OpenVPN - Bridging ins lokale Netzwerk klappt mit Windows XP nicht

[marcelswietza]

Hallo liebe Forumbasler ^^,

bin im Moment dabei, einen Aussendienstler via OpenVPN in das lokale Netzwerk einzubinden, damit er Drucker, Dateifreigaben usw. nutzen kann.
Beide Partner hängen jeweils an 0815-Privat-DSL-Zugängen. Portfreigaben und Weiterleitungen sind eingerichtet.
Firewalls sind deaktiviert.

Nun kann man, wenn das VPN steht, den Anderen Anpingen.
Sobald ich aber die Bridge aufsetzte und das virtuelle MyTap-Device mit der LAN-Verbindung Bridge, ist kein Ping und auch kein Internetsurfen möglich.

Hat jemand einen Lösungsvorschlag?
Oder ist das, was ich vorhabe, technisch gar nicht möglich?

Grüße,
Marcel

 

[R@bbit]

Hi

versuch mal eine Netzwerkbrücke zwischen deiner Netzwerkkarte und der Virtuellen Netzwerkkarte zu erstellen

also config benutzt du dann beim Server

proto tcp-server
mode server
tls-server
dev tap
port xxxx
ca test-ca.crt
cert test-server.crt
key test-server.key
dh dh1024.pem
keepalive 10 120
comp-lzo
persist-key
persist-tun
status C:\test.log
verb 3
client-to-client

Nun können alle über OpenVPN in dein Netzwerk, Sie bekommen auch von deinem DHCP Server (Router) ihre IP-Adresse. Durch den Befehl client-to-client können sich Clients auch untereinander sehen.
Nun noch den OpenVPN Dienst auf Automatisch stellen und den Server neustarten und fertig.


Als Client kannst du diese Config benutzen

client
dev tap
proto tcp
remote dyndns port
resolv-retry infinite
nobind
persist-key
persist-tun
ca test-ca.crt
cert test-client.crt
key test-client.key
comp-lzo
verb 3

 

[marcelswietza]

OK, habe das jetzt so eingerichtet.
Die Verbindung zum Server kommt zustande, aber leider, sobal ich die Netzwerkbrücke aufsetzte, findet er die Verbindung zum Server nicht mehr...
Wenn ich den Client ohne Netzwerkbrücke lasse, kann ich den Server zwar anpingen, aber meine FritzBox nicht.
Muss ich denn da nicht noch etwas mit "Route" setzen?

DANKE!

Gruß,
Marcel

 

[R@bbit]

Die Netzwerkbrücke musst du als aller erstes erstellen... nicht zwischen durch...

also erst Netzwerkbrücke erstellen, dann VPN Verbindung starten

beim Client bringt nur eine Netzwerkbrücke was wenn der Server und der Client das selbe Netz haben.
z.B. 192.168.1.0

 

[marcelswietza]

OK, Netzwerkbrücke auf Server gesetzt.
Geht aber immer noch nciht :/
Der Server kann angepingt werden, die FritzBox aber nicht.

Ipconfig:
Windows-IP-Konfiguration


Ethernetadapter MyTap:

Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.178.49
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.178.1

Ethernetadapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.2.108
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.2.1


C:\Dokumente und Einstellungen\Administrator>ping 192.168.178.1

Ping wird ausgeführt für 192.168.178.1 mit 32 Bytes Daten:

STRG-C


EDIT:
Und auf dem Server:
C:\Dokumente und Einstellungen\Administrator>ipconfig

Windows-IP-Konfiguration


Ethernetadapter Netzwerkbrücke (Netzwerkbrücke) 3:

Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.178.43
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.178.1

 

[R@bbit]

steht die Fritzbox auf der Server oder auf der Clientseite?

den Befehl client-to-client hast auch in der Serverconfig?

Das Statusprotokoll wäre auch nicht schlecht (C:\test.log <-- falls dus noch nicht geändert hast)

Ist noch eine Firewall aktiv?
auf der Serverseite musst du deinen Port freigeben im Router.. auf der Clientseite musst du das nicht tun

 

[marcelswietza]

Steht auf der Serverseite.


Config vom Server:
proto tcp-server
mode server
tls-server
dev tap
port 1194
ca C:\\Programme\\OpenVPN\\easy-rsa\\keys\\ca.crt
cert C:\\Programme\\OpenVPN\\easy-rsa\\keys\\server.crt
key C:\\Programme\\OpenVPN\\easy-rsa\\keys\\server.key
dh C:\\Programme\\OpenVPN\\easy-rsa\\keys\\dh1024.pem
keepalive 10 120
comp-lzo
persist-key
persist-tun
status C:/test.log
verb 3
client-to-client


Log vom Server:
OpenVPN CLIENT LIST
Updated,Mon Jul 21 16:57:06 2008
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
Client1,84.57.71.64:1526,7711,6841,Mon Jul 21 16:56:23 2008
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
00:ff:d4:ec:8d:76,Client1,84.57.71.64:1526,Mon Jul 21 16:56:41 2008
GLOBAL STATS
Max bcast/mcast queue length,1
END

EDIT: Nein, auf Clients keine Ports weitergeleitet, auf Serverseite Port 1194 an Server-IP weitergeleitet, sonstige Firewalls aus.
EDIT2: Muss der Server das echte Netz nicht weiterleiten/routen?


DANKE =)

 

[R@bbit]

und was steht im Protokoll vom Client?

müsste unter C:\Programme\OpenVPN\log zu finden sein




ja sollte er durch die Netzwerkbrücke weiterleiten

 

[marcelswietza]

Das:
OpenVPN STATISTICS
Updated,Mon Jul 21 17:05:53 2008
TUN/TAP read bytes,0
TUN/TAP write bytes,0
TCP/UDP read bytes,0
TCP/UDP write bytes,0
Auth read bytes,0
pre-compress bytes,0
post-compress bytes,0
pre-decompress bytes,0
post-decompress bytes,0
END


Nachdem ich den Client neu verbunden hatte und nur auf fritz.box und 192.168.178.1 gepingt hatte.


Nachdem ich auf 192.168.178.43 (Server) gepingt hatte:
OpenVPN STATISTICS
Updated,Mon Jul 21 17:07:53 2008
TUN/TAP read bytes,10274
TUN/TAP write bytes,5290
TCP/UDP read bytes,10906
TCP/UDP write bytes,16366
Auth read bytes,5290
pre-compress bytes,3690
post-compress bytes,2662
pre-decompress bytes,900
post-decompress bytes,1942
TAP-WIN32 driver status,"State=AT?c Err=[c:\src\21\tap-win32\tapdrvr.c/2289] #O=3 Tx=[233,0,0] Rx=[278,0,2] IrpQ=[1,1,16] PktQ=[0,2,64]"
END

 

[R@bbit]

hmmm... eine Netzwerkfreigabe vom server kannste auch benutzen?

 

[marcelswietza]

ja

 

[R@bbit]

beende mal die VPN Verbindungen, gebe dann der Netzwerkbrücke eine feste IP-Adresse und bau dann die VPN Verbindungen wieder auf

 

[marcelswietza]

kk

hab ich gemacht.

Fritzbox leider immer noch nicht ereichbar

Schluchz..

An R@bbit: VIELEN VIELEN DANK für Deiner Unterstützung! Das Gewünschte in der "Basis-Variante" klappt jetzt!


EDIT: naja, das Ziel war ja nicht unbedingt, in das Subnetz zu gelangen. Es reicht auch wenn ich einen PC erreiche und den Drucker darüber freigebe.
Nur eine Frage, die mich interessiert: Wieso erreiche ich das Subnetz nicht, wenn die 2 Adapter gebridged sind?
EDIT2: Hier (http://www.linuxforen.de/forums/archive/index.php/t-196541.html) schreibt einer auch davon, und er wird auf die Routen verwiesen. Genauere Erklärungen fehlen aber.

 

[R@bbit]

naja... schön find ichs aber immer noch nicht


was mich ammeisten aber wundert ist das du eine IP-Adresse beim client von deinen Router bekommst aber ihn nicht anpingen kannst.....
Ich benutz die Configs auch ohne Probleme, es funktioniert sogar Wake on LAN...

Hast du den Dienst auf Automatisch gestellt? Restarte mal den Server nochmal... Die Netzwerkbrücken bei Windows sind immer nen bisschen eigensinnig...

 

[marcelswietza]

Ich habe gar keinen OVPN-Dienst.
Starte openvpn.exe immer von Hand.

 

[R@bbit]

das ja schlecht fürn server^^

http://openvpn.net/release/openvpn-2.0.9-install.exe

sichere mal deine zertifikate und deine config
deinstallier das openvpn was du mometan hast
dann installier das mal vollständig auf dem server
mach alles nochmal was wir bis jetzt gemacht haben
füg die virtuelle netzwerkkarte der netzwerkbrücke hinzu
füg deine zertifikate und config wieder an ihren platz
setz den dienst auf automatisch...
wenn dann alles fertig ist starte den server mal neu


das ist ne GUI für den Client
http://openvpn.se/files/binary/openvpn-gui-1.0.3.exe

 

[marcelswietza]

genau die version hab ich ja

starte Openvpn nur immer so:

openvpn --config server.ovpn.