OpenVPN für Privates Netzwerk

[Basskick]

..soo ich hoffe die Kategorie stimmt.

Hallo Computer Base Community,
ich habe folgendes Problem und hoffe hier auf Hilfe zu stoßen:
Ich habe einen Windows V-Server bei Strato gemietet und möchte auf diesem ein VPN einrichten um dieses dann mit Familie & Freunden als LAN Netzwerk (Filesharing via Netzwerkumgebung) (LAN Gaming) zu nutzen. Mir wäre wichtig das, das VPN wirklich sein eigenes Netz hat, wir möchten keine Netzwerke der Clients miteinander verbinden. Leider bin ich auf dem Netzwerk / Routing Thema überhaupt nicht fit, dennoch muss ich das irgendwie hinbekommen es ans laufen zu kriegen

Erst wollten wir den VPN Server von Windows benutzen, doch dieser benötigt dafür wohl zwei Physische Netzwerkkarten, diese haben wir leider nicht.

Dann haben wir seit ein paar Jahren eine Workaround Lösung mit einem Softether VPN Server in Kombination mit dem KM-Test Loopback Adapter genutzt, sind mit dieser Lösung allerdings nicht mehr zufrieden. da sporadisch das Server Internet mit an die Clients geroutet wird und dann der Client teilweise kein Internet hat. Ein ändern der Metrix hat hier auch nix gebracht. Ausserdem möchte ich das die Clients nach außen ihre wirkliche IP haben und nicht die des Servers. Es soll wirklich rein als LAN genutzt werden und nicht zum verschleiern der IP.

Jetzt dachte ich ok, versuchen wir es mal mit OpenVPN, beiße mir allerdings an der Konfiguration seit Tagen total die Zähne aus. Der Server läuft ja, ich kann auch connecten mit meinem Client. Kein Problem - Doch folgende Probleme treten auf:

• Ping von Client an Server funktioniert, umgekehrt nicht (Liegt nicht an der Firewall - getestet)
• ping von Client an Client funktioniert nicht
• Netzwerkzugriff via Netzwerkumgebung nicht möglich (Netzwerk wird auch als öffentliches Netzwerk erkannt in Windows)

Hier meine configs:

Server.ovpn

port 1194
proto udp4
dev tap
topology subnet


ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\server.crt"
key "C:\\Program Files\\OpenVPN\\config\\server.key"
dh "C:\\Program Files\\OpenVPN\\config\\dh.pem"


server 192.168.143.0 255.255.255.0


keepalive 10 120
cipher AES-256-GCM
client-to-client
user nobody
group nobody


push "route 192.168.143.0 255.255.255.0"


comp-lzo
persist-key
persist-tun
verb 3
explicit-exit-notify 1
client-config-dir "C:\\Program Files\\OpenVPN\\config\\ccd"
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\log\\ipp.txt"

client.ovpn

client
dev tap

proto udp
remote zensiert.de 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert client1.crt
key client1.key

remote-cert-tls server
cipher AES-256-GCM
verb 3
comp-lzo

Meine Vermutung ist das es irgentwie an der IP / dem routing liegt, bin aber auf dem Gebiet wie gesagt kein Fachmann. Über Eure Hilfe wäre ich sehr dankbar. Danke schonmal :*

 

[till69]

"dev tap" nutzt man fürs "Bridging". Denke, Du willst eher "Routing"

Wird hier beschrieben:
https://community.openvpn.net/openvpn/wiki/BridgingAndRouting

Und lösche "comp-lzo" komplett, hat aber nix mit Deinem Problem zu tun

 

[Basskick]

Ah Danke dir, ich gucke mal

Werde mir das morgen den Tag über nochmal ansehen und testen ..waren heute wieder genug stunden.. melde mich dann ggf nochmal vielen lieben dank.
"comp-lzo" hab ich rausgeschmissen ^^

 

[spcqike]

hat es Grund, dass ihr beim (alten) OpenVPN bleiben wollt? Hast du dir einmal WireGuard angeschaut?

Wir haben vor > 1 Jahr von OpenVPN auf WireGuard umgestellt, weil es einfach flexibler und schneller ist, weniger CPU Ressourcen verbraucht und, meiner Meinung nach, einfacher einzurichten und sauberer ist. (und hoffentlich auch zukunftssichererer )

Aber zu deinem Problem:
wie geschrieben,
- versuch es mal mit dev tun anstatt dev tap.
- dann bin ich mir nicht sicher, ob die Route des OpenVPN Netzwerks überhaupt gepusht werden muss. Wir zumindest hatten diese nie drin, nur die Routen, der lokalen Netze.
- heißt es nicht "group nogroup"?

mein Server lief auf Linux, dort muss man ebenfalls den flag "net.ipv4.ip_forward=1" setzen (nicht in OpenVPN sondern in einer anderen Systemdatei), damit der Server überhaupt routet / Clientzugriffe untereinander ermöglicht. Ich weiß nicht, ob man sowas bei Windows ebenfalls einstellen muss.

Ping von Client an Server funktioniert, umgekehrt nicht (Liegt nicht an der Firewall - getestet)

an welcher Firewall liegt es nicht? und welche IP wolltest du vom Server aus anpingen? Wenn der Client den Server erreicht, also einen Ping sendet der auch zurück kommt, stehen zumindest die Routen. Wenn der Server den CLient also nicht erreicht, blockiert entweder die Firewall des Clients die Anfrage, oder du versuchst die falsche IP des Clients anzupingen, zu der der Server keine Route hat.

ping von Client an Client funktioniert nicht

auch hier, welche IPs wolltest du anpingen? Du kannst in diesem Setup natürlich nur die IPs aus dem OpenVPN Bereich erreichen, also bei euch die 192.168.143.0/24 (auch da würde ich ein anderes Subnetz wählen. irgendwas in 172.16.x.x/24 oder in 10.x.x.x/24, nicht dass ein Client in Zukunft mal ausversehen in einem lokalen Netzwerk ist, was die 192.168.143.0/24 verwendet.)

 

[Basskick]

Heyho,
danke für die Antwort. Habe das VPN jetzt auf dev-tun umgestellt und es funktioniert auch soweit.
Clients und Server können sich gegenseitig anpingen (ja lag an den windows firewalls der clients xD) und der Dateizugriff funktioniert auch.

Das einzige Problem was ich jetzt noch habe ist das, das VPN jetzt immer noch als öffentliches Netzwerk angezeigt wird. Klar kann man über die Registry überschreiben, aber bei jedem Client in der REG rumfummeln fänd ich nicht so geil. Habs testweise auf dem VPN Server mal auf privat überschrieben aber da zeigt er jetzt in der Konnektivität "Kein Netzwerkzugriff" obwohl ich zugriff habe oO und erkennt es als Nicht identifiziertes Netzwerk. IP Foward hab ich in der Windows Registry aktiviert.
Hab im Netz mal nach dem Problem gegoogelt da wird geraten bei den Clients die route"
route -p add 0.0.0.0 mask 0.0.0.0 192.168.143.1 metric 50 if 17 zu pushen, dies führte allerdings zu keiner lösung (ja ich hab die richtige schnittstelle genommen^^)

WireGuard habe ich mir noch nicht angesehen, werde ich mir auf jeden fall mal zu gemühte führen

 

[till69]

Erst wollten wir den VPN Server von Windows benutzen

Dann würde ich den Softether MS-SSTP Clone Server nehmen.

So kann sich jeder Windows-PC mit Boardmitteln verbinden.

 

[Basskick]

Dann würde ich den Softether MS-SSTP Clone Server nehmen.

Wenn ich das richtig verstanden habe, erstellt der nur einen Clon von sich selbst (Softether VPN Server) und richtet diesen dann auf OpenVPN aus damit Clients mit OpenVPN connecten können. Das bringt mir aber leider nix weil der wie oben erwähnt nur Probleme bei uns gemacht hat.

 

[spcqike]

welche Probleme gibt es denn von WIndows, wenn das Netzwerk als öffentliches erkannt wird? Spielt das überhaupt eine Rolle?

Ich kann dir leider nicht sagen, ob das mit Wireguard anders wäre, da ich es nur auf Linux Systemen und Android/iOS verwende. aber dennoch bietet WG viele Vorteile.
bspw. kann jeder "Client" auch "Server" sein. Natürlich kann man "ein einfaches Sternnetzwerk" aufbauen, mit einem zentralen Server und mehrere Clients, die sich mit ihm verbinden. Das hat aber zur Folge, dass die Clients untereinander nur über den Server kommunizieren können, was einerseits die Serverlast erhöht und andererseits die Latenz zwischen den Clients verdoppelt.
Bei WireGuard ist es relativ einfach möglich, Clients auch direkt untereinander zu vernetzen, sodass sie gar nicht über einen zentralen Server kommunizieren müssen. Im Idealfall gibt es bei Wireguard gar keine zentralen Server, sondern jeder Peer kommuniziert direkt mit jedem anderen Peer. (das ist mit privaten Anschlüssen meist nur schwer zu erreichen, aber nicht unmöglich)

Habs testweise auf dem VPN Server mal auf privat überschrieben aber da zeigt er jetzt in der Konnektivität "Kein Netzwerkzugriff" obwohl ich zugriff habe oO und erkennt es als Nicht identifiziertes Netzwerk

wundert mich nicht. soweit ich weiß versucht der Windows interne Konnektivitätscheck eine Telemetrie-Seite von Microsoft zu erreichen. Da du über den Tunnel aber nur Traffic im Subnetz 192.168.143.0/24 routest, wird er die externe Seite darüber nicht auflösen/erreichen können. ergo - timeout und "kein Internet". Das könntest du nur umgehen indem du entweder allen Traffic durch den Tunnel schickst (also die 0.0.0.0/0) oder du die Adresse für den Test in der Registry änderst (was wohl die anderen Netzwerkschnittstellen "offline" erscheinen lässt)

 

[Basskick]

Nein eigentlich spielt es keine Rolle, muss so oder so Firewall regeln setzen.
Im OpenVPN Forum schreiben Sie auch ich soll das als Öffentliches einfach nutzen und fertig.
Mal sehen, werde mir heute / morgen nochmal das WireGuard ansehen und dann entscheiden..

Vielen lieben Dank euch

 

[PHuV]

Denk bitte daran, das WireGuard nur über UDP geht.

 

[spcqike]

OpenVPN geht zwar auch über tcp, produziert dabei aber erheblichen overhead. UDP bleibt nun mal das Mittel der Wahl (wenn man nicht grade Port Beschränkungen umgehen muss und daher ein VPN auf 443/TCP verstecken will)

zumal der TE ja auch UDP verwendet