OpenVPN: kein default gateway auf Windows 10



  • Hallo!
    schon seit jahren versuche ich mich immer mit openvpn, nie klappte es.
    Heute ein erneuter Anlauf. Nach einer Anleitung. Kann man ja auch nicht viel falsch machen.

    Es ist jedoch wie verhext: Es klappt wieder nicht. Auf dem Win10 Rechner, der client ("roadwarrior") kommt keine Default-Route. Habe im OpenVPN Server ein Netzwerk 192.168.8.0/24 eingestellt. Der Client bekommt auch eine IP (.2) und 2x DNS

    1.1.1.1 und 1.0.0.1

    Aber auch wenn ich die default route in windows auf die .1 setze geht es nicht, .1 lässt sich auch nicht pingen.
    Im Firewall - Log deutet auch nichts auf block hin.

    Gibts da noch einen Trick?
    Freue mich sehr über sachdienliche Hinweise.

    Viele Grüße
    sensemann

    t



  • Hallo!

    @sensemann said in OpenVPN: kein default gateway auf Windows 10:

    kein default gateway auf Windows 10

    Möchtest du denn das auch?
    Also du hast "Redirect gateway" in den Servereinstellungen gesetzt?
    Die Regeln am OpenVPN interface erlauben den Zugriff? Wenn ja, sollte die Server-IP auf Pings antworten.

    Wie sieht denn die Routing Tabelle am Client aus?



  • ja, ich möchte dass der gesamte traffic vom notebook durch das VPN geht und dann von pfSense ins inet. am besten noch Zugriff auf das pfSense-LAN.

    ja IPv4 redirect gateway ist an
    im Grunde wie hier bin ich vorgegangen:
    https://www.biteno.com/tutorial/openvpn-auf-einer-pfsense-firewall-einrichten/

    „push route 192.168.2.0 255.255.255.0″ (das ist das LAN) habe ich auch reingenommen. brachte aber nix.

    Das habe ich auch gemacht:
    OpenVPN User Gruppe bearbeiten
    Assigned Privileges
    Add
    User – VPN: IPSec xauth Dialin



  • vllt muss ich hide.me vpn deinstallieren?
    2019-04-25_00h29_08.png

    Log:

    Thu Apr 25 00:25:55 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]2.xxxx
    Thu Apr 25 00:25:55 2019 UDP link local (bound): [AF_INET][undef]:0
    Thu Apr 25 00:25:55 2019 UDP link remote: [AF_INET]XXX
    Thu Apr 25 00:25:55 2019 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1573', remote='link-mtu 1574'
    Thu Apr 25 00:25:55 2019 WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
    Thu Apr 25 00:25:55 2019 [XXXX] Peer Connection Initiated with [AF_INET]XXX
    Thu Apr 25 00:25:56 2019 AUTH: Received control message: AUTH_FAILED
    Thu Apr 25 00:25:56 2019 SIGUSR1[soft,auth-failure] received, process restarting
    Thu Apr 25 00:26:06 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX
    Thu Apr 25 00:26:06 2019 UDP link local (bound): [AF_INET][undef]:0
    Thu Apr 25 00:26:06 2019 UDP link remote: [AF_INET]XXX
    Thu Apr 25 00:26:06 2019 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1573', remote='link-mtu 1574'
    Thu Apr 25 00:26:06 2019 WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'
    Thu Apr 25 00:26:06 2019 [XXXX] Peer Connection Initiated with [AF_INET]XXX
    Thu Apr 25 00:26:07 2019 open_tun
    Thu Apr 25 00:26:07 2019 TAP-WIN32 device [Ethernet] opened: \.\Global{412DFDA8-A0B3-4170-9994-266663C06488}.tap
    Thu Apr 25 00:26:07 2019 Set TAP-Windows TUN subnet mode network/local/netmask = 192.168.8.0/192.168.8.2/255.255.255.0 [SUCCEEDED]
    Thu Apr 25 00:26:07 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.8.2/255.255.255.0 on interface {412DFDA8-A0B3-4170-9994-266663C06488} [DHCP-serv: 192.168.8.254, lease-time: 31536000]
    Thu Apr 25 00:26:07 2019 Successful ARP Flush on interface [11] {412DFDA8-A0B3-4170-9994-266663C06488}
    Thu Apr 25 00:26:07 2019 Blocking outside dns using service succeeded.
    Thu Apr 25 00:26:12 2019 Initialization Sequence Completed



  • @sensemann said in OpenVPN: kein default gateway auf Windows 10:

    Thu Apr 25 00:26:06 2019 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1573', remote='link-mtu 1574'
    Thu Apr 25 00:26:06 2019 WARNING: 'comp-lzo' is present in remote config but missing in local config, remote='comp-lzo'

    Diese Zeilen sehen nicht gut aus. Hast du das Client Export Tool verwendet, um die Konfiguration für den Client zu exportieren und das nach der letzten Einstellung am Server getan?
    Die Kompression würde ich erstmals deaktivieren.

    Hast du irgendwelche Advanced Options gesetzt?



  • Compression ist auf "disable compression, retain compression packet framing"
    pfsense 2.4.4-p2
    topology: subnet (ober besser net30?)

    advanced habe ich derzeit:
    route 192.168.2.0 255.255.255.0
    route 172.16.7.0 255.255.255.0
    push "redirect-gateway autolocal def1"

    (das push.. hat aber auch keine besserung gebracht)

    2019-04-25_08h19_54.png

    abe jetzt in lokaler config comp=lzo rein, nun kommt kein roter fehler mehr. ansonsten aber keine änderung :(



  • Hallo,

    Subnet sollte für alle aktuellen Clients passen.

    @sensemann said in OpenVPN: kein default gateway auf Windows 10:

    route 192.168.2.0 255.255.255.0
    route 172.16.7.0 255.255.255.0
    push "redirect-gateway autolocal def1"

    Diese Dinge sollten über die GUI-Optionen gesetzt werden und nie beides zusammen.
    'route' pusht die Route für das jeweilige Netz zum Client.
    'redirect-gateway' pusht die Standardroute.

    Nimm das wieder raus und setze oben bei "Redirect gateway" einen Haken.
    Einzelne Netze wären über "IPv4 Lokal Network/s" zu pushen. Für deine Routen würde der Eintrag so aussehen:

    192.168.2.0/24,172.16.7.0/24
    

    Aber wie gesagt, nie beides zusammen setzten. Wenn du also "Redirect gateway" muss das Feld "Lokal Network/s" erst leer sein.



  • "IPv4 Local network(s) " ist eh ausgeblendet, wenn "Redirect IPv4 Gateway" aktiv ist.

    habe jetzt nur noch "push "compress stub-v2"" in den custom options.
    keine Änderung. keine standard route.

    local config:
    dev tun
    persist-tun
    persist-key
    cipher AES-256-CFB
    ncp-disable
    auth SHA256
    tls-client
    client
    resolv-retry infinite
    remote XXX 21 udp
    setenv opt block-outside-dns
    lport 0
    verify-x509-name "XXX" name
    auth-user-pass
    pkcs12 connect-UDP4-21-vpnmobil.p12
    tls-auth connect-UDP4-21-vpnmobil-tls.key 1
    remote-cert-tls server
    compress



  • @sensemann said in OpenVPN: kein default gateway auf Windows 10:

    "IPv4 Local network(s) " ist eh ausgeblendet, wenn "Redirect IPv4 Gateway" aktiv ist.

    Es wurden hier Problem diskutiert, ausgelöst von einem Eintrag in "Local Network/s" und anschließendem Setzen des Hakens bei "Redirct Gateway".
    Der Fehler ist möglicherweise mittlerweile behoben, doch würde ich sichergehen und das "Local Network/s" leer lassen.
    Fakt ist, dass es in deinem Client Log kein Anzeichen von einem Versuch gibt, die Routen zu setzen.

    Noch einmal meine Empfehlung:
    Verwende nach Möglichkeit die GUI, um den Server zu konfigurieren, da kann man weniger Fehler machen.
    Nichts von dem, was du bislang in den "Advanced Options" eingetragen hast, wäre nicht auf der GUI zu konfigurieren gewesen.
    Einzelne Optionen in den "Advanced Options" sind übrigens mittels ";" zu trennen, nicht durch Zeilenumbruch.

    Und verwende das "Client Export Tool" (zusätzl. Package), um eine korrekte Client Konfiguration zu erhalten.

    Für die Kompressions-Einstellung verwende das Droptown "Compression" am Server.
    Es wird aktuell empfohlen, diese auf "disabled" zu stellen (compress).

    "push "compress stub-v2" und "compress" ist nicht dasselbe!
    Doch du verwendest am Server das eine und am Client das andere.
    🙄


  • LAYER 8 Moderator

    Ich würde da auch mal so vorgehen:

    • Alles wegwerfen
    • Nicht irgendwelche seltsamen oder alten Tutorials von Anno-Tuk nutzen
    • Die eigene DOKU bzw. das BUCH von pfSense nutzen(!)
    • Einfach mal mit dem integrierten Wizard(!) ein VPN erstellen und durchklicken
    • VPN Export Package installieren und Konfiguration exportieren
    • Testen

    Da kann man eigentlich kaum was falsch machen.
    Wenn man DANN mit einer working copy arbeitet und Änderungen macht - kein Problem. Aber einfach mal eine sinnvolle Basis herstellen die funktioniert. Ich konfiguriere/installiere bei Kunden ständig. OpenVPN selbst manuell eingerichtet ist für simple RoadWarrior Geschichten eine Affäre von max. 30min. Wenn man keine Zertifikate und Co. nutzt, sondern erstmal mit plain-user-password arbeitet sogar noch schneller.

    Im obigen Verlauf sehe ich einen Haufen advanced Options Kram der zu 99% nie gebraucht wird, wenn man einfach alles sauber durchkonfiguriert. Aber man kann sich damit viel zerschießen. Zudem sehe ich in den Client Logs (wenn sie das sind) nirgends, dass eine Route angenommen/empfangen wurde. Dazu würde ich die Server Logs kontrollieren (Verb 3 auswählen!) und nachsehen. Nachher ist da noch irgendwo ein Client Override oder sonstwas advanced reingebaut, was die Route(n) nicht zulässt oder weglässt.

    Einfach mal sauber von 0 anfangen ohne irgendwelche Fremdseiten-Howtos. Die machen hier in den Topics meistens mehr Fehler als Erfolg aus 🙄



  • Vielleicht solltest du nicht unbedingt Port 21 für den OpenVPN Tunnel nehmen sondern den Standardport 1194. Zusätzlich wird beim Gateway redirect der Zugriff auf alle Netze (lokal, extern) gewährt, wenn die FW Regel standardmäßig auf any to any steht. Weiter würde ich auch immer den Haken bei Force DNS cache Update setzen. Und zu guter letzt. Du brauchst keine öffentlichen DNS Server übergeben, wenn eh der gesamte Traffic über den Tunnel geht. Es wird dann logischerweise der DNS der Sense genommen. DNS übergeben macht eigentlich nur Sinn, wenn du mit dem Tunnel nur auf lokale Netze routest. Ich übergebe z.B meine ADS DNS Server, damit ich per Fernwartung auf meine Server mittels DNS-Namen zugreifen kann und mir nicht jede IP merken muss.


  • LAYER 8 Moderator

    @bahsig said in OpenVPN: kein default gateway auf Windows 10:

    Port 21

    😱 Dammich, der ging mir durch! Aye, das würde ich definitiv erstmal sein lassen. Zumal alles <1024 eindeutig spezifiziert ist, da reagieren je nachdem Provider oder andere Netzwerker ziemlich allergisch gegen. Zumal 21 eigentlich zu FTP gehört (auch wenn udp/21 wohl kaum/nicht genutzt werden wird).


Log in to reply