OpenVPN läuft nur in einer VM Umgebung

[proximos]

Guten Abend allerseits,

ich habe angefangen mich mit openvpn zu beschäftigen und es zu Testzwecken zuerst auf eine Win10 VM über HyperV installiert und konfiguriert. Das Ergebnis ist sauber, der Tunnel wird fehlerfrei hergestellt. Zugriff von Win10 und Android Clienten auf das Internet und Windows freigaben funktioniert einwandfrei.

Nun habe ich die Konfiguration 1zu1 von der VM auf den physischen Rechner übertragen und kuriouserweise funktioniert es nicht. Die Verbindung wird zwar auch fehlerfrei aufgebaut aber ich bekomme es einfach nicht hin auf Windows Freigaben zu zugreifen sowie auf das Internet. Kein Pingen möglich.

folgendes Setup:

LAN 192.168.2.0
192.168.2.2 Standardgateway
192.168.2.10 Win10 Rechner
192.168.2.16 Win10 VM

VPN-Netz
10.15.15.0

Server Conf:

local 192.168.2.10
port 1194
proto udp
dev tun

dh "C:\\Program Files\\OpenVPN\\server-keys\\dh2048.pem"
ca "C:\\Program Files\\OpenVPN\\server-keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\server-keys\\Server.crt"
key "C:\\Program Files\\OpenVPN\\server-keys\\Server.key"

server 10.15.15.0 255.255.255.0
ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\ipp.txt"
client-config-dir "C:\\Program Files\\OpenVPN\\ccd"
client-to-client

push "route 192.168.2.0 255.255.255.0"
push "dhcp-option DNS 192.168.2.2"
push "redirect-gateway def1 bypass-dhcp"
push 'block-outside-dns'

keepalive 10 120
compress lz4
persist-key
persist-tun

status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3

Client Conf:

client
dev tun
proto udp

remote meineip.usw.org 1194

resolv-retry infinite
auth-nocache
remote-cert-tls server
nobind
persist-key
persist-tun

ca ca.crt
cert Client.crt
key Client.key

compress lz4
verb 3

Statische Route im Router eingetragen:

Weiß echt nicht woran es liegen kann, wie gesagt funktioniert es auf der VM 192.168.2.16 mit dieser config einfandfrei. Ich habe auch schon eine menge rumprobiert, dachte es liegt vielleicht an einem Konflikt zwischen den physischen Netzwerkadapter und dem virtuellen der VM, so das ich HyperV ganz deinstalliert habe um zu schauen, aber auch nichts.
Danke für eure Hilfe, vielleicht kommt ja jemand auf den Fehler.

 

[till69]

Win10-Firewall zum Test mal komplett ausschalten

 

[Masamune2]

Firewall mal aus gemacht? Wenn du auf der Internet zugreifen willst hast du auch den Routing und RAS Dienst konfiguriert?

 

[proximos]

Win Firewall am Server ist aus. Routing und RAS habe ich nichts konfiguriert, nur die Route im Router eingetragen wie angegeben. Ich habe in der VM aber auch nichts weiter im RAS konfiguriert und da läufts...? Checke das echt nicht... Die VM verhält sich doch quasi genau wie der physische Rechner....

 

[KillerCow]

Vielleicht habe ich nen Knoten im Kopf, aber irgendwie sieht das komisch aus. Server und Client stehen im selben Subnetz und der Client bekommt als Route für sein eigenes Subnetz den VPN Server mitgeteilt?

 

[proximos]

Lokales Netz ist 192.168.2.0/24
VPN-Netz 10.15.15.0/24

Client bindet sich über das Mobilfunknetz ein. Klappt auch alles. Bekommt die 10.15.15.6 / VPN Server 10.15.15.1

Ping auf 10.15.15.1 funktioniert, das war es aber auch.

 

[Raijin]

Prüfe der Reihe nach den Verbindungsweg ab.

1 Bekommt der Client das korrekte Gateway? (Routing-Tabelle checken / traceroute machen)
2 Kommen am Server Daten vom Client an? (mit WireShark auf eingehenden Traffic prüfen)
3 Routet der Server die Daten weiter? (mit WireShark ausgehenden Traffic prüfen)
4 Schritt 2+3 jeweils für die Antwort wiederholen

Am besten macht man das nicht mit einem Handy als Client, sondern zB mit einem Laptop via Handy-Hotspot. Auch wenn es zB für traceroute auch Apps gibt, ist es am Laptop doch deutlich komfortabler.

 

[proximos]

Am besten macht man das nicht mit einem Handy als Client, sondern zB mit einem Laptop via Handy-Hotspot. Auch wenn es zB für traceroute auch Apps gibt, ist es am Laptop doch deutlich komfortabler.

genau so mache ich es auch ;-) nutze das Handy als Hotspot und klinke mich mit einem Laptop ein, alles andere wäre ja sehr unkomfortabel.... :-)

Einen kleinen Schritt bin ich jetzt wohl weiter. Ich habe jetzt mal die ganze Zeit gesucht was in der VM anders eingestellt sein könnte das es über diese klappt, denn eig. ist ja fast alles identisch. Jetzt bin ich drauf gestoßen das in meiner VM noch eine eingehende Verbindung für das Windows eigene PPTP vpn konfiguriert war. Habe dann diese ebenfalls mal eingestellt und jetzt geht es auch.
Nun jetzt aber die Frage: PPTP hat ja mit OpenVPN ja nichts weiter zu tun. Doch irgendetwas muss Windows in dieser Hinsicht einstellen, was openvpn zufälligerweise braucht um zu funktionieren. Vermute das dann doch irgendwelche Routen fehlen. Kenne mich aber mit dem ganzen Routing & RAS von Windows dann doch nicht so aus.... :-(

Ergänzung (17. November 2019)

das einzige was ich im Router eingetragen habe ist: 10.15.15.0 mask 255.255.255.0 192.168.2.10

Ergänzung (17. November 2019)

okay... es war der Routing & RAS Dienst selbst der aktiviert sein muss

Dieser wird von Windows beim einrichten eines PPTP automatisch zugeschaltet, deshalb funktionierte es in der VM. Nun läuft alles wie gewünscht.

Vielen Dank allen für die Unterstützung, ist ein nettes Forum hier!

 

[Masamune2]

Ich habe in der VM aber auch nichts weiter im RAS konfiguriert und da läufts...? Checke das echt nicht...

Mit was hast du denn virtualisiert? Die VMware Workstation z.B. bringt einen eigenen Routing Dienst mit wenn die Netzwerkkarte auf NAT steht, dann funktioniert das out-of-the-Box. Auf dem Windows Rechner muss aber irgendwer das Routing übernehmen -> Routing und RAS Dienst konfigurieren.

 

[Datax]

Mit was hast du denn virtualisiert? Die VMware Workstation z.B. bringt einen eigenen Routing Dienst mit wenn die Netzwerkkarte auf NAT steht, dann funktioniert das out-of-the-Box. Auf dem Windows Rechner muss aber irgendwer das Routing übernehmen -> Routing und RAS Dienst konfigurieren.

Bei Windows 10 reicht es aus, den Dienst "Routing und RAS" zu starten.

Damit wird IP-Forward (die Routing-Funktion) aktiviert,
alternativ kann man das auch per Registry-Eintrag machen.

Enable IP Routing In Windows 10:
https://www.keepthetech.com/2016/01/enable-ip-routing-on-windows10.html

Per "ipconfig /all" kann man jederzeit überprüfen,
ob IP-Forward (Routing) aktiviert bzw. deaktiviert ist.

IP-Routing aktiviert . . . . . . : Nein --> (deaktiviert)
IP-Routing aktiviert . . . . . . : Ja --> (aktiviert)