[solved] OpenVPN , NetworkManager: 2 default Routen Sicherheit?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

[solved] OpenVPN , NetworkManager: 2 default Routen Sicherheit?

Beitrag von ingo2 » 10.09.2018 18:49:34

Ich checke gerade mal von Unterwegs das Surfen via VPN über meinen Server zuhause.
Bin hier vom Laptop per WLAN mit einem fremden Router (Speedport) verbunden. Damit habe ich folgende Routing-Tabelle:

Code: Alles auswählen

Kernel-IP-Routentabelle:
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         Speedport.ip    0.0.0.0         UG    600    0        0 wlan0
192.168.2.0     0.0.0.0         255.255.255.0   U     600    0        0 wlan0
Ok. Wenn ich jetzt darüber den VPN-Tunnel zu meinem Server aufbaue, erhalte ich diese Routingtabelle:

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         10.8.0.5        0.0.0.0         UG    50     0        0 tun0
default         Speedport.ip    0.0.0.0         UG    600    0        0 wlan0
10.8.0.1        10.8.0.5        255.255.255.255 UGH   50     0        0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH    50     0        0 tun0
p4FEF1201.dip0. Speedport.ip    255.255.255.255 UGH   600    0        0 wlan0
192.168.2.0     0.0.0.0         255.255.255.0   U     600    0        0 wlan0
Speedport.ip    0.0.0.0         255.255.255.255 UH    600    0        0 wlan0
Was mich dabei stört, sind die 2 "default" Routen, eine über "10.8.0.5" - das ist mein VPN, die zweite über "Speedport.ip" - das ist der Router mit dem mein Laptop verbunden ist (IP = 192.168.2.1).

Im Prinzip klappt das ja alles und http://whatismyv6.com/ zeigt mit auch dir globale IPv4 von zuhause, aber:
DNS-Anfagen laufen nicht durch den Tunnel, sondern werden vom Speedport beantwortet.:

Code: Alles auswählen

# dig heise.de
.....
;; ANSWER SECTION:
heise.de.		55917	IN	A	193.99.144.80

;; Query time: 2 msec
;; SERVER: 192.168.2.1#53(192.168.2.1)
;; WHEN: Sun Sep 09 21:41:53 CEST 2018
Die resolv.conf ist/bleibt unverändert:

Code: Alles auswählen

$ cat /etc/resolv.conf 
# Generated by NetworkManager
nameserver fe80::1%wlan0
nameserver 192.168.2.1
IPv6 habe ich aus Sicherheitsgründen systemweit disabled.

Mir macht eigentlich die 2. Route Sorge, da könnte doch auch dann Traffic am Tunnel vorbeilaufen - Sicherheitsrisiko?
Auch sollte die DNS-Auflösung durch den Tunnel laufen und meinen DNS-Server daheim nutzen.
Kann man da was dran ändern, wenn ja, wie?
Wer ist Schuld daran, der NetworkManager, der fremde Speedport-Router, ..?

Beste Grüße,
Ingo
Zuletzt geändert von ingo2 am 10.09.2018 22:16:04, insgesamt 1-mal geändert.

user18
Beiträge: 24
Registriert: 21.05.2018 21:41:38

Re: OpenVPN , NetworkManager: 2 default Routen Sicherheit?

Beitrag von user18 » 10.09.2018 20:49:21

ingo2 hat geschrieben: ↑ zum Beitrag ↑
10.09.2018 18:49:34
Was mich dabei stört, sind die 2 "default" Routen, eine über "10.8.0.5" - das ist mein VPN, die zweite über "Speedport.ip" - das ist der Router mit dem mein Laptop verbunden ist (IP = 192.168.2.1).
Warum soll das ein Problem sein? Die Metric der beiden Routen ist ja nicht gleich sondern unterschiedlich.

ingo2 hat geschrieben: ↑ zum Beitrag ↑
10.09.2018 18:49:34
Auch sollte die DNS-Auflösung durch den Tunnel laufen und meinen DNS-Server daheim nutzen.
Vielleicht ist das ein Ansatz: https://forums.openvpn.net/viewtopic.php?t=21678#p61374

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: OpenVPN , NetworkManager: 2 default Routen Sicherheit?

Beitrag von ingo2 » 10.09.2018 21:27:16

Ok, wegen der unterschiedlichen "metrics" bekommt die Route durch den Tunnel Vorrang (funktioniert ja eigentlich auch). Damit hängt dann aber die ganze Sicherheit daran, daß der Tunnel aktiv ist und funktioniert?
Was passiert eigentlich, wenn ein angefragter Host nicht durch den Tunnel erreichbar ist, wird dann die zweite Route mit höherer metric probiert?

Zu der DNS-Problematik:
Hab's versucht und die beiden Zeilen in der client.conf eingetragen - das ändert aber nichts, es wird nach wie vor der fremde DNS-Server (hier Speedport) befragt.
Da funkt wohl der NetworkManager dazwischen?

user18
Beiträge: 24
Registriert: 21.05.2018 21:41:38

Re: OpenVPN , NetworkManager: 2 default Routen Sicherheit?

Beitrag von user18 » 10.09.2018 21:52:51

ingo2 hat geschrieben: ↑ zum Beitrag ↑
10.09.2018 21:27:16
Ok, wegen der unterschiedlichen "metrics" bekommt die Route durch den Tunnel Vorrang (funktioniert ja eigentlich auch). Damit hängt dann aber die ganze Sicherheit daran, daß der Tunnel aktiv ist und funktioniert?
Was passiert eigentlich, wenn ein angefragter Host nicht durch den Tunnel erreichbar ist, wird dann die zweite Route mit höherer metric probiert?
Nach meinen Kenntnisstand aus dem Gedächtnis (ohne Bezug auf OpenVPN und Linux sondern allgemein):
Bei Verwendung der Defaultroute wird die Defaultroute mit der geringsten Metric verwendet bei der das Interface "Up" ist. Ob ein Host im Tunnel erreichbar ist, ist egal, sondern es wird nur geprüft ob das Interface der Route "Up" ist.
ingo2 hat geschrieben: ↑ zum Beitrag ↑
10.09.2018 21:27:16
Hab's versucht und die beiden Zeilen in der client.conf eingetragen - das ändert aber nichts, es wird nach wie vor der fremde DNS-Server (hier Speedport) befragt.
Hab das selbst noch nicht selbst umgesetzt, aber:
Ist das update-resolv-conf Script vorhanden?
Zudem steht im Sourcecode von update-resolv-conf (https://github.com/masterkorp/openvpn-u ... lv-conf.sh):

Code: Alles auswählen

foreign_option_1='dhcp-option DNS 193.43.27.132'
Ist in der OpenVPN Server Config diese Option auch vorhanden?
Weiter kann ich Dir hier bei DNS leider nicht helfen.

//Edit: nochmal korrigiert.

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: OpenVPN , NetworkManager: 2 default Routen Sicherheit?

Beitrag von ingo2 » 10.09.2018 22:15:05

Hab jetzt mal die VPN-verbindung im NetworkManager editiert und gefunden:

unter IPv4-Einstellungen -> Zusätzliche DNS-Server
habe ich meinen VPN-Endpunkt (der Server) "10.8.0.1" eingetragen.
Das klappt! Der NetworkManager setzt die Adresse dann als erste in die resolv.conf.
Es geht aber nicht, wenn ich dort die IPv4 des Servers im dort lokalen Subnetz (192.164.xx.yy) eintrage. Vom laptop remote aus kann ich jedoch mit der 192.164.xx.yy durchs VPN den Server ansprechen.

So, damit ist die Sache erst mal gelöst - Danke,
Ingo

EDIT:
Wer wie ich auch einen eigenen DNS-Server Debianunbound daheim betreibt und übers VPN nutzen möchte, muß dafür sorgen, dass der DNS-Server auch das VPN-Subnetz 10.8.0.0/24 bedient!

Antworten