IP-Forwarding ist aktiviert. Es funktioniert trotzdem noch nicht. Wenn ich mit meinem Android Phone und der App "Fing" den Server nach Ports durchsuche bekomme ich keinen offenen Port 1194 angezeigt. Die restlichen eingerichteten Services werden aber richtig angezeigt.
Einrichtung OpenVPN
(Themenstarter)
Anmeldungsdatum: Beiträge: 98 |
|
Anmeldungsdatum: Beiträge: 603 |
Nee, so wird das auch nicht funktionieren. Zuerst ist es noch notwendig, auf dem Router den Port 1194 auf die IP des Rechners weiterzuleiten, auf dem OpenVPN läuft. Dann ist auf dem Router noch 1 Route einzurichten, und zwar das OpenVPN-Netz auf das OpenVPN-Gateway... also auch auf die IP des OpenVPN-Servers. Das finde ich auf meiner Fritzbox einmal unter Internet->Filter und unter Heimnetz->Netzwerkeinstellungen. Anschließend kopierst Du die Keys und Certs auf das Smartphone, lädtst per Download die OpenVPN-App runter und richtest die Smartphone-App korrekt ein. Ich empfehle Dir die Version von Arne Schwabe. Die läuft seit Jahren stabil und wird imho ordentlich gewartet.Die App steht auch bei Github und ist gemäß "GNU GENERAL PUBLIC LICENSE". Wenn alles richtig gemacht ist, müsste es klappen. Und beim ersten Verbindungsversuch solltest Du am Server sitzen und OpenVPN wie gehabt im Vordergrund starten. Dann siehst Du sofort die Meldungen beim Verbindungsaufbau. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 98 |
Wie ich eine Portweiterleitung im Router einrichte ist mir klar. SSH funktioniert so hervorragend. Das Problem ist, dass der Server den Port nicht wirklich öffnet. Dies meinte ich mit der App. Ich befinde mich im selben Netzwerk wie der Server und scanne dann die Ports vom Smartphone, und finde den Port 1194 nicht. Dann hilft auch keine Weiterleitung im Router;) Die OpenVPN Android-App, die ich verwende ist die OpenVPN Connent. Die App ist richtig eingerichtet und funktioniert mit einem anderen VPN an einem anderen Server-Standort hervorragend. Daher sehe ich das Problem immer noch an einem nicht richtig konfigurierten Server. Weiß aber nicht wonach ich gucken muss. |
Anmeldungsdatum: Beiträge: 13931 |
Dann starte mal auf dem Server, vor der Verbindung mit dem VPN-Client, : sudo tcpdump -c 20 -vvveni enp3s0 port 1194 Wie ist nach dem versuchten Aufbau der VPN-Verbindung (vom Client zum Server), die Ausgabe von tcpdump? |
(Themenstarter)
Anmeldungsdatum: Beiträge: 98 |
So ich habe den Fehler gefunden. Die Serverkonfiguration war doch richtig. Vielen Dank dafür. Der Fehler war, dass ich in der OpenVPN App die aktualisierte(habe den Port geändert) Config-File hätte neu importieren müssen. Warum mir die App "Fing" den Port nicht anzeigt verstehe ich nicht, aber egal. Jetzt habe ich aber noch weitere Fragen. 1. Besteht die Möglichkeit, dass ich ein Clientprofil so anlege, dass der ganze Traffic getunnelt wird, und eins indem ich nur Zugriff auf mein Netzwerk bekomme? 2. Kann ich auch eine IP aus dem IP-Netz des Router zugewiesen bekommen, und nicht die aus dem Netz 10.8.0.0/24? Wenn ja geht das dann auch mit beiden Möglichkeiten aus Frage 1? |
Anmeldungsdatum: Beiträge: 13931 |
Für den VPN-Tunnel (tun-Interface) hast die IP aus dem 10.8.0.0 und für das WLAN/LAN hat dein WLAN-/LAN-Interface eine IP aus dem Subnetz deines zuständigen Routers. Oder verstehe ich deine Frage nicht? |
(Themenstarter)
Anmeldungsdatum: Beiträge: 98 |
Ich möchte, das die VPN Clienten, eine IP aus dem gleichen Subnetz wie der Server zugewiesen bekommen. Sprich: Server bekommt vom Router die IP 192.168.168.99 Dann soll der VPN Server dafür sorgen, das die Clienten auch vom Router eine IP aus dem Subnetz 192.168.168.0/24 bekommen. Als Beispiel 192.168.168.120 |
Anmeldungsdatum: Beiträge: 13931 |
Im Ubuntuusers-Wiki für OpenVPN gibt es z. B. folgenden Hinweis: Das Netzwerk von Client und Server dürfen nicht den gleichen Adressbereich haben! Wenn der Client im Netzwerk 192.168.2.0 liegt und der Server auch, dann ist die Konfiguration nicht möglich! Siehe: https://wiki.ubuntuusers.de/OpenVPN/#LAN-eines-Clients-einbeziehen EDIT: Evtl. willst Du OpenVPN mit bridging (TAP-device) ? Siehe dann z. B.: http://wiki.openvpn.eu/index.php/Vergleich_TUN/TAP |
Anmeldungsdatum: Beiträge: 603 |
Ja, Du kannst auf dem Client-PC mehrere Profile einrichten, mit dem gleichen IP-Range und dem gleichen Port. Das heisst, Du musst nicht mal was besonderes tun, weil Du ja niemals beide Profile gleichzdeitig startest. Richte das erste Profil so ein, dass Du nur ins LAN kommst. Dann kopiere es mit einem neuen Namen und füge in die Kopie --redirect-gateway ein. Das ist hier eine Client-Option, im Gegensatz zum Push vom Server. Und schon kannst Du nacheinander beide Profile nutzen.
Nein, wozu soll das gut sein? Auf dem Router verbindet ja eine Route die beiden Netze, Du merkst keinen Unterschied. Ausserdem halte ich das auch für einigemaßen gefährlich, gerade weil 192.168.168/24 fast ein "offener" Standard-IP-Range ist. Nachher verbindest Du noch ungewollt das Netz zuhause mit dem Netz des WISP, wo Du dich gerade aufhälst. Sowas würde ich tunlichst unterlassen. Und ich würde mir gerade vor diesem Hintergrund auch mal Gedanken über das Netz 192.168.168/24 machen und überlegen, das auf ein 10'er Netz zu ändern. |
Anmeldungsdatum: Beiträge: 193 Wohnort: Neudau |
10.0.0.0/8 ist genauso ein privater IP-Range 😉 Michael |