OpenVPN Netzwerk hinter dem Client erreichen

[achim50]

Hallo,
ich möchte das Netzwerk hinter dem Client erreichen, um den Netzwerkdrucker zu nutzen.
Kann mir eine weiterhelfen, was ich machen muss?

Der Client befindet sich in dem Netz 192.168.10.0!

Besten dank!
Achim

Sever conf

Zertifikate

dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\Server01.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\Server01.key"

Server und Netzwerk
local 178.xx.xx.xx #LAN-Adresse des Servers
port 1194
proto udp
dev tap
server 192.168.15.0 255.255.255.0 #Subnetz
ifconfig-pool-persist ipp.txt
comp-lzo
persist-key
persist-tun
keepalive 10 120

Log
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3


Client conf


Zertifikate
ca "C:\\Program Files\\OpenVPN\\config\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\config\\Client01.crt"
key "C:\\Program Files\\OpenVPN\\config\\Client01.key"

Client-Setup
client
dev tap
proto udp
remote 178.xx.xx.xx 1194 #Hostname anpassen
resolv-retry infinite
nobind
persist-key
persist-tun
route-metric 512
route 0.0.0.0 0.0.0.0
comp-lzo
verb 3

 

[En3rg1eR1egel]

routen pushen

 

[achim50]

Das habe ich schon versucht.
In der Server.conf
push "route 192.168.10.0 255.255.255.0"
route 192.168.10.0 255.255.255.0

funktioniert aber nicht. Ich kann, vom Server, das Netzt vom Client nicht anpingen.

 

[En3rg1eR1egel]

ich schau mal kurz in meine config
edit kommt gleich

/e

ip-forward aktiviert ?
Rückroute konfiguriert ?
den client wirst du wohl erreichen, aber das netz dahinter kennt ja nix davon,
bzw. hat keine ahnung das überhaupt nen vpn existiert.

 

[achim50]

ich schau mal kurz in meine config
edit kommt gleich

danke

 

[Raijin]

Ne, "push" im Server löst nur ein "route add" im Client aus. Der Client soll aber routen, kennt also das Netzwerk schon. "route" im Client macht dasselbe, eben nur ohne vom Server gepusht zu werden.


Was du suchst ist

iroute netzwerk subnetzmaske

Normalerweise bringt man das in einer Clientspezifischen Configdatei (client-config-dir) unter und in diesem Verzeichnis liegen dann Dateien mit dem Common Name des Clients und dort steht die "iroute" Anweisung drin. Sobald dieser Client nun mit dem VPN verbunden ist, fügt der VPN-Server diese Route hinzu und kann das Netzwerk hinter dem Client erreichen.

Wenn andere VPN-Clients das Netz auch erreichen sollen, muss der Server wiederum eine Route dahin pushen (aber NICHT an den routenden Client!!) - entweder über den Server, der das dann an den Client schickt, oder aber direkt über besagten Client, aber dann muss client-to-client aktiv sein.


Beispiel:

server.conf:

client-config-dir ccd

File #1 : ccd\client_a

iroute 192.168.123.0 255.255.255.0

File #2: ccd\DEFAULT

push "route 192.168.123.0 255.255.255.0"

Nu wird bei client_a die iroute Anweisung ausgeführt, bei allen anderen (DEFAULT) die Route gepusht.

 

[achim50]

Ne, "push" im Server löst nur ein "route add" im Client aus. Der Client soll aber routen, kennt also das Netzwerk schon. "route" im Client macht dasselbe, eben nur ohne vom Server gepusht zu werden.


Was du suchst ist

iroute netzwerk subnetzmaske

Normalerweise bringt man das in einer Clientspezifischen Configdatei (client-config-dir) unter und in diesem Verzeichnis liegen dann Dateien mit dem Common Name des Clients und dort steht die "iroute" Anweisung drin. Sobald dieser Client nun mit dem VPN verbunden ist, fügt der VPN-Server diese Route hinzu und kann das Netzwerk hinter dem Client erreichen.

Wenn andere VPN-Clients das Netz auch erreichen sollen, muss der Server wiederum eine Route dahin pushen (aber NICHT an den routenden Client!!) - entweder über den Server, der das dann an den Client schickt, oder aber direkt über besagten Client, aber dann muss client-to-client aktiv sein.


Beispiel:

server.conf:

client-config-dir ccd

File #1 : ccd\client_a

iroute 192.168.123.0 255.255.255.0

File #2: ccd\DEFAULT

push "route 192.168.123.0 255.255.255.0"

Nu wird bei client_a die iroute Anweisung ausgeführt, bei allen anderen (DEFAULT) die Route gepusht.

Dann gehe ich so vor.
ich trage in der Server.conf client-config-dir ccd ein.

Dann erstelle ich ein Verzeichnis client-config-dir und dort zwei Textdateien mit dem Namen Client_a und DEFAULT? ( auf dem Client )

Bei meinem Fall in der Client_a iroute 192.168.10.0 255.255.255.0
und in der Default push route 192.168.10.0 255.255.255.0

Sehe ich das so richtig?

 

[Raijin]

client_a ist nur ein Beispiel. Da muss der X509 Common Name des Zertifikats vom Client stehen. Als du das Zertifikat erstellt hast, hast du ihm ja einen Namen gegeben. Beispielsweise "achim50". Die Datei heißt dann eben "achim50" ohne Erweiterung. Die Dateien liegen auf dem SERVER im client-config-dir ccd oder eben /bla/blubb/ccd o.ä.

Wenn nu der Client "petra74" mit dem VPN verbunden ist, sucht der Server nach der Datei "petra74" und wenn er sich nicht findet, nimmt er "DEFAULT".

Ergänzung (12. Januar 2016)

Wenn du den Zertifikatsnamen nicht mehr weißt, kannst du entweder beim Connect ins Log schauen bzw. im Serverstatusfile die verbundenen Clients checken oder aber du extrahierst die Info direkt aus dem Zertifikat.

Letzteres geht so:

openssl x509 -noout -subject -in mycert.pem

Output zB: subject= /C=DE/ST=Deutschland/L=Hamburg/O=Bla/OU=Blubb/CN=achim50

CN ist der Common Name des Zertifikats. So muss die Datei heißen.

 

[achim50]

Das Zertifikat habe ich für den Namen Client01 ausgestellt.
Ich finde kein Verzeichnis auf dem Server, was irgendwie mit client-config-dir zu tun hat.

 

[Raijin]

Hä? Warum auch? Das kannst du einstellen! Die Option in der server.conf heißt "client-config-dir" und dahinter gibst du den Pfad zu dem Verzeichnis an. Wo auch immer du es hinlegen willst, den Pfad gibst du da ein.

client-config-dir /etc/openvpn/ccd
client-config-dir /home/myuser/vpn

oder eben

client-config-dir c:\programme\openvpn\ccd
client-config-dir z:\meinvpn\meinccdverzeichnis

Such's dir aus. Von alleine macht der Server überhaupt nichts.

*edit: Kann sein, dass man unter Windows \\ statt \ nehmen muss. Bin mir nicht mehr sicher wie ein OpenVPN-Server unter Windows läuft.

 

[achim50]

Hä? Warum auch? Das kannst du einstellen! Die Option in der server.conf heißt "client-config-dir" und dahinter gibst du den Pfad zu dem Verzeichnis an. Wo auch immer du es hinlegen willst, den Pfad gibst du da ein.

client-config-dir /etc/openvpn/ccd
client-config-dir /home/myuser/vpn

oder eben

client-config-dir c:\programme\openvpn\ccd
client-config-dir z:\meinvpn\meinccdverzeichnis

Such's dir aus. Von alleine macht der Server überhaupt nichts.

*edit: Kann sein, dass man unter Windows \\ statt \ nehmen muss. Bin mir nicht mehr sicher wie ein OpenVPN-Server unter Windows läuft.

Habe ich gemacht. Ich erhalte einen Fehler:
Options error: Unrecognized option or missing parameter(s) in server.ovpn:1: Zertifikate (2.3.10)

Hier noch mal die Server.conf:

Zertifikate

dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\Server01.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\Server01.key"

Server und Netzwerk
local 178.XX.XX.XX #LAN-Adresse des Servers
port 1194
proto udp
dev tap
server 192.168.15.0 255.255.255.0 #Subnetz
client-config-dir "C:\\Program Files\\OpenVPN\\vpn"
ifconfig-pool-persist ipp.txt
comp-lzo
persist-key
persist-tun
keepalive 10 120

Log
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3

ich habe in dem Verzeichnis C:\Program Files\OpenVPN\vpn eine Datei ohne Endung angelegt mit dem Namen Client01.

In dieser steht:
iroute 192.168.10.0 255.255.255.0

 

[Raijin]

Lass mal den letzten Backslash weg oder mach ihn doppelt:


client-config-dir "C:\\Program Files\\OpenVPN\\vpn"

 

[achim50]

Lass mal den letzten Backslash weg oder mach ihn doppelt:


Jetzt meckert der VPV Server nicht beim starten. Der Client kann sich zwar verbinden aber das Routen klappt nicht:

Tue Jan 12 14:23:09 2016 Warning: route gateway is not reachable on any active network adapters: 192.168.15.1
Tue Jan 12 14:23:09 2016 Route addition via IPAPI failed [adaptive]
Tue Jan 12 14:23:09 2016 Route addition fallback to route.exe
Tue Jan 12 14:23:09 2016 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem


Hier mal das ganze Log vom Client:

Tue Jan 12 14:22:28 2016 OpenVPN 2.3.10 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jan 4 2016
Tue Jan 12 14:22:28 2016 Windows version 6.1 (Windows 7)
Tue Jan 12 14:22:28 2016 library versions: OpenSSL 1.0.1q 3 Dec 2015, LZO 2.09
Enter Management Password:
Tue Jan 12 14:22:28 2016 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Tue Jan 12 14:22:28 2016 Need hold release from management interface, waiting...
Tue Jan 12 14:22:29 2016 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Tue Jan 12 14:22:29 2016 MANAGEMENT: CMD 'state on'
Tue Jan 12 14:22:29 2016 MANAGEMENT: CMD 'log all on'
Tue Jan 12 14:22:29 2016 MANAGEMENT: CMD 'hold off'
Tue Jan 12 14:22:29 2016 MANAGEMENT: CMD 'hold release'
Tue Jan 12 14:22:29 2016 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Tue Jan 12 14:22:29 2016 Socket Buffers: R=[8192->8192] S=[8192->8192]
Tue Jan 12 14:22:29 2016 UDPv4 link local: [undef]
Tue Jan 12 14:22:29 2016 UDPv4 link remote: [AF_INET]178.XX.XX.XX:1194
Tue Jan 12 14:22:29 2016 MANAGEMENT: >STATE:1452604949,WAIT,,,
Tue Jan 12 14:22:29 2016 MANAGEMENT: >STATE:1452604949,AUTH,,,
Tue Jan 12 14:22:29 2016 TLS: Initial packet from [AF_INET]178.XX.XX.XX:1194, sid=8abc4756 b1418de9
Tue Jan 12 14:22:30 2016 VERIFY OK: depth=1, C=DE, ST=LU, L=XXXXX, O=XXXXXVPN, OU="IT & Networking", CN=server.XXXX.de, name="VPN_Key_XXXX", emailAddress=info@xx.de
Tue Jan 12 14:22:30 2016 VERIFY OK: depth=0, C=DE, ST=LU, L=XXXXX, O=XXXXXVPN, OU="IT & Networking", CN=server.XXXX.de, name="VPN_Key_XXXX", emailAddress=info@xx.de
Tue Jan 12 14:22:31 2016 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jan 12 14:22:31 2016 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jan 12 14:22:31 2016 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Jan 12 14:22:31 2016 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Jan 12 14:22:31 2016 Control Channel: TLSv1.2, cipher TLSv1/SSLv3 DHE-RSA-AES256-GCM-SHA384, 1024 bit RSA
Tue Jan 12 14:22:31 2016 [server.XXXX.de] Peer Connection Initiated with [AF_INET]178.XX.XX.XX:1194
Tue Jan 12 14:22:32 2016 MANAGEMENT: >STATE:1452604952,GET_CONFIG,,,
Tue Jan 12 14:22:33 2016 SENT CONTROL [server.XXXX.de]: 'PUSH_REQUEST' (status=1)
Tue Jan 12 14:22:34 2016 PUSH: Received control message: 'PUSH_REPLY,route-gateway 192.168.15.1,ping 10,ping-restart 120,ifconfig 192.168.15.2 255.255.255.0'
Tue Jan 12 14:22:34 2016 OPTIONS IMPORT: timers and/or timeouts modified
Tue Jan 12 14:22:34 2016 OPTIONS IMPORT: --ifconfig/up options modified
Tue Jan 12 14:22:34 2016 OPTIONS IMPORT: route-related options modified
Tue Jan 12 14:22:34 2016 ROUTE_GATEWAY 192.168.178.1/255.255.255.0 I=12 HWADDR=00:0c:29:ff:30:1a
Tue Jan 12 14:22:34 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Tue Jan 12 14:22:34 2016 MANAGEMENT: >STATE:1452604954,ASSIGN_IP,,192.168.15.2,
Tue Jan 12 14:22:34 2016 open_tun, tt->ipv6=0
Tue Jan 12 14:22:34 2016 TAP-WIN32 device [LAN-Verbindung 3] opened: \\.\Global\{8C99E531-62E0-4FCE-9EA9-61565FF1878F}.tap
Tue Jan 12 14:22:34 2016 TAP-Windows Driver Version 9.21
Tue Jan 12 14:22:34 2016 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.15.2/255.255.255.0 on interface {8C99E531-62E0-4FCE-9EA9-61565FF1878F} [DHCP-serv: 192.168.15.0, lease-time: 31536000]
Tue Jan 12 14:22:34 2016 Successful ARP Flush on interface [26] {8C99E531-62E0-4FCE-9EA9-61565FF1878F}
Tue Jan 12 14:22:39 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:39 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:44 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:44 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:45 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:45 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:46 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:46 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:47 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:47 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:48 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:48 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:49 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:49 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:50 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:50 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:51 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:51 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:52 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:52 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:53 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:53 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:54 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:54 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:55 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:55 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:56 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:56 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:57 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:57 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:58 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:58 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:22:59 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:22:59 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:23:00 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:23:00 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:23:01 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:23:01 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:23:02 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:23:02 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:23:03 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:23:03 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:23:04 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:23:04 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:23:05 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:23:05 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:23:06 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:23:06 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:23:08 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:23:08 2016 Route: Waiting for TUN/TAP interface to come up...
Tue Jan 12 14:23:09 2016 TEST ROUTES: 0/0 succeeded len=1 ret=0 a=0 u/d=down
Tue Jan 12 14:23:09 2016 MANAGEMENT: >STATE:1452604989,ADD_ROUTES,,,
Tue Jan 12 14:23:09 2016 C:\Windows\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.15.1 METRIC 512
Tue Jan 12 14:23:09 2016 Warning: route gateway is not reachable on any active network adapters: 192.168.15.1
Tue Jan 12 14:23:09 2016 Route addition via IPAPI failed [adaptive]
Tue Jan 12 14:23:09 2016 Route addition fallback to route.exe
Tue Jan 12 14:23:09 2016 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 192.168.178.1 p=0 i=12 t=4 pr=3 a=5906 h=0 m=10/0/0/0/0
0.0.0.0 0.0.0.0 192.168.15.1 p=0 i=12 t=4 pr=3 a=0 h=0 m=522/0/0/0/0
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=3 a=9450 h=0 m=306/0/0/0/0
127.0.0.1 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=3 a=9450 h=0 m=306/0/0/0/0
127.255.255.255 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=3 a=9450 h=0 m=306/0/0/0/0
192.168.178.0 255.255.255.0 192.168.178.31 p=0 i=12 t=3 pr=3 a=5906 h=0 m=266/0/0/0/0
192.168.178.31 255.255.255.255 192.168.178.31 p=0 i=12 t=3 pr=3 a=5906 h=0 m=266/0/0/0/0
192.168.178.255 255.255.255.255 192.168.178.31 p=0 i=12 t=3 pr=3 a=5906 h=0 m=266/0/0/0/0
224.0.0.0 240.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=3 a=9450 h=0 m=306/0/0/0/0
224.0.0.0 240.0.0.0 0.0.0.0 p=0 i=26 t=3 pr=3 a=6222 h=0 m=276/0/0/0/0
224.0.0.0 240.0.0.0 192.168.178.31 p=0 i=12 t=3 pr=3 a=6219 h=0 m=266/0/0/0/0
255.255.255.255 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=3 a=9450 h=0 m=306/0/0/0/0
255.255.255.255 255.255.255.255 0.0.0.0 p=0 i=26 t=3 pr=3 a=6222 h=0 m=276/0/0/0/0
255.255.255.255 255.255.255.255 192.168.178.31 p=0 i=12 t=3 pr=3 a=6219 h=0 m=266/0/0/0/0
SYSTEM ADAPTER LIST
TAP-Windows Adapter V9
Index = 26
GUID = {8C99E531-62E0-4FCE-9EA9-61565FF1878F}
IP = 0.0.0.0/0.0.0.0
MAC = 00:ff:8c:99:e5:31
GATEWAY = 0.0.0.0/255.255.255.255
DHCP SERV = 0.0.0.0/255.255.255.255
DHCP LEASE OBTAINED = Tue Jan 12 14:23:09 2016
DHCP LEASE EXPIRES = Tue Jan 12 14:23:09 2016
DNS SERV =
TAP-Win32 Adapter OAS
Index = 23
GUID = {5A56AF30-8D6C-45D3-AF13-7842678CEC8F}
IP = 0.0.0.0/0.0.0.0
MAC = 00:ff:5a:56:af:30
GATEWAY = 0.0.0.0/255.255.255.255
DHCP SERV =
DHCP LEASE OBTAINED = Tue Jan 12 14:23:09 2016
DHCP LEASE EXPIRES = Tue Jan 12 14:23:09 2016
DNS SERV =
Bluetooth-Gerät (PAN)
Index = 15
GUID = {24E70D18-8779-4F0B-96F5-2792A44B794B}
IP = 0.0.0.0/0.0.0.0
MAC = 5c:f9:38:99:e7:93
GATEWAY = 0.0.0.0/255.255.255.255
DHCP SERV =
DHCP LEASE OBTAINED = Tue Jan 12 14:23:09 2016
DHCP LEASE EXPIRES = Tue Jan 12 14:23:09 2016
DNS SERV =
Intel(R) PRO/1000 MT-Netzwerkverbindung
Index = 12
GUID = {BF898205-6D24-4EB9-B28B-C290FB745879}
IP = 192.168.178.31/255.255.255.0
MAC = 00:0c:29:ff:30:1a
GATEWAY = 192.168.178.1/255.255.255.255 192.168.15.1/255.255.255.255
DHCP SERV = 192.168.178.1/255.255.255.255
DHCP LEASE OBTAINED = Tue Jan 12 12:44:43 2016
DHCP LEASE EXPIRES = Fri Jan 22 12:44:43 2016
DNS SERV = 192.168.178.1/255.255.255.255
Tue Jan 12 14:23:09 2016 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Tue Jan 12 14:23:09 2016 MANAGEMENT: >STATE:1452604989,CONNECTED,ERROR,192.168.15.2,178.XX.XX.XX
Tue Jan 12 14:24:28 2016 C:\Windows\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.15.1
Tue Jan 12 14:24:28 2016 Warning: route gateway is not reachable on any active network adapters: 192.168.15.1
Tue Jan 12 14:24:28 2016 Route deletion via IPAPI failed [adaptive]
Tue Jan 12 14:24:28 2016 Route deletion fallback to route.exe
Tue Jan 12 14:24:28 2016 env_block: add PATH=C:\Windows\System32;C:\Windows;C:\Windows\System32\Wbem
Tue Jan 12 14:24:28 2016 Closing TUN/TAP interface
Tue Jan 12 14:24:28 2016 SIGTERM[hard,] received, process exiting
Tue Jan 12 14:24:28 2016 MANAGEMENT: >STATE:1452605068,EXITING,SIGTERM,,

 

[Slayer]

kannst du mit der Verbindung überhaupt den Server bzw client erreichen?

 

[achim50]

ja, das klappt wunderbar.

 

[Slayer]

irgendwie hab ich das Forum aus den Augen verloren, sorry, gibts das Problem noch immer? wenn das mal geht stimmt irgendwo in einer route was nicht. mach mal ein traceroute vom client zum netzwerkdrucker bzw von einem rechner der im netz vom netzwerkdrucker hängt, der den client auch erreichen können soll.

 

[achim50]

Hi Slayer, willkommen zurück :-)
Ne es geht immer noch nicht. Ich kann zwar den Client bzw. Server anpingen aber auch nur mit der IP die ich von dem "Tunnel" habe.
Spricht 192.168.15.1 usw.

Das Netzt "hinter" dem Client bleibt unerreichbar :-(

Gruß
Achim

 

[Raijin]

Tue Jan 12 14:23:09 2016 Warning: route gateway is not reachable on any active network adapters: 192.168.15.1
Tue Jan 12 14:23:09 2016 Route addition via IPAPI failed [adaptive]

Das deutet darauf hin, dass du die Route falsch gesetzt hast.

Bitte mach mal eine Skizze von den Netzwerken und den IPs. Ich vermute stark, dass du an der falschen Stelle in das falsche Netzwerk routen willst. Obige Meldung kommt, wenn das Gateway der Route nicht direkt erreichbar ist. Das Gateway muss sich stets im selben Netzwerk befinden wie der Client selbst. Wenn du einen Brief in den Briefkasten um die Ecke steckst, kommt er ja auch zum lokalen Postamt und nicht zum Postamt im Nachbarort. Du kannst auch nicht auf den Brief draufschreiben "Von Postamt xy verschicken".

Wenn der PC zB 192.168.1.123 hat und das Netzwerk 192.168.47.0 erreichen will, dann kann man keine Route "192.168.47.0 via 172.38.17.4" eintragen, sondern ausschließlich sowas wie ".. via 192.168.1.x".

 

[achim50]

Hallo Raijin,
ich habe mittlerweile keine Fehlermeldung mehr und musste die Conf am Client und Server ändern, damit es überhaupt läuft.
Es läuft alles echt stabil nur sehe ich das Netzwerk "hinter" dem Client nicht und somit auch nicht den Drucker.
Mir fällt gerade die Fritzbox ein.Kann ich dort nicht ein Route einrichten?
Somit sollte dann doch alles was hinter der Fritzbox ist vom Server aus erreichbar sein, oder?

Gruß
Achim

# Client-Setup
client
dev tap
proto udp
remote 178.XX.XX.XX 1194 #Hostname anpassen
resolv-retry infinite
nobind
persist-key
persist-tun
iroute 192.168.10.0 255.255.255.0 # Zum Anzeigen der Freigbaben des Clients
route-metric 512
route 0.0.0.0 0.0.0.0
comp-lzo
verb 3

Server
Server und Netzwerk
local 178.xx.xx.xx #LAN-Adresse des Servers
port 1194
proto udp
dev tap
server 192.168.15.0 255.255.255.0 #Subnetz
ifconfig-pool-persist ipp.txt
comp-lzo
persist-key
persist-tun
keepalive 10 120

Log
status "C:\\Program Files\\OpenVPN\\log\\openvpn-status.log"
log "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
log-append "C:\\Program Files\\OpenVPN\\log\\openvpn.log"
verb 3

Ergänzung (31. Januar 2016)

PS
das "iroute 192.168.10.0 255.255.255.0" habe ich rausgenommen, da sich sonst der Client nicht verbindet, per VPN.
Komisch ist nur, das es bei einem Client geht :-(

 

[Raijin]

Die Fritzbox hat mit dem VPN nichts zu tun. Ich frage mich allerdings gerade warum du 2 VPN-Clients im selben Netzwerk hast. Das erscheint mit wenig sinnvoll. Besser wäre es, einen davon als VPN-Gateway einzusetzen und vom zweiten lediglich eine Route über den ersten zu setzen. Quasi "route vpn-ips über PCxy, weil der die VPN-Verbindung hat". Das erübrigt dann im Prinzip jedwede clientspezifische Konfiguration im Server, weil es nur einen Server und einen Client gibt.


Fakt ist: Einer der VPN-Clients muss als Gateway ins 192.168.10.0 Netzwerk fungieren. Statt das direkt über eine Option in der .conf zu machen, kannst du das zum Testen auch erstmal manuell machen, um dann bei erfolgreicher Verbindung dann die korrekte Einstellung für die .conf zu finden.

Wenn ein Client mit dem VPN verbunden ist, richte auf dem Server manuell eine Route wie folgt an:

Ziel: 192.168.10.0 / 255.255.255.0
Gateway: 192.168.15.x (<- die VPN-IP des Clients)

Sofern der Server nicht selbst irgendwo ein 192.168.10.0 Netzwerk hat, sollte er die Route anstandslos akzeptieren. Akzeptiert er die Route nicht, dann schaue dir seine Routingtabelle an ob evtl schon eine ähnliche Route vorhanden ist (zB weil er ne zweite LAN-Karte hat, die im 10er unterwegs ist). Ist die Route korrekt eingefügt, pingst du mal den Drucker. Vermutlich wird das nicht gehen, weil

a) der Ping zum Client geleitet wird, der aber nicht weiterleitet (IP forwarding = 0)
b) der Ping beim Drucker ankommt, die Absendeadresse ist aber 192.168.15.1 und die kennt der Drucker nicht -> Antwort an das Default-Gateway, die Fritzbox. Die hat wiederum keinen Plan vom VPN.

Im Falle von a) muss man im Client IP forwarding aktivieren. Anleitungen zu Windows/Linux gibt's bei google. Ohne diese Einstellung routet das Betriebssystem nicht, sondern verwirft die Pakete, weil sie nicht für den PC bestimmt sind.

Wenn a) sichergestellt ist, kommt b) zum Tragen. Um den Rückweg zu gewährleisten gibt es verschiedene Möglichkeiten:

- Eine Route ins VPN im Drucker bzw. jedem via VPN erreichbaren Gerät selbst hinterlegen. Das ist bei Druckern, etc oft nicht möglich und der Wartungsaufwand zudem recht hoch, weil man jedes Gerät entsprechend konfigurieren müsste.
- Eine Route ins VPN in der Fritzbox. Nun antwortet der Drucker der Fritzbox und diese routet zum Client im LAN, der ins VPN routet. Die Fritzbox bekommt nicht mit, wenn der Tunnel down ist, weil die Route statisch ist. Im Zweifelsfalle hat man also eine nutzlose Route, die unter Umständen unvorhergesehene Folgen haben kann. Zudem macht ein Router-Tausch das System kaputt und im worst case sprechen wir uns in 2 Jahren wieder, weil du nu ne neue Fritzbox bekommen und die Route vergessen hast. Ich tippe mal auf einen Thread "Kann plötzlich nicht mehr über VPN drucken"
- NAT. Der VPN-Client, der als Gateway ins LAN fungiert, bekommt NAT spendiert. Dabei arbeitet er wie ein Internetrouter, indem er Daten aus dem VPN mit seiner eigenen Absender-IP aus dem LAN versieht. Der Drucker denkt also der PC will drucken und antwortet auch dem PC. Dass dieser das dann wieder ins VPN leitet, bekommt der Drucker gar nicht mit, für ihn ist alles LAN-intern.


Ich persönlich löse das mit NAT, um von den übrigen Netzwerkgeräten unabhängig zu sein. Natürlich muss man bei einem Client-Tausch (neuer PC, eues OS, etc) auch wieder IP forwarding und NAT aktivieren, aber ist naheliegender, weil man nun mal einen direkten Teilnehmer des VPN austauscht.


Wenn das so erstmal läuft, kannst du dich darum kümmern, die zuvor manuell hinzugefügte Route im Server automatisch beim Verbinden des Clients hinzuzufügen. Klappt es mit dem ccd und der spezifischen iroute-Anweisung nicht, kann man das auch über ein Script lösen, welches beim Connect ausgeführt wird und prüft welcher Client sich verbunden hat (=> normaler route add Befehl des Server-OS).

Ergänzung (31. Januar 2016)

Hab den ersten Abstatz nochmal ergänzt.