mobile Funknetz meines Smartphones mit der OpenVPN App. Sollte ja dann eine andere externe IP besitzen. Und wenn die VPN-Verbindung klappt, dann sollte ich mit dem Smartphone unter http://www.wieistmeineip.de dieselbe IP angezeigt bekommen, wie am Windows 7 Rechner bzw. auf der VPN-Server, wenn ich dich richtig verstanden habe?

Weitere Probleme, die du hast, sind vermutlich deaktiviertes ip_forward auf der Debian-VM und zusätzlich noch eine fehlende "statische Rückroute" auf deinem Gateway für das OpenVPN-Netz 10.8.0.0/24. Letztlich wird aber auch das dich nicht glücklich machen. Stichwort OSI Layer-2.

Verstehe, verstehe aber auch nicht... Die Begriffe hab ich schonmal gehört, kann aber nichts genaueres damit anfangen, um ehrlich zu sein. Wärst du so nett und würdest mir das anhand meines kongreten Falls erklären, bzw. die Codezeile(n) nennen, die ich ergänzen muss? Läuft alles über Kommandozeile, habe keine grafische Oberfläche auf dem Debian 7.4(VPN-Server).

Beachte die Hinweise bzgl. ip_forward und der "statische Route auf dem Gateway" und mache eine Portweiterleitung auf deinem Router aus dem Internet für Port UDP 1194 (OpenVPN-Server) auf die LAN-IP der Debian-VM.

Das bedeutet ich muss in meinem Routereinstellungen den Port 1194 UDP freigeben. Meines Wissens nach (ist noch weit ausbaufähig ) gilt die Weiterleitung für alle IPs im LAN oder täusche ich mich? Ich habe einen Speedport W 500V. Kann es sein, dass die IP von der Debian-VM 192.168.2.42 ist?

Anschließend von einem anderen Internet anschluß auf die externe IP vom Gateway (hier die IP von wieistmeineip.de) verbinden. Dann sollte alles klappen. Als Testclient könntest du bspw. die Internetanbindung eines Smarthones mit entsprechendem Client nutzen (für iOS und Android gibt es kostenlose OpenVPN-Apps). Oder du nutzt die Internetanbindung eines Smartphones mittels der WLAN-Hotspot-Funktion des Telefons für ein Laptop mit OpenVPN-Client.

Alles klar, verstanden! Wenn ich nur schon so weit wäre ....

Dankeschön für die Hilfe! Ich hoffe, dass ich das dann mit weiterer Hilfe hinbekommen werde...

[DynaBlaster]

Ziel des Projektes ist es, zu zeigen, dass ich die VPN-Verbindung nutzen kann und ich somit eine andere IP bekomme, die ich mir dann mit http://www.wieistmeineip.de auslese. Als Client dafür nutze ich dann wohl das mobile Funknetz meines Smartphones mit der OpenVPN App. Sollte ja dann eine andere externe IP besitzen. Und wenn die VPN-Verbindung klappt, dann sollte ich mit dem Smartphone unter http://www.wieistmeineip.de dieselbe IP angezeigt bekommen, wie am Windows 7 Rechner bzw. auf der VPN-Server, wenn ich dich richtig verstanden habe?

Jap - Mit mobilem Funknetz IP A, bei aktiver OpenVPN-Client auf dem Samrtphone dann IP B, die extern die gleiche IP ist, wie die des Windows 7-Rechners.

Verstehe, verstehe aber auch nicht... Die Begriffe hab ich schonmal gehört, kann aber nichts genaueres damit anfangen, um ehrlich zu sein. Wärst du so nett und würdest mir das anhand meines kongreten Falls erklären, bzw. die Codezeile(n) nennen, die ich ergänzen muss? Läuft alles über Kommandozeile, habe keine grafische Oberfläche auf dem Debian 7.4(VPN-Server).

Beachte die Hinweise bzgl. ip_forward und der "statische Route auf dem Gateway" und mache eine Portweiterleitung auf deinem Router aus dem Internet für Port UDP 1194 (OpenVPN-Server) auf die LAN-IP der Debian-VM.

Für IP_Forward reicht direkt auf der Shell, das hier (keine OpenVPN-spezifische Sache sondern eine grundsätzliche einstellung des Debian)

Code: Alles auswählen

echo 1 > /proc/sys/net/ip_forward

Oder den Parameter über die Datei /etc/sysctl.conf aktivieren

Das bedeutet ich muss in meinem Routereinstellungen den Port 1194 UDP freigeben. Meines Wissens nach (ist noch weit ausbaufähig ) gilt die Weiterleitung für alle IPs im LAN oder täusche ich mich? Ich habe einen Speedport W 500V. Kann es sein, dass die IP von der Debian-VM 192.168.2.42 ist?

Jap. Bei den Speedport-Teilen kann man leider nicht direkt eine IP-Adresse für die Weiterleitung angeben. ich meine, das die Dinger ihre angeschlossenen Rechner irgendwie registrieren und dann in der "Portfreigabe" als Weiterleitungsziel anbieten. Ob dein Debian die 192.168.2.42 hat, kannst du auf der Kommandozeile des Debian mittels des Befehls ifconfig gegenchecken.

Bleibt noch die "statische Rückroute". Das müsste auch auf dem Speedport eingestellt werden. Hier (http://www.ip-insider.de/forum/messages ... 46ED420669) steht allerdings, das dein Routermodell damit nicht umgehen kann bzw. man das überhaupt nicht konfigurieren kann. Von daher bleibt als Workaround nur iptables und Masquearding auf der Debian-VM, um die Speedport dennoch zur Mitarbeit zu bewegen.

Code: Alles auswählen

iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Die ersten beiden Zeilen sind nicht wingend erforderlich, sondern nur, wenn du per iptables bereits irgendwas Paketfiltermässiges auf dem Debian installiert/konfiguriert hast. Die 3. Zeile veranlasst dein Debian dazu, alle Pakete, die es aus dem OpenVPN-Netz 10.8.0.0/24 "aufschnappt" und in das LAN an den Speedport geschickt werden sollen, mit seiner eigenen LAN-IP (also vermutlich 192.168.2.42) auszustatten. Für den Speedport seiht es dann so aus, als ob die Anfrage vom Debian satt aus dem OpenVPN kommen und wir müssen uns um die statische Route keine Gedanken mehr machen.

Anschließend von einem anderen Internet anschluß auf die externe IP vom Gateway (hier die IP von wieistmeineip.de) verbinden. Dann sollte alles klappen. Als Testclient könntest du bspw. die Internetanbindung eines Smarthones mit entsprechendem Client nutzen (für iOS und Android gibt es kostenlose OpenVPN-Apps). Oder du nutzt die Internetanbindung eines Smartphones mittels der WLAN-Hotspot-Funktion des Telefons für ein Laptop mit OpenVPN-Client.

Dankeschön für die Hilfe! Ich hoffe, dass ich das dann mit weiterer Hilfe hinbekommen werde...

Wird schon klappen. Da bin ich sehr zuversichtlich.

[McGyverr]

Für IP_Forward reicht direkt auf der Shell, das hier (keine OpenVPN-spezifische Sache sondern eine grundsätzliche einstellung des Debian)

Code: Alles auswählen

echo 1 > /proc/sys/net/ip_forward

wenn ich das direkt auf der Shell so eingebe, bekomme ich den Fehler: Datei oder Verzeichnis nicht gefunden.

Oder den Parameter über die Datei /etc/sysctl.conf aktivieren

Code: Alles auswählen

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

Das müsste ja das hier sein. War schon so aktiviert. Ist das so richtig?

Jap. Bei den Speedport-Teilen kann man leider nicht direkt eine IP-Adresse für die Weiterleitung angeben. ich meine, das die Dinger ihre angeschlossenen Rechner irgendwie registrieren und dann in der "Portfreigabe" als Weiterleitungsziel anbieten. Ob dein Debian die 192.168.2.42 hat, kannst du auf der Kommandozeile des Debian mittels des Befehls ifconfig gegenchecken.

Habe es so geschafft den Port 1194 für die Debian-VM freizugeben sowohl TCP- als auch UDP Port 1194

Bleibt noch die "statische Rückroute". Das müsste auch auf dem Speedport eingestellt werden. Hier (http://www.ip-insider.de/forum/messages ... 46ED420669) steht allerdings, das dein Routermodell damit nicht umgehen kann bzw. man das überhaupt nicht konfigurieren kann. Von daher bleibt als Workaround nur iptables und Masquearding auf der Debian-VM, um die Speedport dennoch zur Mitarbeit zu bewegen.

Die ersten beiden Zeilen sind nicht wingend erforderlich, sondern nur, wenn du per iptables bereits irgendwas Paketfiltermässiges auf dem Debian installiert/konfiguriert hast. Die 3. Zeile veranlasst dein Debian dazu, alle Pakete, die es aus dem OpenVPN-Netz 10.8.0.0/24 "aufschnappt" und in das LAN an den Speedport geschickt werden sollen, mit seiner eigenen LAN-IP (also vermutlich 192.168.2.42) auszustatten. Für den Speedport seiht es dann so aus, als ob die Anfrage vom Debian satt aus dem OpenVPN kommen und wir müssen uns um die statische Route keine Gedanken mehr machen.

Code: Alles auswählen

iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

wo genau muss ich den Quelltext einfügen? ich vermute mal unter /etc/rc.local. Dort gab es schon ein paar Einträge, die ich meinem Tutorial entnommen habe. Habe deine 3 Zeilen ergänzt und jetzt schaut das so aus:

Code: Alles auswählen

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -j REJECT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.2.42
iptables -I FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -I FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Ich hoffe das passt jetzt so.

Wird schon klappen. Da bin ich sehr zuversichtlich.

Danke für deine Bemühungen mir zu helfen!!
Leider muss ich dich enttäuschen... War auch voller Hoffnung, aber leider funktioniert es immernoch nicht. Es bleibt derselbe Fehler, wenn ich mich vom Handy aus verbinde. Warte auf Serverantwort...
Was kann das jetzt noch sein?
Kann es sein, dass es an den Schlüsseln liegt, die ich erzeuge? Müssen die neu erzeugt und neu aufs Handy kopiert werden?

[DynaBlaster]

Hm,

Warte auf Serverantwort kommt also nach, nachdem du die OpenVPN-Verbindung erfolgreich vom Handy zum Debian aufgebaut hast oder? WLAN auf dem Handy ist zu dem Zeitpunkt aber hoffentlich aus und die bist nicht parallel per WLAn an dem Speedport angemeldet.

Zur weiteren Analyse bitte die Ausgaben folgender Befehle dierekt in der Shell bzw. Eingabeaufforderung des Windows 7.

Debian:

iptables -L -n
iptables -t nat -L -n
ifconfig -a
route -n
cat /proc/sys/net/ipv4/ip_forward (Hier hatte ich übrigens einen Fehler im Befehl echo - da fehlte das ipv4)

Windows 7:

ipconfig /all
route print

Und versuch mal nach dem VPN-Verbindungsaufbau statt http://www.debianforum.de im Browser des Smartphones die IP 144.76.154.165. Könnte auch noch fehlendem DNS-Server liegen.

[McGyverr]

Warte auf Serverantwort kommt also nach, nachdem du die OpenVPN-Verbindung erfolgreich vom Handy zum Debian aufgebaut hast oder? WLAN auf dem Handy ist zu dem Zeitpunkt aber hoffentlich aus und die bist nicht parallel per WLAn an dem Speedport angemeldet.

Richtig. Habe das Problem gefunden. Hab mich ausversehen bei der OpenVPN-Verbindung mit der lokalen Server-IP verbunden (sprich 192.168.2.42) anstatt meiner öffentlichen IP. Habe es zur öffentlichen IP meines Servers geändert und nun funktioniert alles!
Ich bedanke mich recht herzlich für deine Hilfe, hat mir sehr sehr weitergeholfen und mein Ziel wurde somit erreicht!

Dankeschön!

Beitrag kann geschlossen werden.