OPEN-VPN Client kommt nicht ins Internet

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
williwindisch
Beiträge: 5
Registriert: 06.04.2020 21:17:51

OPEN-VPN Client kommt nicht ins Internet

Beitrag von williwindisch » 06.04.2020 21:25:36

Wenn ich mich mit meinem OPEN-VPN Client auf win10 zu meinem Server (Debian 10) verbinde klappt alles wunderbar! Doch es kommt keine Internetverbindung zu stande. Ich komme an der Stelle nicht weiter!

Hier die Server.conf

Code: Alles auswählen

local 193.70.49.85
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem
explicit-exit-notify

Hier die Client.conf (Zertifikate rausgeschnitten)

Code: Alles auswählen

client
dev tun
proto udp
remote 193.70.49.85 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
push "route 193.70.49.85 255.255.255.0"
ignore-unknown-option block-outside-dns
block-outside-dns
verb 3
<ca>


Und hier der Client LOG

Code: Alles auswählen

Mon Apr 06 21:24:43 2020 OpenVPN 2.4.8 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Oct 31 2019
Mon Apr 06 21:24:43 2020 Windows version 6.2 (Windows 8 or greater) 64bit
Mon Apr 06 21:24:43 2020 library versions: OpenSSL 1.1.0l  10 Sep 2019, LZO 2.10
Enter Management Password:
Mon Apr 06 21:24:43 2020 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Mon Apr 06 21:24:43 2020 Need hold release from management interface, waiting...
Mon Apr 06 21:24:43 2020 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Mon Apr 06 21:24:43 2020 MANAGEMENT: CMD 'state on'
Mon Apr 06 21:24:43 2020 MANAGEMENT: CMD 'log all on'
Mon Apr 06 21:24:43 2020 MANAGEMENT: CMD 'echo all on'
Mon Apr 06 21:24:43 2020 MANAGEMENT: CMD 'bytecount 5'
Mon Apr 06 21:24:43 2020 MANAGEMENT: CMD 'hold off'
Mon Apr 06 21:24:43 2020 MANAGEMENT: CMD 'hold release'
Mon Apr 06 21:24:43 2020 Outgoing Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Mon Apr 06 21:24:43 2020 Outgoing Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Apr 06 21:24:43 2020 Incoming Control Channel Encryption: Cipher 'AES-256-CTR' initialized with 256 bit key
Mon Apr 06 21:24:43 2020 Incoming Control Channel Encryption: Using 256 bit message hash 'SHA256' for HMAC authentication
Mon Apr 06 21:24:43 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]193.70.49.85:1194
Mon Apr 06 21:24:43 2020 Socket Buffers: R=[65536->65536] S=[65536->65536]
Mon Apr 06 21:24:43 2020 UDP link local: (not bound)
Mon Apr 06 21:24:43 2020 UDP link remote: [AF_INET]193.70.49.85:1194
Mon Apr 06 21:24:43 2020 MANAGEMENT: >STATE:1586201083,WAIT,,,,,,
Mon Apr 06 21:24:43 2020 MANAGEMENT: >STATE:1586201083,AUTH,,,,,,
Mon Apr 06 21:24:43 2020 TLS: Initial packet from [AF_INET]193.70.49.85:1194, sid=5c047379 60af30c4
Mon Apr 06 21:24:43 2020 VERIFY OK: depth=1, CN=ChangeMe
Mon Apr 06 21:24:43 2020 VERIFY KU OK
Mon Apr 06 21:24:43 2020 Validating certificate extended key usage
Mon Apr 06 21:24:43 2020 ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Mon Apr 06 21:24:43 2020 VERIFY EKU OK
Mon Apr 06 21:24:43 2020 VERIFY OK: depth=0, CN=server
Mon Apr 06 21:24:43 2020 Control Channel: TLSv1.2, cipher TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384, 2048 bit RSA
Mon Apr 06 21:24:43 2020 [server] Peer Connection Initiated with [AF_INET]193.70.49.85:1194
Mon Apr 06 21:24:44 2020 MANAGEMENT: >STATE:1586201084,GET_CONFIG,,,,,,
Mon Apr 06 21:24:44 2020 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Mon Apr 06 21:24:44 2020 PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route-gateway 10.8.0.1,topology subnet,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0,peer-id 0,cipher AES-256-GCM'
Mon Apr 06 21:24:44 2020 OPTIONS IMPORT: timers and/or timeouts modified
Mon Apr 06 21:24:44 2020 OPTIONS IMPORT: --ifconfig/up options modified
Mon Apr 06 21:24:44 2020 OPTIONS IMPORT: route options modified
Mon Apr 06 21:24:44 2020 OPTIONS IMPORT: route-related options modified
Mon Apr 06 21:24:44 2020 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Mon Apr 06 21:24:44 2020 OPTIONS IMPORT: peer-id set
Mon Apr 06 21:24:44 2020 OPTIONS IMPORT: adjusting link_mtu to 1624
Mon Apr 06 21:24:44 2020 OPTIONS IMPORT: data channel crypto options modified
Mon Apr 06 21:24:44 2020 Data Channel: using negotiated cipher 'AES-256-GCM'
Mon Apr 06 21:24:44 2020 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Mon Apr 06 21:24:44 2020 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
Mon Apr 06 21:24:44 2020 interactive service msg_channel=688
Mon Apr 06 21:24:44 2020 ROUTE_GATEWAY 192.168.2.1/255.255.255.0 I=15 HWADDR=9c:5c:8e:c0:10:a0
Mon Apr 06 21:24:44 2020 open_tun
Mon Apr 06 21:24:44 2020 TAP-WIN32 device [LAN-Verbindung] opened: \\.\Global\{8DDEFF1E-16D8-496A-8713-16F062A82FDE}.tap
Mon Apr 06 21:24:44 2020 TAP-Windows Driver Version 9.24 
Mon Apr 06 21:24:44 2020 Set TAP-Windows TUN subnet mode network/local/netmask = 10.8.0.0/10.8.0.2/255.255.255.0 [SUCCEEDED]
Mon Apr 06 21:24:44 2020 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.2/255.255.255.0 on interface {8DDEFF1E-16D8-496A-8713-16F062A82FDE} [DHCP-serv: 10.8.0.254, lease-time: 31536000]
Mon Apr 06 21:24:44 2020 Successful ARP Flush on interface [17] {8DDEFF1E-16D8-496A-8713-16F062A82FDE}
Mon Apr 06 21:24:44 2020 MANAGEMENT: >STATE:1586201084,ASSIGN_IP,,10.8.0.2,,,,
Mon Apr 06 21:24:44 2020 Blocking outside dns using service succeeded.
Mon Apr 06 21:24:49 2020 TEST ROUTES: 1/1 succeeded len=0 ret=1 a=0 u/d=up
Mon Apr 06 21:24:49 2020 C:\WINDOWS\system32\route.exe ADD 193.70.49.85 MASK 255.255.255.255 192.168.2.1
Mon Apr 06 21:24:49 2020 Route addition via service succeeded
Mon Apr 06 21:24:49 2020 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 128.0.0.0 10.8.0.1
Mon Apr 06 21:24:49 2020 Route addition via service succeeded
Mon Apr 06 21:24:49 2020 C:\WINDOWS\system32\route.exe ADD 128.0.0.0 MASK 128.0.0.0 10.8.0.1
Mon Apr 06 21:24:49 2020 Route addition via service succeeded
Mon Apr 06 21:24:49 2020 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Apr 06 21:24:49 2020 Initialization Sequence Completed
Mon Apr 06 21:24:49 2020 MANAGEMENT: >STATE:1586201089,CONNECTED,SUCCESS,10.8.0.2,193.70.49.85,1194,,
Mon Apr 06 21:24:56 2020 C:\WINDOWS\system32\route.exe DELETE 193.70.49.85 MASK 255.255.255.255 192.168.2.1
Mon Apr 06 21:24:56 2020 Route deletion via service succeeded
Mon Apr 06 21:24:56 2020 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 128.0.0.0 10.8.0.1
Mon Apr 06 21:24:56 2020 Route deletion via service succeeded
Mon Apr 06 21:24:56 2020 C:\WINDOWS\system32\route.exe DELETE 128.0.0.0 MASK 128.0.0.0 10.8.0.1
Mon Apr 06 21:24:56 2020 Route deletion via service succeeded
Mon Apr 06 21:24:56 2020 Closing TUN/TAP interface
Mon Apr 06 21:24:56 2020 TAP: DHCP address released
Mon Apr 06 21:24:56 2020 Unblocking outside dns using service succeeded.
Mon Apr 06 21:24:56 2020 SIGTERM[hard,] received, process exiting
Mon Apr 06 21:24:56 2020 MANAGEMENT: >STATE:1586201096,EXITING,SIGTERM,,,,,
Ich hoffe mir kann jemand helfen! LG

mat6937
Beiträge: 1925
Registriert: 09.12.2014 10:44:00

Re: OPEN-VPN Client kommt nicht ins Internet

Beitrag von mat6937 » 06.04.2020 22:01:23

williwindisch hat geschrieben: ↑ zum Beitrag ↑
06.04.2020 21:25:36
Wenn ich mich mit meinem OPEN-VPN Client auf win10 zu meinem Server (Debian 10) verbinde klappt alles wunderbar! Doch es kommt keine Internetverbindung zu stande.
Keine Internetverbindung mit dem Win10-Client? Willst Du über den Debian-Server ins Internet oder über deinen Router?
Im 1. Fall brauchst Du eine wirksame default route über den Debian-Server (inkl. forward) und im 2. Fall eine wirksame default route über deinen Router, auf deinem Win10-Client. Wie man das auf einem Win10-Client konfiguriert, kann ich dir aber nicht sagen.

TomL

Re: OPEN-VPN Client kommt nicht ins Internet

Beitrag von TomL » 06.04.2020 22:19:21

williwindisch hat geschrieben: ↑ zum Beitrag ↑
06.04.2020 21:25:36
Doch es kommt keine Internetverbindung zu stande.
Was bedeutet das?

Kommst Du auf dem Client nicht mehr im lokalen Netzwerk ins Internet, in dem der Client angemeldet ist?
Oder kommst Du nach der Verbindung zum Server mit dem Client nicht über den entfernten Heimrouter ins Internet?

Wenn es das zweite ist, musst Du Forwarding auf dem VPN-Server erlauben, weil solche Datenpakete ja nicht mehr für den VPN-Server als Ziel gedacht sind, sondern 'forward' weiter zum DSL-Router geroutet werden müssen. In dem Fall sind ausserdem Paketfilter-Regeln für ein SADDR-Masquerading auf die IP des Servers solcher Pakete notwendig.

williwindisch
Beiträge: 5
Registriert: 06.04.2020 21:17:51

Re: OPEN-VPN Client kommt nicht ins Internet

Beitrag von williwindisch » 06.04.2020 22:22:26

Ich möchte über den Debian Server ins Internet mit meinem Win10 Client von zuhause aus. Wie gesagt die Verbindung klappt zum Debian Server aber danach habe ich keine Internetzugang mehr. LG
Die Internetverbindung bricht nur ab wenn ich mich mit dem Win10 Client auf den Debian Server verbinde!

TomL

Re: OPEN-VPN Client kommt nicht ins Internet

Beitrag von TomL » 06.04.2020 22:28:29

williwindisch hat geschrieben: ↑ zum Beitrag ↑
06.04.2020 22:22:26
Die Internetverbindung bricht nur ab wenn ich mich mit dem Win10 Client auf den Debian Server verbinde!
Ja klar, das muss ja auch so sein, weil Du das gepushed "redirected" hast. Dann wird vermutlich forwarding und die Paketfilter-Regeln fehlen.

# sysctl -a | grep ipv4 | grep forwarding
sollte für das physische Netzwerkinterface auf "1" stehen

# iptables -L -nv
sollte passende Paketfilterregeln listen, mit denen das masquerading geregelt ist.

williwindisch
Beiträge: 5
Registriert: 06.04.2020 21:17:51

Re: OPEN-VPN Client kommt nicht ins Internet

Beitrag von williwindisch » 07.04.2020 08:56:52

# sysctl -a | grep ipv4 | grep forwarding
es kommt der folgende output:

Code: Alles auswählen

net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.tun0.forwarding = 1
net.ipv4.conf.tun0.mc_forwarding = 0
net.ipv4.conf.venet0.forwarding = 1
net.ipv4.conf.venet0.mc_forwarding = 0
und bei # iptables -L -nv kommt

Code: Alles auswählen

Chain INPUT (policy ACCEPT 25775 packets, 1175K bytes)
 pkts bytes target     prot opt in     out     source               destination 
11143 1645K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:1194

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination 
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 3698  266K ACCEPT     all  --  *      *       10.8.0.0/24          0.0.0.0/0   

Chain OUTPUT (policy ACCEPT 51164 packets, 2612K bytes)
 pkts bytes target     prot opt in     out     source               destination 
# Warning: iptables-legacy tables present, use iptables-legacy to see them
Was sollte ich nun tun damit es klappt mit dem Internet? LG

mat6937
Beiträge: 1925
Registriert: 09.12.2014 10:44:00

Re: OPEN-VPN Client kommt nicht ins Internet

Beitrag von mat6937 » 07.04.2020 09:16:48

williwindisch hat geschrieben: ↑ zum Beitrag ↑
07.04.2020 08:56:52
# sysctl -a | grep ipv4 | grep forwarding
und bei # iptables -L -nv kommt
Du brauchst:

Code: Alles auswählen

net.ipv4.ip_forward = 1
in der sysctl.conf und für das spezielle source-NAT (MASQUERADE), zeige die Ausgabe von:

Code: Alles auswählen

iptables -nvx -L -t nat
EDIT:

BTW: Aber nur am Server wird es m. E. nicht liegen. Es ist auch relevant wie dein WIN10-Client für den Internet-Zugang via VPN, konfiguriert ist.

williwindisch
Beiträge: 5
Registriert: 06.04.2020 21:17:51

Re: OPEN-VPN Client kommt nicht ins Internet

Beitrag von williwindisch » 07.04.2020 09:23:39

Code: Alles auswählen

net.ipv4.ip_forward=1
habe ich nun gesetzt in der /etc/sysctl.conf

Bei iptables -nvx -L -t nat kommt:

Code: Alles auswählen

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 SNAT       all  --  *      *       10.8.0.0/24         !10.8.0.0/24          to:193.70.49.85
       0        0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
# Warning: iptables-legacy tables present, use iptables-legacy to see them

mat6937
Beiträge: 1925
Registriert: 09.12.2014 10:44:00

Re: OPEN-VPN Client kommt nicht ins Internet

Beitrag von mat6937 » 07.04.2020 09:28:10

williwindisch hat geschrieben: ↑ zum Beitrag ↑
07.04.2020 09:23:39

Code: Alles auswählen

net.ipv4.ip_forward=1
habe ich nun gesetzt in der /etc/sysctl.conf

Bei iptables -nvx -L -t nat kommt:

Code: Alles auswählen

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 SNAT       all  --  *      *       10.8.0.0/24         !10.8.0.0/24          to:193.70.49.85
       0        0 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
Forwarding ist OK und bei den source-NAT-Regeln ist der Counter _noch_ auf Null.

williwindisch
Beiträge: 5
Registriert: 06.04.2020 21:17:51

Re: OPEN-VPN Client kommt nicht ins Internet

Beitrag von williwindisch » 07.04.2020 09:30:38

Und wie ändere ich dies jetzt? LG

mat6937
Beiträge: 1925
Registriert: 09.12.2014 10:44:00

Re: OPEN-VPN Client kommt nicht ins Internet

Beitrag von mat6937 » 07.04.2020 09:34:33

williwindisch hat geschrieben: ↑ zum Beitrag ↑
07.04.2020 09:30:38
Und wie ändere ich dies jetzt?
Naja, direkt ändern nicht. Ich wollte damit nur sagen, dass es entweder noch keinen VPN-Traffic gegeben hat, für den diese source-NAT-Regeln hätten "aktiv" werden müssen oder der VPN-Client ist nicht richtig konfiguriert oder ...

Antworten