OpenVPN Unter ubuntu: Komme auf keine website

[Pfandfinder]

hallo,

ich habe wie hier erklärt einen OpenVPN Server aufgesetzt: https://www.saadismail.net/installing-openvpn-user-with-username-password-authentication/

anfangs konnte mich nicht nicht verbinden, da der Port noch nicht in der firewall freigegeben war beim Hoster. jetzt klappt das aber, ich bin auch verbunden. Aber ich komme auf keine Website, es landet alles im Timeout - weder IP direkt oder eben google.de. Woran kann das jetzt liegen ? Hier mal die OpenVPN logs:

openvpn.log

Sat Jan 23 10:42:59 2021 87.XXXXX:58684 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384
Sat Jan 23 10:42:59 2021 87.XXXXX:58684 [vpn] Peer Connection Initiated with [AF_INET]87.XXXXXXX:58684
Sat Jan 23 10:42:59 2021 vpn/87.XXXXXXX:58684 MULTI_sva: pool returned IPv4=10.8.0.6, IPv6=(Not enabled)
Sat Jan 23 10:42:59 2021 vpn/87.XXXXXXX:58684 MULTI: Learn: 10.8.0.6 -> vpn/87.XXXXXXX:58684
Sat Jan 23 10:42:59 2021 vpn/87.XXXXXXX:58684 MULTI: primary virtual IP for vpn/87.XXXXXXX:58684: 10.8.0.6
Sat Jan 23 10:43:00 2021 vpn/87.XXXXXXX:58684 PUSH: Received control message: 'PUSH_REQUEST'
Sat Jan 23 10:43:00 2021 vpn/87.XXXXXXX:58684 SENT CONTROL [vpn]: 'PUSH_REPLY,redirect-gateway def1,dhcp-option DNS 1.1.1.1,dhcp-option DNS 9.9.9.9,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 0,cipher AES-256-GCM' (status=1)
Sat Jan 23 10:43:00 2021 vpn/87.XXXXXXX:58684 Data Channel: using negotiated cipher 'AES-256-GCM'
Sat Jan 23 10:43:00 2021 vpn/87.XXXXXXX:58684 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Sat Jan 23 10:43:00 2021 vpn/87.XXXXXXX:58684 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

openvpn-status.log

OpenVPN CLIENT LIST
Updated,Sat Jan 23 10:44:12 2021
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
vpn,87.XXXX:56151,16374,4219,Sat Jan 23 10:43:45 2021
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
10.8.0.6,vpn,87.XXXXXX:56151,Sat Jan 23 10:44:03 2021
GLOBAL STATS
Max bcast/mcast queue length,1
END

 

[andy_m4]

Wie weit kommt den traceroute ?

 

[Helge01]

Ohne mir das genauer anzusehen, funktioniert der Zugriff innerhalb des Netzwerkes? Existiert für die IP-Adresse vom VPN Client (10.8.0.6) eine Firewall Regel?

 

[Pfandfinder]

traceroute hier von Windows PC.

firewall habe ich noch gar nichts gemacht, nur beim IONOS panel gibts da Einstellungen aber nur für Ports.

liegt es vielleicht auch an iptables?

Die hab ich ja hinzugefügt:

sudo iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -s 10.8.0.0/24 -o eth0 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -o eth0 -j MASQUERADE

ip a:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens192: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:50:56:1b:91:71 brd ff:ff:ff:ff:ff:ff
    inet 87.XXX.XXX.XXX/32 brd 87.XXX.XXX.XXX scope global dynamic ens192
       valid_lft 39556sec preferred_lft 39556sec
    inet6 fe80::250:56ff:fe1b:9171/64 scope link
       valid_lft forever preferred_lft forever
5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
    link/none
    inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::66c2:51a3:3704:29b5/64 scope link stable-privacy
       valid_lft forever preferred_lft forever

eth0 habe ich ja gar nicht so wie ich das verstehe... welcher ist mein interface name?

 

[andy_m4]

traceroute hier von Windows PC.

Gibts auch unter Windows. da heißt es tracert

 

[Pfandfinder]

Gibts auch unter Windows. da heißt es tracert

ja habs ja unter windows ausgeführt... und vom Server per putty kann ich heise.de ja auch anpingen, nur bei einer VPN verbindung habe ich irgendwie kein Internet.

 

[andy_m4]

Wo hakt es denn nun? Ich meinte wie viel Hops schafft denn tracert nun?
Oder platt ausgedrückt:
Wenn auf Deinem Windows-PC
tracert www.heise.de ausführt, was ist dann die Ausgabe?

 

[Pfandfinder]

Die Ausgabe (während vpn Verbindung) hab ich bei #4 hochgeladen^^

 

[till69]

eth0 habe ich ja gar nicht so wie ich das verstehe

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -o eth0 -j MASQUERADE

Wenn kein eth0, kann das so^^^ nicht gehen.
Probier mal:

iptables -t nat -A POSTROUTING -j MASQUERADE

 

[Pfandfinder]

geht auch nicht

Edit: hä jetzt klappts doch, danke!

 

[Raijin]

Kleiner Tip: Du solltest dich mit iptables auseinandersetzen und die Befehle nachvollziehen können. Ich mutmaße mal, dass du einfach blind aus einem Tutorial abgetippt hast. Das birgt natürlich ein gewisses Risiko, weil das Tutorial im schlimmsten Fall grobe Fehler enthält.

Es wäre dir dann auch sofort klar gewesen warum es nicht geklappt hat. Logisch, wenn kein eth0 existiert, greift iptables mit eth0 Kommandos ins Leere.

 

[Pfandfinder]

aber was ich nicht verstehe: https://myip.is gibt die Server IP aus. eine .php mit

<?php echo $_SERVER['REMOTE_ADDR'];

gibt meine richtige IP aus.

Wieso ? Wie kann ich auch das tunneln ?

 

[Raijin]

Wenn du über eine OpenVPN-Verbindung surfen willst, muss der Client natürlich auch eine Route ins Internet über den VPN-Server haben. Das passiert in der Regel automatisch über eine Einstellung in der .ovpn Datei, sei es via push in der server.ovpn oder individuell in der client.ovpn.

redirect-gateway def1

 

[Pfandfinder]

ja klar. das geht ja auch wie gesagt für externe Webseiten. aber auf einer .php auf dem Server wo der Openvpn liegt wird mit <?php echo $_SERVER['REMOTE_ADDR']; meine echte IP angezeigt. ich will halt einen bereich nur intern erlauben und wollte daher mit PHP die IP checken.

 

[Raijin]

Hä? Sorry, das verstehe ich nicht. Deine externe IP checkst du zB mit ping.eu, wieistmeineip.de, checkip.dyndns.org oder dergleichen. Wenn du auf dem VPN-Server selbst so eine Webseite aufrufst, gibt sie natürlich die öffentliche IP des Clients an, weil das NAT - das Ersetzen der öffentlichen IP des Clients durch die öffentliche IP des VPN-Servers - erst stattfindet, wenn die Internetverbindung vom VPN-Server wieder ins www nach draußen geht!

Client (aa.aa.aa.aa) ---VPN---> VPN-Server
= VPN-Server bzw. Webserver auf dem VPN-Server sieht die öffentliche IP vom Client

Client (aa.aa.aa.aa) ---VPN---> VPN-Server (zz.zz.zz.zz) ---www---> ping.eu
= ping.eu sieht nur die öffentliche IP vom VPN-Server