OpenVPN Verbindung aber kein Internet

RaspaLaVista · January 16, 2017 at 3:42 PM

Hallo,
ich bin blutiger Anfänger und habe nun nach Anleitung OpenVPn auf dem Raspi installiert. Alles hat super funktioniert und ich kann eine Verbindung via DynDNS herstellen.
Das war es dann auch schon, wenn ich Internetseiten aufrufen möchte, passiert nichts.

Hier meine Einstellungen:

Fritzbox-IP (Gateway): 192.168.16.250 (DHCP aktiviert)
Raspi-IP (fest vergeben): 192.168.16.57
Client-IP (fest vergeben): 192.168.16.50

In der Fritzbox habe ich eine neue IPV4 Route angelegt:

Netzwerk: 10.8.0.0
SubNetz: 255.255.255.0
Gateway: 192.168.16.57
Portweiterleitung in der Fritzbox (UDP 1194) ist eingerichtet.

Als Client nutze ich Ubuntu 16.04.

Ich habe gelesen, dass die Einstellungen in der /etc/openvpn/openvpn.conf entscheidend sind.

Diese sieht bei mir so aus:

ev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
# WICHTIG: Hier die Datei entsprechend der Schlüssellänge (Schritt 3) eintragen
dh /etc/openvpn/easy-rsa/keys/dh4096.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 85.214.20.141"
push "dhcp-option DNS 8.8.8.8"
log-append /var/log/openvpn
comp-lzo

Kann mir jemand sagen, was ich in dieser Datei ändern/ergänzen muss, damit ich via VPN auch das Internet nutzen kann...oder müssen mehr Änderungen vorgenommen werden?

Viele Grüße

Bot · Vor 5 Minuten

OpenVPN Verbindung aber kein Internet? Schau mal ob du hier fündig wirst!

rpi444 · January 16, 2017 at 3:50 PM

Quote from RaspaLaVista

Als Client nutze ich Ubuntu 16.04.

..., damit ich via VPN auch das Internet nutzen kann...

Wie sind auf deinem Client (... mit dem Du via VPN ins Internet willst), die Ausgaben von:

Code

ip a
ip r
route -n

?

RaspaLaVista · January 16, 2017 at 6:42 PM

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp4s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 12:de:a5:b3:c2:44 brd ff:ff:ff:ff:ff:ff
inet 192.168.16.50/24 brd 192.168.16.255 scope global dynamic enp4s0
valid_lft 344391429sec preferred_lft 344391429sec
inet6 de44::35kj:3379:99h:957c/64 scope link
valid_lft forever preferred_lft forever
3: wlp2s0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether ba:66:47:5k:47:bc brd ff:ff:ff:ff:ff:ff

ip r

default via 192.168.16.250 dev enp4s0 proto static metric 100
169.254.0.0/16 dev enp4s0 scope link metric 1000
192.168.16.0/24 dev enp4s0 proto kernel scope link src 192.168.16.50 metric 100

route -n

Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.16.250 0.0.0.0 UG 100 0 0 enp4s0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 enp4s0
192.168.16.0 0.0.0.0 255.255.255.0 U 100 0 0 enp4s0

Bot · Vor einem Moment

rpi444 · January 16, 2017 at 6:49 PM

Quote from RaspaLaVista

Code

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.16.250  0.0.0.0         UG    100    0        0 enp4s0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 enp4s0
192.168.16.0    0.0.0.0         255.255.255.0   U     100    0        0 enp4s0

Das sind die Ausgaben ohne VPN-Verbindung. Wie sind die Ausgaben mit VPN-Verbindung?

RaspaLaVista · January 16, 2017 at 7:22 PM

Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 10.8.0.5 0.0.0.0 UG 50 0 0 tun0
0.0.0.0 192.168.16.250 0.0.0.0 UG 100 0 0 enp4s0
10.8.0.0 10.8.0.5 255.255.255.0 UG 50 0 0 tun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 50 0 0 tun0
Provider-IP 192.168.16.250 255.255.255.255 UGH 100 0 0 enp4s0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 enp4s0
192.168.16.0 0.0.0.0 255.255.255.0 U 100 0 0 enp4s0

rpi444 · January 16, 2017 at 7:50 PM

Quote from RaspaLaVista

Code

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.8.0.5        0.0.0.0         UG    50     0        0 tun0
10.8.0.0        10.8.0.5        255.255.255.0   UG    50     0        0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH    50     0        0 tun0

Wie ist auf dem VPN-Client, bei VPN-Verbindung, die Ausgabe von:

Code

ip a

?
Hast Du auf dem VPN-Server:

Code

sudo sysctl -w net.ipv4.ip_forward=1
sudo iptables -t nat -I POSTROUTING 1 -o <output-Interface> -s 10.8.0.0/24 -j MASQUERADE

konfiguriert?

Teste mal auf dem VPN-Server mit:

Bot · Vor einem Moment

RaspaLaVista · January 17, 2017 at 8:37 AM

ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp4s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 15:fd:c5:b9:f2:55 brd ff:ff:ff:ff:ff:ff
inet 192.168.16.50/24 brd 192.168.16.255 scope global dynamic enp4s0
valid_lft 315357991sec preferred_lft 315357991sec
inet6 fk90::23bd:3559:70e:457b/64 scope link
valid_lft forever preferred_lft forever
3: wlp2s0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether bk:88:44:9c:44:ec brd ff:ff:ff:ff:ff:ff
5: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
link/none
inet 10.8.0.6 peer 10.8.0.5/32 brd 10.8.0.6 scope global tun0
valid_lft forever preferred_lft forever

Ich habe diese Anleitung angewendet, da wird die Iptables berücksichtigt.

rpi444 · January 17, 2017 at 9:29 AM

Quote from RaspaLaVista

Ich habe diese Anleitung angewendet, da wird die Iptables berücksichtigt.

Wie sind auf deinem VPN-Server, die Ausgaben von:

Code

sysctl net.ipv4.ip_forward
sudo iptables -nvx -L -t nat

?
Von wo hast Du die Anweisungen für das Routing auf deinem VPN-Client?

Wird z. Zt. auf deinem VPN-Client, mit:

Code

host -t A myip.opendns.com 208.67.222.222

(oder gleichwertig) die externe/öffentliche IPv4-Adresse des Internetanschlusses deines VPN-Servers angezeigt?

RaspaLaVista · January 17, 2017 at 10:30 AM

net.ipv4.ip_forward = 1

Chain PREROUTING (policy ACCEPT 2847 packets, 426881 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 2626 packets, 408729 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 676 packets, 44948 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 676 packets, 44948 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * eth0 10.8.0.0/24 0.0.0.0/0

Code

host -t A myip.opendns.com 208.67.222.222

ja wird korrekt angezeigt

Ich vermute irgendwie, dass es an der Fritzbox liegen könnte? Ich weiß zwar auch nicht was ich da noch ändern/einstellen könnte, aber das kann doch nicht sein.

Ich befinde mich bei den ganzen Tests im internen Netzwerk...hat ja aber denke ich keinen Einfluss.

Bot · Vor einem Moment

rpi444 · January 17, 2017 at 10:33 AM

Quote from RaspaLaVista
Code
host -t A myip.opendns.com 208.67.222.222
ja wird korrekt angezeigt

Jetzt bin ich mir nicht sicher, ob Du meine Frage richtig verstanden hast. Wenn ja, dann sollte es doch schon richtig funktionieren, d. h. Du hast mit deinem VPN-Client, Internetzugang über den Internetanschluss des VPN-Servers.

RaspaLaVista · January 17, 2017 at 11:01 AM

Sorry war mein Fehler hatte den VPN nicht an

Code

host -t A myip.opendns.com 208.67.222.222

;; connection timed out; no servers could be reached

rpi444 · January 17, 2017 at 11:13 AM

Von wo hast Du die Anweisungen für das Routing auf deinem VPN-Client?

Quote from RaspaLaVista
Code
host -t A myip.opendns.com 208.67.222.222
;; connection timed out; no servers could be reached

Dein VPN-Client hat 2 default routen (was kein Fehler sein muss). Eine mit einer besseren metric über das tun0-Interface und eine mit einer ungünstigeren metric über deinen Router (als gateway).

ich verstehe das so, wenn die 1. default route nicht funktioniert, sollte die 2. default route genommen werden, was aber bei deinem VPN-Client (aus noch unbekannten Gründen) nicht passiert. Klar willst Du bei einer VPN-Verbindung, immer die default route mit dem tun0-Interface verwenden, aber was ist z. Zt. noch falsch weil die 2. default route nicht funktioniert (... im Moment ist das lediglich eine rhetorische Frage)?

Bot · Vor einem Moment

RaspaLaVista · January 17, 2017 at 11:39 AM

Das ist schon alles sehr mysteriös...wenn ich den Fritzbox internen VPN versuche, baut er die Verbindung auf, ich kann auch Internetseiten aufrufen, aber nach 15 Sekunden geht es nicht mehr.

rpi444 · January 17, 2017 at 11:47 AM

Quote from RaspaLaVista

....wenn ich den Fritzbox internen VPN versuche, baut er die Verbindung auf, ich kann auch Internetseiten aufrufen, aber nach 15 Sekunden geht es nicht mehr.

Das mit den "nach 15 Sekunden geht es nicht mehr.", bezieht sich das auf das FritzBox-VPN?

Zum 3. mal: Von wo hast Du die Anweisungen für das Routing auf deinem VPN-Client?

RaspaLaVista · January 17, 2017 at 8:37 PM

Ja das ist die Verbindung zur Fritzbox.

Eine genaue Client Konfigurationsseite habe ich nicht. Ich habe hier mal und da mal etwas gelesen. Ich poste dir jetzt mal die komplette Clientkonfiguration. Ich habe noch etwas geändert in der Conf, jetzt bekomme ich gar keine VPN-Verbindung mehr.

Habe vom VPN-Server diese Dateien heruntergeladen und auf dem Client in den Ordner /etc/openvpn/ kopiert. Root ist nun der Besitzer der Dateien.

- ca.crt
- client1.key
- meinname.ovpn
- client1.crt

Im gleichen Ordner liegt auch die client.conf

meinname.ovpn

Code

dev tun
client
proto udp
remote meinedyndnsurl.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 3

Display More

client.conf

Code

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server.     #
#                                            #
# This configuration can be used by multiple #
# clients, however each client should have   #
# its own cert and key files.                #
#                                            #
# On Windows, you might want to rename this  #
# file so it has a .ovpn extension           #
##############################################


# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client


# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun


# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one.  On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap


# Are we connecting to a TCP or
# UDP server?  Use the same setting as
# on the server.
;proto tcp
proto udp


# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote meinedyndnsurl.de 1194
;remote my-server-2 1194


# Choose a random host from the remote
# list for load-balancing.  Otherwise
# try hosts in the order specified.
;remote-random




# Keep trying indefinitely to resolve the
# host name of the OpenVPN server.  Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite


# Most clients don't need to bind to
# a specific local port number.
nobind


# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nogroup


# Try to preserve some state across restarts.
persist-key
persist-tun


# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here.  See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]


# Wireless networks often produce a lot
# of duplicate packets.  Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings


# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
ca ca.crt
cert client1.crt
key client1.key


# Verify server certificate by checking that the
# certicate has the correct key usage set.
# This is an important precaution to protect against
# a potential attack discussed here:
#  http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the keyUsage set to
#   digitalSignature, keyEncipherment
# and the extendedKeyUsage to
#   serverAuth
# EasyRSA can do this for you.
remote-cert-tls server


# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1


# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
;cipher x


# Enable compression on the VPN link.
# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1


# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
;cipher x


# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo


# Set log file verbosity.
verb 3


# Silence repeating messages
;mute 20

Display More

Bot · Vor einem Moment

rpi444 · January 17, 2017 at 9:53 PM

Quote from RaspaLaVista

Eine genaue Client Konfigurationsseite habe ich nicht. Ich habe hier mal und da mal etwas gelesen.

Dann ändere die default route mit dem tun0-Interface auf dem Client, in:

Code

sudo route add default gw 10.8.0.6 metric 50 dev tun0

Quote from RaspaLaVista

Ich habe noch etwas geändert in der Conf, jetzt bekomme ich gar keine VPN-Verbindung mehr.

Dann mache diese Änderungen wieder rückgängig.

RaspaLaVista · January 18, 2017 at 1:05 PM

So, hab ich gemacht....und plötzlich ging es!
VPN-Verbindung getrennt, danach konnte ich mit der normalen Verbindung keine Internetseiten mehr aufrufen. Auch das Neustarten des Networkmanagers brachte nichts...Rechner neu gestartet, dann konnte ich wieder ins Netz.

Heute habe ich einen anderen Client mal installiert und VPN eingerichtet...selbe Problem....dann habe ich den OpenVPN bei der Qnap aktiviert....gleiche Problem...VPN-Verbindung ja, aber kein Internet. So langsam weiß ich nicht mehr was ich machen soll. Das kann doch nicht sein, dass das sch**** VPN nicht funktioniert.

rpi444 · January 18, 2017 at 1:11 PM

Quote from RaspaLaVista

So, hab ich gemacht....und plötzlich ging es!
... Das kann doch nicht sein, dass das sch**** VPN nicht funktioniert.

Wieso, es geht doch, ... siehe deinen 1. Satz.

Wenn es geht und wenn es nicht geht, dann musst Du dir auf deinem VPN-Client, immer die Ausgabe von:

Code

route -n

anschauen und vergleichen. Dann wirst Du erkennen bzw. feststellen, warum es geht bzw. warum es nicht geht.

Bot · Vor einem Moment

RaspaLaVista · January 18, 2017 at 4:40 PM

Ich habe noch etwas gelesen und getestet...wenn ich auf dem Client

Code

openvpn --config meinvpn.ovpn

eingebe, meldet er ein Problem mit meinem DynDNSLink.

Code

Options error: Unrecognized option or missing parameter(s) in meinvpn.ovpn:26: meindyndns.com (2.3.10)

Jetzt habe ich den Dynlink mal direkt im Browser aufgerufen...sonst hat er mich direkt zur Fritzbox geleitet, jetzt lande ich auf dem Pi (Standard Apache Website).
Kann da der Fehler liegen? Was muss ich ändern, damit ich wieder auf der Fritzbox lande?

rpi444 · January 18, 2017 at 5:33 PM

Quote from RaspaLaVista
Code
Options error: Unrecognized option or missing parameter(s) in meinvpn.ovpn:26: meindyndns.com (2.3.10)
Jetzt habe ich den Dynlink mal direkt im Browser aufgerufen...sonst hat er mich direkt zur Fritzbox geleitet, jetzt lande ich auf dem Pi (Standard Apache Website).
Kann da der Fehler liegen? Was muss ich ändern, damit ich wieder auf der Fritzbox lande?

Naja, im VPN musst Du ja nicht "meindyndns.com" benutzen um einen Port 80 oder 443 zu erreichen (... egal ob PI oder FritzBox).

Oder willst Du den Webserver nicht über das VPN erreichen? Welchen Dienst deiner FritzBox willst Du mit meindyndns.com erreichen? Evtl. den Port 443 (... oder hast Du für HTTPS mit der FritzBox, einen anderen Port konfiguriert?)?

Participate now!