Win11 & OpenVPN: Connected, aber danach keinerlei Verbindungen möglich - weder intern noch extern?

[DS111-User]

Ein Kollege hat auf seiner Synology den OpenVPN-Server für einen Zugriff auf Fotos für mich aktiviert und mir eine openvpn.zip-Datei samt Zugangsdaten geschickt.

Auf einem frisch installierten Windows 11 in einer virtuellen Maschine habe ich den OpenVPN-Client openvpn-connect-3.4.2.3160_signed.msi für Windows heruntergeladen und installiert. Dann die Konfigurationsdatei VPNConfig.ovpn importiert, den VPN-Benutzernamen und VPN-Passwort eingetippt und verbunden.
Es erscheint zwar eine Meldung von wegen "missing external Certifcate", aber ich kann trotzdem connecten und der Verbindungssschiebe-Regler in OpenVPN wird grün und gelbe und rote Datenkurven in "Connections Stats" erscheinen.

ABER:
Sobald diese Verbindung steht, wechselt mein LAN-Zeichen unten rechts in Windows 11 auf eine Weltkugel.
Ab dann kann ich weder eine IP-Adresse aus dem Netz meines Freundes anpingen (Router 192.168.178.1 oder NAS 192.168.178.215) noch eine externe Adresse wie google.com.
Auch im Edge kann ich keine Webseiten aufrufen.

Windows 11 zeigt auf IPCONFIG eine Adresse 10.8.0.6 (automatisch erhalten vom OpenVPN-Server des Kollegen?)

2 Fragen:
a) Was muss ich einstellen, damit ich das freigegebene Foto-Verzeichnis auf dem NAS verbinden kann?
b) Was ist nötig, damit ich z.B. google.com im Browser via VPN aufrufen kann?

 

[maxblank]

Dann hat dein Kollege wahrscheinlich eingestellt, dass der komplette Traffic durch den Tunnel geht, auch dein Internetverkehr.
Zusätzlich dann wahrscheinlich noch eine Fehlkonfiguration (wahrscheinlich in den Routen) drin, so dass sein Netzwerk und auch das Internet für dich nicht erreichbar ist.

Mach mal von deinem PC mit verbundenen VPN ein tracert über Cmd auf die 8.8.8.8 und Google.com. Ausgabe hier posten.

 

[DS111-User]

Worauf soll ich ihn konkret ansprechen?
Welche Einstellungen müsste er als erstes checken?

 

[maxblank]

Das kann ich ohne die Infos und Tests, die ich oben angesprochen, nicht sagen.

 

[DS111-User]

Sorry, Deine letzte Linie habe ich zuerst nicht gesehen.

Hier die CMD-Resultate für tracert auf 8.8.8.8 und google.com:

tracert 8.8.8.8

Routenverfolgung zu dns.google [8.8.8.8]
über maximal 30 Hops:

  1    10 ms    10 ms    10 ms  10.8.0.1
  2     *        *        *     Zeitüberschreitung der Anforderung.
...
 29     *        *        *     Zeitüberschreitung der Anforderung.
 30     *        *        *     Zeitüberschreitung der Anforderung.


Ablaufverfolgung beendet.

Das gleiche für google.com:

tracert google.com

Routenverfolgung zu google.com [172.217.168.78]
über maximal 30 Hops:

  1    10 ms    10 ms    10 ms  10.8.0.1
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
...
 29     *        *        *     Zeitüberschreitung der Anforderung.
 30     *        *        *     Zeitüberschreitung der Anforderung.

Ablaufverfolgung beendet.

Hier noch das Logfile aus dem OpenVPN-Client:

 

[maxblank]

Er soll sich mal die Routen-Konfiguration im VPN anschauen.

 

[DS111-User]

Kannst Du das bitte ein wenig konkretisieren?
Wo genau auf der Synology soll er was anschauen bzw. ändern?

 

[maxblank]

Den Bereich prüfen:
Add Routes:
192.168.178.0/24
10.8.0.0/24
10.8.0.1/32
Exclude Routes:
DNS Servers:
Search Domains

Laut dem Tracert kommt die VPN-Verbindung nur bis zum Gateway und dann scheint Schicht im Schacht zu sein.

 

[DS111-User]

Da wir beide leider keine Netzwerk-Spezialisten sind, kannst DU vielleicht mit diesen Angaben aus dem verbundenen Windows 11 etwas anfangen?
Links die Angaben von route print ohne VPN, rechts die Angaben nach erfolgreichem OpenVPN-Connect:

 

[maxblank]

Bin momentan im Schwimmbad und nur mit dem Smartphone online. Kann ich mir ab Sonntag nach meinem Urlaub gerne detailliert am PC anschauen.

 

[maxblank]

Gib mir bitte noch mit, welche Router ihr beide einsetzt und welche internen IP-Kreise ihr jeweils benutzt.

 

[DS111-User]

Er hat eine FB 5490, ich eine 5590.
Er hat 192.168.178.1 bis 255, ich 192.168.1.1 bis 255.
Sein OpenVPN verteilt mir eine 10.8.0.6 und höher.

 

[DS111-User]

@maxblank
Du kannst weiter schwimmen und mein Problem vergessen.

Es lag an seiner Synology Firewall.
Dort gab es zwar bereits einen Eintrag für VPN. Aber nur für den Bereich, den L2TP/IPsec standardmässig verwendet (10.2.0.0).
Nachdem er nun auch noch einen zusätzlichen Eintrag für das OpenVPN-Subnetz hinzufügte (10.8.0.0), funktioniert mein Zugriff einwandfrei.

Resultat:
a) Ich kann das Foto-Verzeichnis verbinden (allerdings nur über die IP-Adresse seines NAS, nicht über den Namen. Aber das ist nicht weiter schlimm).
b) Im Browser kann ich alle Seiten aufrufen und als IP-Adresse wird bei wieistmeineip.de seine externe IP-Adresse angezeigt (was mir bestätigt, dass auch der Internet-Verkehr über VPN und seinen Anschluss läuft.)

Für diese Problemlösung klopfe ich mir nicht selber auf die Schultern, sondern Danke aus der Ferne dem Schreiber dieser Antwort.

 

[maxblank]

Den Bereich prüfen:
Add Routes:
192.168.178.0/24
10.8.0.0/24
10.8.0.1/32
Exclude Routes:
DNS Servers:
Search Domains

Laut dem Tracert kommt die VPN-Verbindung nur bis zum Gateway und dann scheint Schicht im Schacht zu sein.

Ja, hatte hier ja auch bereits geschrieben.
Super, dass es läuft. Aber dein Internetverkehr muss doch nicht durch euren Tunnel, passt das noch an.

Bezüglich der Namensauflösung musst ihr nach DNS schauen.

 

[DS111-User]

Ja, hatte hier ja auch bereits geschrieben

Naja, von "Firewall auf Synology checken" habe ich da jetzt nichts gelesen, aber Danke trotzdem für Deine Bemühungen!

 

[maxblank]

Alles gut. Hauptsache, es läuft jetzt.