Seite 1 von 3
OpenVPN einrichtungs Schwierigkeiten
Verfasst: 10. Apr 2011, 16:35
von Crys
Edit:
=> neue Fragestellung,
siehe Post #19!
--------------------------------------------------------------------------------------------
Erst mal, ich habe diese Anleitung verwendet um den Server einzustellen, den Client stellt man unter Win7 anders ein: How-To: Herstellen einer VPN-Verbindung mit Netzlaufwerk
Mein Server ist ein HP X312 mit WHSv1 PP3, mein Client ist ein PC mit Win7 SP1 x86.
Der Server steht bei mir Zuhause, ist hinter einen Alice Router, bei dem ich alle Ports (1-5000 UDP&TCP) auf den Server freigegeben habe!
Mein Client ist mal im Uni WLAN, mal Zuhause am LAN (dann hinter ner Fritz!Box)!
Remotezugriff habe ich über die homeserver.com Hompapage ... also kann ich den Server vom Internet erreichen ... es geht dort alles, downloads als auch RemoteDesktop im IE ...
Wenn ich jetzt auf meinen PC mit Win7 eine VPN-Verbindung einrichte, dann gebe ich Adresse, Name und PW an ... er wartet ne gewisse Zeit, dann kommt Fehler 800, dass keine Verbindung hergestellt werden konnte! Das sowohl im Uni WLAN, als auch im Netzwerk Zuhause ...
Das selbe ist auch auf einem Vista x86 PC, von meinem Eltern ...
Ich habe mal versuchsweise die Win-Firewall am Server und Client deaktiviert, bringt auch nichts ... sonst ist bei beiden keine Firewall installiert ...
Daraus schließe ich, dass es nicht am Client liegt!?
Den Server habe ich aber so eingestellt, wie es in der Anleitung steht ... da ich nicht weiß, welche Ports ich freischalten sollte, habe ich ja auch mal alle Ports freigeschalten ... UDP als auch TCP ... von 1 bis 5.000 ...
Am WHS habe ich meinen Benutzer und den Administrator, bei "Einwählen" das Recht gegeben, eine "Verbindung gestatten"!
Bei "Routung RAS" habe ich sowohl den den WHS als DHCP getestet, als auch mit statischer IP ... beides mal das selbe ...
Was mache ich falsch?
Was kann ich noch machen?
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 10. Apr 2011, 17:49
von der-Leo
Also alle Ports hast du noch lange nicht freigeschalten.
Es gibt insgesamt 65.535. Aber das ist auch nicht so wild....
Bevor du jetzt los gehst und alle Ports freischaltest solltest du lieber nachsehen ob man bei deinem Router einen Rechner als DMZ angeben kann.
Auch wenn der Begriff falsch verwendet wird, und ich ihn deswegen nicht erklären werden, ist es wohl genau das was du suchst.
Jeglicher eingehender Verkehr den der Router nicht einem zuerst herausgegangenen Verkehr zuordnen kann wird auf diesen Rechner geleitet.
Das ist also so als würde man alle Port freischalten - nur eben viel einfacher.
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 10. Apr 2011, 18:19
von Crys
der-Leo hat geschrieben:Bevor du jetzt los gehst und alle Ports freischaltest solltest du lieber nachsehen ob man bei deinem Router einen Rechner als DMZ angeben kann.
Ist damit Demilitarisierte Zone gemeint!? Ein Gerät ohne Router Firewall usw. ... kann damit nichts anfangen!
Wenn das aber so ist, dann müsste es ja auch gehen, wenn ich alle Ports von 1 bis 65.535 frei schalte ... tut es aber auch nicht!
Der Router ist so ein billig Teil von Alice ... dort kann ich eh nur max. 5 Portbereiche weiterleiten ... des Teil hat einen extrem eingeschränkten Funktionsumfang!
Aber selbst bei der Fritzbox meiner Eltern wird DMZ kein einziges mal im Handbuch erwähnt ...
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 10. Apr 2011, 18:31
von sTunTe
Hallo.
Mal ganz ehrlich:
Sämtliche Ports freischalten bzw. den Server in die DMZ zu stellen, ist meiner Meinung nach grob fahrlässig.
Wozu jedem Scriptkiddie Tür und Tor öffnen???
Wie wäre es, wenn man stattdessen mit Sinn und Verstand an die Sache herangeht und nur die benötigten Ports freigibt?
Für den WHS wären das die TCP-Ports 80, 443, 4125.
Und für VPN TCP 1723 und (falls überhaupt möglich) GRE 47.
@Crys:
Google mal nach "Alice Router VPN".
Da scheint es wohl generell Probleme mit VPN zu geben.
Gruß
sTunTe
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 10. Apr 2011, 19:25
von Crys
@ sTunTe:
Natürlich ist das öffnen aller Ports Blödsinn, für den Alltagsbetrieb! Aber es ist die einzige Möglichkeit um herauszufinden, ob es wirklich an den Ports liegt ... genauso wie das deaktivieren der Firewall ...
Ich habe mal ein paar Artikel über Alice Router und VPN gelesen ... klingt ja viel versprechend
Ich habe auch gleich mal es mit einer PPPoP Verbindung probiert, geht natürlich nicht ...
Ich hätte auf die Leute höheren sollen, die mich vor Alice gewarnt haben ... ist alles war
Laut Alice wär an meinen Standort 50MBit möglich, wir haben 16MBit genommen, ankommen tut ~6MBit ... tja
Ich schau mir noch mal morgen den Router an ... aber so wie es aussieht komm ich ja um einen andren Router nicht herum!
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 10. Apr 2011, 19:45
von der-Leo
Es gibt Router die können einfach kein GRE.
Wenn man ein VPN betreiben will welches das nutzt ist man damit dann aufgeschmissen.
Es dürfte helfen auf ein anderes VPN auszuweichen.
Ich würde dir OpenVPN empfehlen.
Das benötigt nur einen einzigen Port welchen du selbst festlegen kannst.
Und du kannst sogar selbst entscheiden ob du TCP oder UDP nutzen willst.
Dafür lässt sich normalerweise durch jeden Router ein Loch schiessen.
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 10. Apr 2011, 22:11
von Peter Z.
Da ich mich das ganze Wochenende mit fast dem gleichen Problem beschäftigt habe, hier folgende Erfahrung:
- eine VPN Verbindung lässt sich über ein Alice Modem (bei mir das WLAN 1121)erstellen, habe nur zusätzlich Port TCP 1723 geöffnet.
- Das GRE Protokoll wird dann aber gebraucht um Zitat aus How-To:
.legt euch dann ein Netzlaufwerk an, so dass ihr auf die Freigabe am WHS so zugreifen könnt, als ob er neben euch stünde. Und das unterstützt mein Alice Modem nicht.
- Definitiv sollte aber eine VPN Verbindung sich aufbauen lassen, wenn sie auch so nicht viel nutzt.
Da ich Zuhause nur einen den einen Alice DSL Anschluss, habe lief der Test mit einem Notebook am UMTS Handy um quasi von draußen die Verbindung aufzubauen. Es hat funktioniert.
Zum Glück hat ein Bekannter aus Nürnberg noch eine Fritz Box übrig die er mir jetzt schickt.
Nach seiner Aussage gibt es jetzt für alle neuen 1&1 Kunden eine neue Fritzbox und deshalb sind zur Zeit Gebrauchte sehr günstig zu haben(ca. 20,-).
Was mir noch nicht ganz klar ist bei dir, du hast Zuhause noch ein zweiten Internetanschluss (Fritzbox) mit für Client Rechner? Wieso probierst du die nicht mal am Server?
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 10. Apr 2011, 22:28
von JoachimL
Ich habe auch einen Alice-Anschluß, verwende aber eine Fritzbox 7112 - ohne Probleme (nicht ganz, ich habe bei VOIP je nach Tageszeit eine hohe Fehlerrate, das schiebe ich aber auf zu geringer Bandbreite beim Peering von Alice mit dem Rest der Welt). Das "Alice-Modem" (müßte die genaue Bezeichnung nachsehen) kann als Router nur TCP und UDP weiterleiten, GRE ist nicht vorgesehen, und damit gibt es Probleme bei VPN. Wenn man es als reines DSL-Modem verwendet (keine Zugangsdaten eingeben), dann entscheidet natürlich der Router hintendrann was er anbietet.
Gruß Joachim
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 11. Apr 2011, 08:39
von der-Leo
Lasst doch einfach die Finger vom MS eigenen VPN.
Wie schon gesagt bekommtm man ein SSL basiertes VPN eigentlich durch jeden Router durch.
Wenn die Verbindung steht ist es als wäre der Client-Rechner direkt am WHS angeschlossen.
Somit machen auch Netzlaufwerke und ähnliche Spielchen keinerlei Probleme.
Die Einrichtung ist zwar komplizierter, aber man hat danach einige Vorteile.
Bei OpenVPN beispielsweise, bekommt jeder User ein eigenes Zertifikat und nur damit kann er sich verbinden.
Ein zusätzliches Passwort kann auch gefordert werden. Und zwar für jeden einzelnen User ein eigenes.
Und wenn einer mal nicht mehr auf dem Server kommen soll kann man ganz einfach dem Server sagen dass er dessen Zertifikat nicht mehr annehmen soll.
Wenn man selbst nur einen einzigen Zugang braucht reicht das RAS vom WHS wohl aus.
Aber das muss jeder selbst entscheiden.
Wer Lust hat kann sich meine Meinung zu dem Thema hier durchlesen:
http://www.der-leo.de/2010/01/18/vpn-au ... icherheit/
Und wer sich dann für OpenVPN entscheidet findet in meiner Signatur die Links zu meinem HowTo um zu erfahren wie man OpenVPN auf dem WHS (v1) einrichtet.
Aber natürlich kann man sich auch nen neuen Router zulegen. Das ist immer eine Option.
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 15. Apr 2011, 22:12
von Crys
Ist jetzt ganz komisch ... ich habe den Alice Router gegen einen Router von Targa ausgetauscht, mit dem ich früher mal schon eine MS VPN Verbindung aufgebaut hatte ... geht aber jetzt mit dem auch nicht!
Ich bin jetzt wieder im selben Netzwerk wie der WHS und selbst wenn ich die Netzwerk IP Adresse eingebe, kann ich keine VPN-Verbindung herstellen ... also ich weiß jetzt echt nicht, was stimmt! Vielleicht liegt es auch am Win7, aber ich wüsste nicht wo! Die Einstellungen am Server habe ich 1zu1 aus der Anleitung befolgt ...
@ der-Leo:
Ich wollte nicht wieder eine VPN-Software installieren ... wenn ich es mit OpenVPN probiere, wenn ist es die 4te VPN-Software, die auch auf meinen Rechnen nutze ...
Aber ich probiere es mal mit OpenVPN ... mal schaun ob das wenigstens geht!
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 16. Apr 2011, 18:09
von Crys
Ich hab mal versucht OpenVPN zu Installieren, aber dass ist mir zu kompliziert ... zu viele Konsolen befehle und Einstellungen!
Jetzt habe ich einfach TeamViewer auf dem Server installiert ... das VPN klappt auf anhieb, auch ohne offene Ports am Router! Und ein RDP ist auch dabei ...
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 14. Mai 2011, 15:38
von Crys
@ der-Leo:
Ich habe mich jetzt lange und (denke ich) intensiv mit OpenVPN auseinandergesetzt, denn ich möchte das dennoch hinbekommen, da TeamViewer ab und zu Programme auf meinem WHS abschmieren lässt, wenn ich per VPN verbunden bin!
Ich habe ich es mal nach deinen Anleitungen probiert. Aber bei Teil 2 davon scheitert es bei mir!
Auf dem Server:
Code: Alles auswählen
port 5000
proto udp
dev tun
dev-node OpenVPN
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option WINS 10.8.0.1"
client-to-client
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
max-clients 10
persist-key
persist-tun
status openvpn-status.log
Auf dem Client:
Code: Alles auswählen
client
dev tun
proto udp
remote ###.homeserver.com 5000
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert chris.crt
key chris.key
ns-cert-type server
comp-lzo
So kann ich von meinem Netbook aus auf dem WHS per IP (10.8.0.1) zugreifen, aber nicht per WHS Namen (\\Server) und ich kann auch nicht von meinem WHS in irgend einer Form auf das Netbook zugreifen!
Das WHS Netzwerk hat den IP-Bereich "192.168.1.###". Das Client-Netzwerk hat (z.B.) den Bereich "192.168.178.###". Die "push rout" ist dann im Server Code so richtig?
http://www.der-leo.de/2010/02/04/how-to-openvpn-auf-dem-whs-pt-2/ hat geschrieben:Damit der VPN-Client auch erreichbar ist muss im lokalen Netz noch eine Route eingerichtet werden. Das kann man entweder auf jedem einzelnen Rechner machen, oder man macht es zentral auf dem Router. Wenn der das beherrscht ist das die einfachste Lösung. Wie man das genau macht muss jeder für sein Gerät selbst herausfinden. Wichtig ist dass das Zielnetzwerk 10.8.0.0 mit der Netzwerkmaske 255.255.255.0 über den WHS laufen sollen (also über dessen IP, z.B. 192.168.1.1).
Ich habe z.B. bei meinem Eltern eine FritzBox, nach was muss ich da ausschau halten, um das einzugeben? Wo finde ich das?
Noch eine Frage: Wenn ich mit meinem Netbook im Uni-Netzwerk bin ist das UDP Port 5000 nicht frei, sondern ich muss ein anderes Nutzen, muss ich dann eine extra Konfiguration schreiben und starten oder kann ich es so machen, dass OpenVPN aus Port X an der Uni raus geht und an Port 5000 bei meinem Router vor dem WHS ankommt?
Mein Ziel ist es eigentlich nur, dass ich vom Client aus auf dem WHS per Namen zugreifen kann! Umgekehrt ist nicht so wichtig!
Meine Daten:
Client PC: Eee PC 1000HE Win7 Prof. x86 SP2
OpenVPN: v2.2.0 | GUI v1.0.3
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 15. Mai 2011, 17:45
von der-Leo
Auf das Problem mit der Namensauflösung bin ich in der zweiten Hälfte von Teil 2 meiner Anleitung eingegegangen.
Da heisst es:
Und damit sind wir beim letzten Problem. Die Geräte sind derzeit eben nur mit ihrer IP-Adresse erreichbar. Wer keine festen IP-Adressen benutzt sondern diese per DHCP zuteilen lässt ist also aufgeschmissen. Denn die Namensauflösung funktioniert nicht. Auch bei festen IP-Adressen ist es nicht gerade sehr angenehm. Schliesslich müsste man von jedem Gerät eben diese kennen. Namen merkt man sich halt doch leichter.
Wie bekommen wir also noch eine funktionierende Namensauflösung hin?
Lies den Rest und du erfährst wie du es hinbekommst.
Ob man bei FritzBoxen eigene Routen anlegen kann weiß ich nicht.
Bei mir im Router gibt es bei den Netzwerkeinstellungen einen extra Punkt 'Route' und dort kann ich eigene Routen anlegen wie ich will.
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 6. Jun 2011, 15:57
von Crys
der-Leo hat geschrieben:... Lies den Rest und du erfährst wie du es hinbekommst.
Ob man bei FritzBoxen eigene Routen anlegen kann weiß ich nicht.
Bei mir im Router gibt es bei den Netzwerkeinstellungen einen extra Punkt 'Route' und dort kann ich eigene Routen anlegen wie ich will.
Ich habe jetzt an der Fritz!Box, an welcher der WHS per LAN angeschlossen ist, eine Route eingegeben:
Netzwerk: 10.8.0.0 | Subnetzmaske: 255.255.255.0 | Gateway: 10.8.0.1!
Der WHS hat die OpenVPN IP: 10.8.0.1 und die LAN-IP: 192.168.178.21!
Der Client II geht jetzt z.B. per 3G-Modem ins Internet! Ich kann OpenVPN starten und den Client mit dem WHS verbinden.
Der Client hat die OpenVPN-IP: 10.8.0.6! Ich komme vom Client auf dem Server, wenn ich ihn per IP (10.8.0.1) anwähle, per Namen komme ich nicht auf den Server!
Vom WHS komme ich weder per IP (10.8.0.6) noch per Namen auf den Client!
Alle Einstellen sind so wie oben gepostet ...
Was mache ich falsch?
Btw: Deine Links auf
How to: OpenVPN auf dem WHS pt.2 sind kaputt:
"
http://www.netz-forum.de/index.php/whs/whswinsserver" müsste "
http://www.netz-forum.de/whs/whswinsserver" heißen!
Re: Kann keine VPN-Verbindung herstellen
Verfasst: 6. Jun 2011, 18:25
von der-Leo
Du hast da einen Denkfehler.
Die FritzBox weiß nichts vom VPN-Netz.
Der WHS hat für die FB die IP 192.168.178.21.
Also musst du das Gateway für das Subnetz 10.8.0.0/255.255.255.0 auf die lokale IP des WHS setzen.
Falsch:
Netzwerk: 10.8.0.0 | Subnetzmaske: 255.255.255.0 | Gateway: 10.8.0.1!
Richtig:
Netzwerk: 10.8.0.0 | Subnetzmaske: 255.255.255.0 | Gateway: 192.168.178.21!