Bei Verbindung mit einem OpenVPN-Server kann kein Internetzugriff erfolgen

tag-icon tag-icon windows windows-server-2003 internet openvpn
Bei Verbindung mit einem OpenVPN-Server kann kein Internetzugriff erfolgen

Ich habe vor kurzem OpenVPN auf meinem Windows 2003-Server installiert. Sobald jemand mit dem Server verbunden ist, hat er keinen Internetzugang.

  • Mein Netzwerk ist auf 192.168.1.1
  • mein Server ist auf 192.168.1.110
  • Ich verwende die dd-wrt Firmware
  • Ich habe Port 1194 für 192.168.1.110 auf dem Router aktiviert
  • Routing und Remotezugriff sind deaktiviert
  • Ich habe 2 Tap-Win32 Adapter V8 auf meinem Windows 2003 Server
  • Ich habe versucht, diese Zeile auf 192.168.1.1 zu setzen, und auch die DNS-Server meines ISPs pushen „dhcp-option DNS 192.168.1.1“ # Ersetzen Sie die Xs durch die IP-Adresse des DNS für Ihr Heimnetzwerk (normalerweise der DNS Ihres ISPs).

  • Ich habe ein erweitertes Routing-Gateway in dd-wrt erstellt

     Destination LAN NET: 192.168.10.0
 Subnet Mask: 255.255.255.252
 Gateway: 192.168.1.110
 Interface: Lan & WLAN

Ich habe mich genau an diese Website gehalten: http://www.itsatechworld.com/2006/01/29/how-to-configure-openvpn/

BEARBEITEN: Ich habe gerade versucht, über die Eingabeaufforderung eine Verbindung herzustellen und erhalte den folgenden Subnetzfehler - möglicher Routen-Subnetzkonflikt zwischen lokalem LAN [192.168.1.0/255.255.255.0] und Remote-VPN [192.168.1.0/255.255.255.0]

Meine Serverdatei sieht folgendermaßen aus:

local 192.168.1.110 # This is the IP address of the real network interface on the server connected to the router

port 1194 # This is the port OpenVPN is running on - make sure the router is port forwarding this port to the above IP

proto udp # UDP tends to perform better than TCP for VPN

mssfix 1400 # This setting fixed problems I was having with apps like Remote Desktop

push "dhcp-option DNS 192.168.1.1"  # Replace the Xs with the IP address of the DNS for your home network (usually your ISP's DNS)

#push "dhcp-option DNS X.X.X.X"  # A second DNS server if you have one

dev tap

#dev-node MyTAP  #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name

ca "ca.crt"  

cert "server.crt"

key "server.key"  # This file should be kept secret

dh "dh1024.pem"

server 192.168.10.0 255.255.255.128  # This assigns the virtual IP address and subent to the server's OpenVPN connection.  Make sure the Routing Table entry matches this.

ifconfig-pool-persist ipp.txt

push "redirect-gateway def1"  # This will force the clients to use the home network's internet connection

keepalive 10 120

cipher BF-CBC        # Blowfish (default) encryption

comp-lzo

max-clients 100 # Assign the maximum number of clients here

persist-key

persist-tun

status openvpn-status.log

verb 1 # This sets how detailed the log file will be.  0 causes problems and higher numbers can give you more detail for troubleshooting

Meine Client1-Datei sieht wie folgt aus:

client

dev tap

#dev-node MyTAP  #If you renamed your TAP interface or have more than one TAP interface then remove the # at the beginning and change "MyTAP" to its name

proto udp

remote my-dyna-dns.com 1194  #You will need to enter you dyndns account or static IP address here. The number following it is the port you set in the server's config

route 192.168.1.0 255.255.255.0 vpn_gateway 3  #This it the IP address scheme and subnet of your normal network your server is on.  Your router would usually be 192.168.1.1

resolv-retry infinite

nobind

persist-key

persist-tun

ca "ca.crt"

cert "client1.crt" # Change the next two lines to match the files in the keys directory.  This should be be different for each client.

key "client1.key"  # This file should be kept secret

ns-cert-type server

cipher BF-CBC        # Blowfish (default) encrytion

comp-lzo

verb 1

Dank im Voraus!

Antwort1

Für mich sieht es so aus, als ob der Server die Option „redirect-gateway“ an den Client weiterleitet. Dies führt dazu, dass der Client das VPN als Standard-Gateway verwendet. Kommentieren Sie die Zeile „push „redirect-gateway def1““ in der Serverkonfiguration aus.

Wow, habe gerade deine Bearbeitung gesehen. Dein Client kann nicht die gleichen IP-Adressen verwenden wie das LAN, mit dem er sich verbindet. Das wird nicht funktionieren. Das eine oder andere Ende muss unterschiedliche IP-Adressen verwenden.

Bearbeiten:

Vorausgesetzt, das Routing ist auf Ihrem Windows Server 2003-Rechner richtig konfiguriert (gemäß der von Ihnen genannten Seite www.itsatechworld.com), sollten Sie in der Lage sein, den Windows Server 2003-Rechner und den Windows Vista-Rechner über ihre LAN-IPs über das VPN anzupingen. Wenn das möglich ist, ist das Routing auf den Windows Server 2003- und DD-WRT-Rechnern korrekt und Sie können fortfahren. Wenn nicht, müssen Sie herausfinden, warum entweder (1) der PING-Verkehr aus dem OpenVPN-Tunnel nicht am Ziel ankommt oder (b) warum keine PING-Antworten vom Zielhost zurückkommen. Möglicherweise installieren Sie etwas wie Wireshark auf Ihrem Windows Vista-Rechner, um zu sehen, ob die PING-Anfragen überhaupt ankommen (da PING Ihnen nicht sagen kann, ob Ihre Anfrage empfangen wird und die Antwort einfach verloren geht).

Sobald die IP-Konnektivität über das VPN einwandfrei funktioniert, empfehle ich Ihnen, die DNS- und WINS-Dienste auf Ihrem Windows Server 2003 VPN-Servercomputer zu installieren und den Servercomputer und den Windows Vista-Heimcomputer so zu konfigurieren, dass diese Maschine für WINS und DNS verwendet wird. Sie können entweder den DNS Ihres ISPs als „weitergeleitet“ auf der Windows Server 2003-Maschine hinzufügen oder die Standard-„Root-Hinweise“ so konfiguriert lassen, dass die Auflösung von Internetnamen möglich ist. Fügen Sie in Ihrer OpenVPN-Serverkonfiguration direkt nach der Zeile „push „dhcp-option DNS 192.168.1.1“ die folgende Zeile hinzu:

push "dhcp-option WINS 192.168.1.1"

Dadurch werden die Remoteclients auf die WINS- und DNS-Server auf Ihrem Windows Server 2003-Computer weitergeleitet und Sie erhalten sowohl die DNS- als auch die NetBIOS-Namensauflösung.

Wenn Sie zu Hause keine Active Directory-Domäne verwenden, möchten Sie wahrscheinlich eine Standard-Forward-Lookup-Zone auf dem Windows Server 2003-DNS-Server einrichten, bei der sich Ihre Windows Server 2003- und Windows Vista-Rechner registrieren können. Wenn Sie diese Zone erstellen, möchten Sie den Clients die Berechtigung erteilen, Datensätze dynamisch zu aktualisieren (wenn auch unsicher). Sie sollten die Option „DNS-Domänenname“ (Option 15) zu Ihrem DHCP-Bereich zu Hause hinzufügen, damit Ihre Client-Computer dort das richtige DNS-Domänennamensuffix auswählen. (Wenn Sie DD-WRT für DNS verwenden, kann ich Ihnen nicht sagen, wie das geht. Ich bin ein OpenWRT-Typ und verwalte meinen WRT54G über die Befehlszeile. Ich würde sowieso empfehlen, DHCP von der Windows Server 2003-Maschine aus auszuführen, aber mir gefällt dieser DHCP-Server einfach besser.)

Wenn Sie eine Active Directory-Domäne verwenden, haben Sie bereits eine Forward-Lookup-Zone in DNS erstellt. Da Ihre Remote-VPN-Clients jedoch keine Mitglieder Ihrer Domäne sind, können sie sich nicht in DNS registrieren, wenn die Standardsicherheitseinstellungen, die Windows Server für die DNS-Zone festlegt, verwendet werden (zumindest, wenn Sie die Zone während DCPROMO erstellen lassen). Dies ist unsicher, aber wenn Sie ihnen die Registrierung erlauben möchten, können Sie entweder (a – weniger sicher) die Berechtigung für die Zone ändern, um unsichere Registrierungen zuzulassen, oder (b – sicherer, aber immer noch unsicher) A- und PTR-Einträge für sie erstellen und die Berechtigung für jeden dieser Einträge ändern, damit jeder sie aktualisieren kann.

Es klingt, als wäre das eine Sache für Heimnetzwerke und es ist wirklich eine gute Lernmöglichkeit für viele Dinge – IP-Routing, VPNs, Namensauflösung. Vielleicht möchten Sie, dass es „einfach funktioniert“ und nicht als Lernmöglichkeit. In diesem Fall kann ich mich nur entschuldigen und sagen, dass diese Dinge einfach noch nicht „schlüsselfertig“ sind.

Antwort2

Evans Kommentar ist richtig, außer dass ich Sie dringend bitten würde, das „Redire-Gateway“ zu aktivieren und den Server so zu konfigurieren, dass er allen Internetverkehr akzeptiert, zumindest wenn Sie eine Inhaltsfilterung durchführen. Wenn Sie das nicht tun, werden Ihre Laptops (noch mehr) zu einer Schwachstelle für Ihr Netzwerk.

Split-Tunnel-VPN wird im Allgemeinen alsunsicherda es Angreifern, die den Laptop kompromittieren, im Wesentlichen einen Kurzschluss zum wichtigen Zentrum Ihres Netzwerks bietet.

Antwort3

Sie sollten sicherstellen, dass auf Ihrem Windows OpenVPN-Server Routing-Dienste installiert sind.

Dies wurde bereits erwähnt, aber wir raten Ihnen dringend, Ihre LAN-Netzwerkadresse auf eine andere Adresse als 192.168.1.X zu ändern. Die meisten Linksys usw. werden standardmäßig mit diesem Netzwerk ausgeliefert, sodass Remote-Hosts nicht auf Hosts innerhalb Ihres Netzwerks zugreifen können. Ich sehe, dass Ihr VPN-Netzwerk auf 192.168.10.X eingestellt ist, was gut ist. Stellen Sie Ihr LAN jetzt auf etwas wie 192.168.5.X ein. Das funktioniert besser, glauben Sie mir.

Sie könnten dann Redirect-Gateway einschalten, aber ich würde das nicht empfehlen, da es Ihre Bandbreite auffrisst. Wenn Sie IDS/IPS-Geräte oder etwas Ähnliches in Ihrem Netzwerk haben, kann es von Vorteil sein.

Ich würde das Verb höher als 1 setzen ... Ich lasse es auf 4, um zu sehen, was passiert.

Hoffentlich hilft das!

Antwort4

Entschuldigen Sie, dass ich das so ausführlich wiederhole, aber nachdem ich zwei Stunden damit verbracht habe, den Internetzugang einer Windows-Maschine wiederherzustellen, die mit dem Ubuntu OpenVPN-Server verbunden ist, habe ich gerade herausgefunden, was bei mir funktioniert (ich hoffe, bei anderen auch):

[Windows 8.1 x64 und Ubuntu Server 20.04]

  1. Gehen Sie auf dem Windows-Computer zuerst zu Network and Sharing Center, klicken Sie mit der rechten Maustaste auf Ihre Haupt-NIC (in meinem Fall ein WiFi-USB) und dann Properties-> Internet Protocol Version 4-> Properties-> Advanced-> Deaktivieren Sie Automatic metric-> stellen Sie Interface metriceine kleine Zahl wie 10 ein -> OK-> OK->OK
  2. Jetzt trinke etwas Wasser und springe auf die Linux-Box -> schreibe in das Terminal nano /etc/openvpn/server/server.conf-> füge diese Zeile hinzu push "route-metric 1000"(1000 oder ähnliche Zahl) -> speichere die Datei mit Ctrl+Xdann Y -> drücke auf „+“ , um den OpenVPN-Server neu zu starten und wahrscheinlich hast du wieder Internetzugriff auf der Windows-Maschinesystemctl restart [email protected]

Jetzt habe ich zwei voll funktionsfähige verschiedene Setups:

Windows-Rechner mit Internetzugang und über OpenVPN mit Linux-Rechner verbunden. Windows-Rechner mit Internetzugang und über OpenVPN mit Vbox-Linux-Rechner verbunden.

verwandte Informationen