OpenVPN einrichtungs Schwierigkeiten

[Crys]

Danke, da hab ich wohl wirklich nicht weit gedacht.
Ich habe jetzt das Gateway am Router geändert, es funktioniert leider immer noch nicht ...
Ich habe die OpenVPN Software auch noch mal neu gestartet ... es ich kann den Server aber dennoch nicht mit Namen ansprechen ...

[der-Leo]

Wenn du den Server und andere Rechner nicht per Namen erreichst dann liegt es einfach daran dass die Namen nicht bekannt sind.
Für solche Fälle hatte Windows WINS an Bord.
Du musst den WHS als WINS-Server einstellen und bei den Clients einrichten. Dann sollte die Namensauflösung klappen.
Hast du das gemacht?

[Crys]

@ der-Leo:
... Ich habe ich es mal nach deinen Anleitungen probiert ...

Ich habe es so gemacht, wie es in deiner verlinkten Seite steht:

WINS-Server installieren:

1. Ggf. den WINS-Server über Start => Systemsteuerung => Software => Komponenten hinzufügen oder entfernen
=> Netzwerkdienste den Dienst WINS installieren

Hab ich beim WHS installiert, beim Clienten II ist es wahrsch. schon installiert (finde dazu keinen Eintrag unter Win7) ... bei 'Erweitert' unter 'TCP/IP Einstellungen' steht aber das selbe wie bei dem WHS. Beim WHS stand das aber auch schon, bevor ich den WINS Server installiert hatte!

2. Unter den TCP/IP Einstellungen der Netzwerkkarte (WHS) => Eigenschaften von Internetprotokoll (TCP/IP) auf "Erweitert..."
klicken. Auf die Registerkarte WINS wechseln
3. Unter WINS-Adressen die IP-Adresse des WHS hinzufügen.
4. NetBios über TCP/IP aktivieren

Bei WHS und Client II gemacht, bei beinen das selbe eingestellt:

5. den WHS neu booten

Den WHS und den Clienten!

Wenn ich beim Clienten keine Einstellungen unter WINS mache, dann kann auch auch nicht per IP auf den WHS zugreifen!

Ich habe jeweils die WINS-Einstellungen beim OpenVPN-Netzwerkadapter durchgeführt ... nicht beim Netzwerkadapter mit dem man ins Internet geht!

[der-Leo]

Hast du den Hinweis im letzten Comment beachtet?

Unter Windows aktiviert man die Weiterleitung in der Registry unter folgendem Schlüssel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
Hier finden man den Eintrag “IPEnableRouter” als Datentyp REG_DWORD. Setze den Wert auf 1.

Mehr würde mir dann auch nicht mehr einfallen.
Vorallem weil die Symptome bei dir sehr seltsam sin.
Über die IP sollte der VPN-Server grundsätzlich immer erreichbar sein. Damit hat WINS nichts zutun.
Auch die Routen haben damit nichts am Hut.
Die IP die man dafür benutzen muss ist aber nicht die des lokalen LANs, sondern die die der Server im VPN hat.
Wenn du ihn über seine lokale IP ansprechen willst, dann brauchst du auf dem Client die entsprechende Route.
Die brauchst du auch, damit andere Geräte im LAN erreichbar sind. Zusätzlich muss der hier oben genannten Eintrag in der Registry gesetzt sein.
Eine Route im LAN brauchst du nur wenn du willst dass die Geräte im LAN die per VPN angeschlossenen Clients erreichen können.
Bis hierhin funktioniert alles nur per IP-Adressen. Wichtig: Nur jeweils die IP-Adressen des von Gerät direkt verwendeten Netzwerks.
Der VPN-Client ist also nur über sein VPN-IP erreichbar.
WINS braucht man um die Windows-Rechner per Namen ansprechen zu können. Und nur dafür.
Bei dir scheint ja alles etwas anders zu laufen... deswegen kann ich dir leider auch nicht wirklich weiterhelfen.
Wenn alles richtig eingestellt ist, dann sollte es auch funktionieren.
Wobei ich leider auch zugeben muss, dass die Anleitung noch mit XP-Clients entstanden ist. Ob es bei Win 7 (oder auch Vista) an irgendeiner Stelle Probleme gibt, kann ich nicht sagen.

[Crys]

Ich möchte noch einmal dieses Thema aufgreifen ...

Jetzt hab ich seit längeren wieder mit OpenVPN und so herum gespielt ... es ist eig. alles gleich belieben, bis darauf:
- der Client PC hat nun WinXP Prof. SP3, auf den man kein WINS installieren kann
- der Router im WHS-Netzwerk ist jetzt eine Alicebox, in der man keine "Route" eingeben kann
- die Verbindung zwischen WHS und Client funktioniert bedingt, mit groben Problemen!

Die Probleme nun:
- Ich kann zwar vom Client auf den WHS zugreifen, aber nur per IP "\\10.0.8.0"! Liegt das daran, dann ich kein WINS auf dem ClientPC habe und/oder weil ich im WHS-Netzwerk-Router keine "Route" eingeben kann?
Ist es dennoch möglich, das ich per Namen "\\WHS" auf meinen WHS zugreifen kann?
- Wenn ich per OpenVPN eine Verbindung herstelle, dann kann ich auf meinem Clienten nicht mehr auf das Intranet zugreifen! D.h. ich kann auf die PC, die im selben Netzwerk sind wie mein ClientPC nicht mehr zugreifen, genauso wie ich vom ClientPC nicht mehr auf das Internet zugreifen kann!
Wieso das? Lässt sich das ändern?

[sTunTe]

Hallo.

WINS ist heute eigentlich nicht mehr nötig, da kaum noch jemand mit NetBios over TCP/IP arbeitet.
Stattdessen wird auf DNS gesetzt.

Da Du recht wenig zu Deinem momentanen Aufbau schreibst, kann man mal wieder nur raten, bzw. einen Blick in die magische Kristallkugel werfen...
Ich gehe mal davon aus, dass der WHS den OpenVPN-Server und der Alice-Router den DNS-Server spielt.
Wenn Dein Client jetzt übers WAN (VPN) eine Verbindung zum Server aufbaut, kann der Client den DNS-Namen des Servers nicht kennen, da dein Client keinen DNS-Server erreichen kann der den Server kennt.
Daher kannst Du den Server nur über seine IP ansprechen.
Der einfachste Weg dies zu ändern, wäre ein Eintrag in die Hosts-Datei des Clienten, mit einem Verweis auf den WHS.

Gruß
sTunTe

[JoachimL]

WINS ist heute eigentlich nicht mehr nötig, da kaum noch jemand mit NetBios over TCP/IP arbeitet.
Stattdessen wird auf DNS gesetzt.

Richtig, falsch. Richtig. Kaum jemand verwendet NetBIOS anders als über TCP/IP (also den Haken nicht ausmachen), aber WINS wird tatsächlich kaum noch eingesetzt. In den meisten Heimnetzen wird für NetBIOS aber immer noch Broadcast eingesetzt.
Gruß Joachim

[sTunTe]

... falsch....

Was ist denn an "da kaum noch jemand mit NetBios over TCP/IP arbeitet" falsch?
Oder worauf bezieht sich Dein Einwand?
Seit einschließlich Windows 2000 wird Netbios over TCP/IP (NBT) zumindest in Windows-Netzwerken nicht mehr eingesetzt.
Sämtliche SMB-Zugriff erfolgen über TCP.
Frag mich jetzt bitte nicht nach dem Port....
444 oder 445, wenn mich jetzt nicht alles täuscht...

Oder reden wir gerade fröhlich aneinander vorbei?!?
Ist ja nun auch schon ein paar Tage her wo ich das lernen musste...

Gruß
sTunTe

[JoachimL]

Was ist denn an "da kaum noch jemand mit NetBios over TCP/IP arbeitet" falsch?
Oder worauf bezieht sich Dein Einwand?

mein Verständnis ist, dass NetBios over TCP/IP zunächstmal heißt, dass NetBios nicht über IPX oder direkt auf Ethernet läuft, sondern in TCP/UDP eingepackt ist - und in dieser Definition ist NetBios zumindest zur Namensauflösung in SoHo Netzen noch sehr lebendig. Du kannst gerne WireShark anwerfen und mal UDP Port 137 mithören - wobei ich bei Dir fast vermute dass auch DNS läuft (bei mir auch), aber hast Du auch wpad eingetragen (ich nicht)? Das schließt nicht aus, dass SMB auch noch andere Ports verwendet und den Overhead von NetBIOS vermeidet.
Gruß Joachim

[sTunTe]

mein Verständnis ist, dass NetBios over TCP/IP zunächstmal heißt, dass NetBios nicht über IPX oder direkt auf Ethernet läuft, sondern in TCP/UDP eingepackt ist ...

Kommt darauf an von welchem NETBios(Protokoll) Du sprichst...
Unter Windows (NBT): ja.
Lies Dir mal folgendes durch: http://de.wikipedia.org/wiki/Netbios

... und in dieser Definition ist NetBios zumindest zur Namensauflösung in SoHo Netzen noch sehr lebendig.

Das kann und will ich auch garnicht ausschließen.
Zumal mir die genaue Funktionsweise bei den SoHo-Kisten nicht bekannt ist.
Ehrlich gesagt mache ich um die integrierten ... nennen wir sie mal vorsichtig "DNS-Server" ( zwinker, zwinker), soweit es geht einen riesen Bogen.
Zumal diese i.d.R. auch nicht managebar sind, ist das für mich das KO-Kriterium schlechthin.

wobei ich bei Dir fast vermute dass auch DNS läuft

Da AD vorhanden, selbstverständlich.
Sicherheitshalber habe ich gerade nochmal nachgesehen... Die Option 044 (WINS/NBNS Server) und 045 (NetBIOS over TCP/IP NBDD) sind nicht aktiviert.
Trotzdem (vielleicht auch deswegen ) läuft hier alles reibungslos.
Mir ist auch keine Anwendung bekannt, die heute noch auf NetBIOS setzt...

Aber selbst ohne AD würde ich kein Netzwerk (und sei es noch so klein) ohne eigenen (managebaren!!!) DNS-Server betreiben wollen.
Grund: siehe oben.

aber hast Du auch wpad eingetragen (ich nicht)?

Nö, wozu auch?
Proxyserver machen meiner Erfahrung nach eher Probleme, als das sie welche lösen würden.
Spätestens dann, wenn dieser nicht erkennt, dass z.B. eine Webseite aktualisiert wurde, geht das Gejammer bei den Usern los...
Aber was hat das jetzt mit dem eigentlichen Thema zu tun?!?

Gruß
sTunTe

[Crys]

Da Du recht wenig zu Deinem momentanen Aufbau schreibst, kann man mal wieder nur raten, bzw. einen Blick in die magische Kristallkugel werfen...

... es ist eig. alles gleich belieben, bis darauf:

Sprich, alles wie in diesem Thread beschrieben. Da ich nicht weiß was relevant ist, habe ich nicht das noch einmal erwähnt oder nen neuen Thread aufgemacht.

Ich gehe mal davon aus, dass der WHS den OpenVPN-Server und der Alice-Router den DNS-Server spielt.

Die IP "10.8.0.0" ist die VPN-IP, der Alice-Router hat dem WHS eine andere IP im Netzwerk zugeteilt (192.168.178.21).

Der einfachste Weg dies zu ändern, wäre ein Eintrag in die Hosts-Datei des Clienten, mit einem Verweis auf den WHS.

Ok, wie mache ich das?

Und wie kann ich mit meinem Client auf das Internet zugreifen, wenn eine VPN-Verbindung besteht?


Hier noch mal die OpenVPN config des WHS:

Code: Alles auswählen

port 5000
proto udp
dev tun
dev-node OpenVPN
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"
push "dhcp-option WINS 10.8.0.0"
client-to-client
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
max-clients 10
persist-key
persist-tun
status openvpn-status.log

Und hier die config des Clienten:

Code: Alles auswählen

client
dev tun
proto udp
remote ###.homeserver.com 5000
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert chris.crt
key chris.key
ns-cert-type server
comp-lzo

[sTunTe]

Ok, wie mache ich das?

Die Hosts-Datei findest Du unter

Code: Alles auswählen

C:\Windows\System32\drivers\etc

auf dem Clienten.
Diese lässt sich z.B. mit dem Editor (Notepad) öffnen und bearbeiten (Adminrechte!)
Dort trägst Du die IP und den Namen des WHS ein.

Und wie kann ich mit meinem Client auf das Internet zugreifen, wenn eine VPN-Verbindung besteht?

Keine Ahnung wie das bei OpenVPN aussieht.
Normalerweise vernetze ich nur komplette Netzwerke miteinander über VPN-fähige Router.
Da gibt es keine Probleme bei der Namensauflösung, da die DNS-Server "bescheid wissen" und auch entsprechende Routen eingetragen werden.
In seltenen Fällen kommt dann schonmal die VPN-Funktion von Windows zum Einsatz, um einzelne Rechner einzubinden.
Dort kann man dann eine Option aktivieren, dass "Internettraffic" über das eigene Gateway geleitet und nicht ins VPN-Netzwerk übertragen wird.
Soetwas sollte es auch bei OpenVPN geben...
An welcher Stelle bin ich aber überfragt.

Btw:
Wenn Du ohnehin den Server als VPN-Server nimmst, warum dann OpenVPN und nicht mit boardeigenen Mitteln?
Zugegeben: Das MS-VPN hat einige Schwächen, gerade in Bezug auf Verschlüsselung...
Falls das als Einwand herhalten sollte, stellt sich mir dann aber die Frage wie sicher Du den VPN-Zugang benötigst und ob es in Deinem Netzwerk nicht andere (leichter zu erreichende) Sicherheitslücken gibt?!?

Gruß
sTunTe

[Nobby1805]

@Crys: willst du jetzt (kannst du nicht) auf das Intranet zugreifen (dein 1. post) oder das Internet (dein letzter post) ??

poste mal ipconfig /all vom client

[Crys]

Die Hosts-Datei findest Du unter

Code: Alles auswählen

C:\Windows\System32\drivers\etc

auf dem Clienten.
Diese lässt sich z.B. mit dem Editor (Notepad) öffnen und bearbeiten (Adminrechte!)
Dort trägst Du die IP und den Namen des WHS ein.

Danke!
Wusste nicht, das Windows sich dadurch auch umleiten lässt, kannte das nur für Browser Umleitungen. Macht aber Sinn ...

Wenn Du ohnehin den Server als VPN-Server nimmst, warum dann OpenVPN und nicht mit boardeigenen Mitteln?
Zugegeben: Das MS-VPN hat einige Schwächen, gerade in Bezug auf Verschlüsselung...
Falls das als Einwand herhalten sollte, stellt sich mir dann aber die Frage wie sicher Du den VPN-Zugang benötigst und ob es in Deinem Netzwerk nicht andere (leichter zu erreichende) Sicherheitslücken gibt?!?

Auf die Sicherheit kommt es mir in erster Linie nicht an!
Hier im Forum wurde mir eben OpenVPN empfohlen ...
Mit MS Mitteln habe ich das noch nicht Probiert, wollte mich da jetzt nicht auch noch einarbeiten, wenn OpenVPN zumindest halbwegs funktioniert

Ich habe es mal nach dieser Anleitung probiert:
http://www.home-server-blog.de/hilfe/ho ... zlaufwerk/
Damit ging es aber nicht (weiß nicht mehr wieso)!
Meinst du damit bekomme ich die VPN-Verbindung so hin, wie ich es will? (Also den WHSv1 mit meinen Win7 und WinXP PCs verbinden, dass aber nur die PC mit dem WHS verbunden sind und die PCs nicht das eigene Intranet verlieren)

@Crys: willst du jetzt (kannst du nicht) auf das Intranet zugreifen (dein 1. post) oder das Internet (dein letzter post) ??

Beides!
Wenn ich nicht auf das Intranet zugriefen kann, dann kann ich auch nicht auf das Internet zugreifen. (Da ich ja nicht auf meinen lokalen Router zugreifen kann)
Ich möchte (wenn ich per OpenVPN verbunden bin) auf andere Rechner in meinem Netzwerk zugreifen, genauso wie auf das Internet!

poste mal ipconfig /all vom client

Geht leider gerade nicht, bin erst nach den Weihnachtsferien in meiner Uni-Wohnung.

[sTunTe]

Ich habe es mal nach dieser Anleitung probiert:
http://www.home-server-blog.de/hilfe/ho ... zlaufwerk/
Damit ging es aber nicht (weiß nicht mehr wieso)!

Mit dieser Anleitung hatten hier schon mehrere Probleme...
Keine Ahnung, ob sich da irgendwo ein Fehler eingschlichen hat...
Für VPN brauche ich keine Anleitung, sowas richte ich aus dem ff ein.

Als Alternative kann ich Dir diesen Artikel abieten:
http://support.microsoft.com/kb/323441/de
Vielleicht klappts ja damit.

Meinst du damit bekomme ich die VPN-Verbindung so hin, wie ich es will? (Also den WHSv1 mit meinen Win7 und WinXP PCs verbinden, dass aber nur die PC mit dem WHS verbunden sind und die PCs nicht das eigene Intranet verlieren)

Ob Du das hinbekommst, kann ich nicht garantieren...
Aus technischer Sicht gesehen funktioniert das aber.
Dass der "Internet-Traffic" nicht übers VPN-Netz gejagt wird, ist lediglich eine Einstellung beim Clienten und lässt sich in der VPN-Verbindung aktivieren.
Einziges Handicap: Ohne eigenen DNS-Server wirst Du damit leben müssen, dass es keine Namensauflösung gibt. Du musst also entweder über IP-Adressen arbeiten oder die Hosts-Datei des Clienten anpassen.
Das ist jedoch kein "MS-Problem"... bei OpenVPN dürftest Du die gleichen Einschränkungen haben.

Gruß
sTunTe