Route korrekt setzen nach erfolgreicher VPN-Verbindung

[werzenschwet]

Guten Tag,

der SoftEther Client läuft bei mir auf Windows für die hier besprochene Verbindung problemlos und ich möchte diesen auch auf Debian Linux zum Laufen kriegen. Leider hänge ich aber am Schluss beim Setzen der korrekten Route fest. Ich folge diesem Howto:

https://medium.com/@anuradha.15/install ... a405a0ae2c


Nach der Kompillierung des SoftEther Clients, dem Erstellen und Konfigurieren der SofEther Verbindung, klappt das Verbinden wunderbar. cat /proc/sys/net/ipv4/ip_forward gibt mir eine "1", das ist permanent hinterlegt. Ich habe meinen virtuellen Adapter "vpn_vpn_se" und weise ihm mit

dhclient vpn_vpn_se

eine IP zu, die im Zielnetzwerk liegt. ifconfig sagt

Code: Alles auswählen

vpn_vpn_se: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet Ziel.25  

Sobald ich aber "dhclient vpn_vpn_se" eingebe, habe ich keine Verbindung mehr zum Internet. Dann führe ich aus wie im Howto angegeben:

Code: Alles auswählen

ip route add Ziel.1/24 via Quelle.1
Error: Invalid prefix for given prefix length.

--> also nehme ich

Code: Alles auswählen

ip route add Ziel.1 via Quelle.1

Ich kann dann zwar meinen "Quell-Gateway", also den Gateway des lokalen Netzwerks hier, noch pingen, sonst geht aber auch gar nix.

Hat bitte jemand eine Ahnung, wie ich das zum Laufen kriege? Die Netzwerke Ziel und Quelle sind natürlich nicht die gleichen




Daten vor dem Absetzen von "route add":

Code: Alles auswählen

netstat -rn
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags   MSS Fenster irtt Iface
0.0.0.0         Ziel.1     0.0.0.0         UG        0 0          0 vpn_vpn_se
0.0.0.0         Quelle.1     0.0.0.0         UG        0 0          0 enp0s25
pub.0.0     0.0.0.0         255.255.0.0     U         0 0          0 enp0s25
Quelle.0     0.0.0.0         255.255.255.0   U         0 0          0 enp0s25
Ziel.0     0.0.0.0         255.255.255.0   U         0 0          0 vpn_vpn_se

Code: Alles auswählen

ip route list
default via Quelle.1 dev vpn_vpn_se 
default via Ziel.1 dev enp0s25 proto dhcp metric 100 
pub.0.0/16 dev enp0s25 scope link metric 1000 
Quelle.0/24 dev enp0s25 proto kernel scope link src Quelle.2 metric 100 
Ziel.0/24 dev vpn_vpn_se proto kernel scope link src Ziel.25

[mat6937]

Sobald ich aber "dhclient vpn_vpn_se" eingebe, habe ich keine Verbindung mehr zum Internet.

Wie sind vor und nach dem Ausführen von "dhclient vpn_vpn_se" die tatsächlichen (d. h. die nicht anonymisierten) Ausgaben von:

Code: Alles auswählen

ip a
route -n

?

[werzenschwet]

Hallo und danke. Ja dann:

Sobald ich aber "dhclient vpn_vpn_se" eingebe, habe ich keine Verbindung mehr zum Internet.

Wie sind vor und nach dem Ausführen von "dhclient vpn_vpn_se" die tatsächlichen (d. h. die nicht anonymisierten) Ausgaben von:

Code: Alles auswählen

ip a

Code: Alles auswählen

---

Code: Alles auswählen

route -n

?

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 vpn_vpn_se
0.0.0.0         192.168.0.1     0.0.0.0         UG    100    0        0 enp0s25
pub.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 enp0s25
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s25
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 vpn_vpn_se

[mat6937]

Code: Alles auswählen

5: vpn_vpn_se: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
    link/ether 5e:1e:ab:15:3a:c4 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.125/24 brd 192.168.1.255 scope global dynamic vpn_vpn_se
 

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 vpn_vpn_se
0.0.0.0         192.168.0.1     0.0.0.0         UG    100    0        0 enp0s25
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 enp0s25
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s25
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 vpn_vpn_se

Die nicht mehr vorhandene Internetverbindung wird verursacht durch die neue/zusätzliche "default route" mit einer besseren/günstigeren metric (0 vs. 100), via vpn_vpn_se-Interface und die IP-Adresse 192.168.1.1 als gateway.

Wenn Du weiter via enp0s25-Interface (und 192.168.0.1 als gateway) ins Internet willst, musst Du dafür sorgen, dass die andere default route (metric 0) entweder nicht zustande kommt oder eine "schlechtere" metric als 100 hat.

Oder Du willst über VPN (vpn_vpn_se-Interface) ins Internet, dann musst Du (oder jemand anders) das gateway (Router?) mit der IP-Adresse 192.168.1.1, entsprechend konfigurieren.

EDIT:

... oder Du konfigurierst "policy-based routing" und "sagst" explizit den Datenpaketen welche default route (und unabhängig von der metric der Route) benutzt werden soll.

[werzenschwet]

Hallo ja leider geht das nicht so.

Ich lösche die Route auf vpn_vpn_se, die von dhclient angelegt wird und meine standardroute.

Dann erstelle ich erstmal die Route zu meinem lokalen Gateway 192.168.0.1 mit metric 100:

Code: Alles auswählen

route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    100    0        0 enp0s25
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 enp0s25
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s25
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 vpn_vpn_se

so komme ich dann wieder aufs Internet, aber mit meiner ursprünglichen öff. IP, das VPN geht also nicht. Dann der letzte Schritt im Howto:

You need to add a static route here.

sudo ip route add <gateway of the ip range of your virtual network adapter>/<subnetmask> via <ip you got for the virtual network adapter>

Also versuche ich:

Code: Alles auswählen

ip route add 192.168.1.1/24 via 192.168.1.152
Error: Invalid prefix for given prefix length.
ip route add 192.168.1.1 netmask 255.255.255.0 via 192.168.1.152
Error: either "to" is duplicate, or "netmask" is a garbage.

Geht beides nicht also bleibt nur übrig:

Code: Alles auswählen

ip route add 192.168.1.1  via 192.168.1.152

geht aber nicht, weil die Netzmaske nicht stimmt:

Code: Alles auswählen

route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    100    0        0 enp0s25
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 enp0s25
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s25
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 vpn_vpn_se
192.168.1.1     192.168.1.152   255.255.255.255 UGH   0      0        0 vpn_vpn_se

Wie gebe ich die Netzmaske dem Befehl "ip route add" mit, laut https://linux.die.net/man/8/ip gibts das gar nicht?

Grüsse

[mat6937]

Also versuche ich:

Code: Alles auswählen

ip route add 192.168.1.1/24 via 192.168.1.152
Error: Invalid prefix for given prefix length.
ip route add 192.168.1.1 netmask 255.255.255.0 via 192.168.1.152
Error: either "to" is duplicate, or "netmask" is a garbage.

Geht beides nicht also bleibt nur übrig:

Code: Alles auswählen

ip route add 192.168.1.1  via 192.168.1.152

geht aber nicht, weil die Netzmaske nicht stimmt:

Das verstehe ich nicht. Du brauchst einen Ersatz/Ergänzung (d. h. eine definierte Route via enp0s25 zum VPN-Server) für die default route via 192.168.0.1/enp0s25, damit die VPN-Verbindung überhaupt zustande kommen kann.

[werzenschwet]

wie müsste ich das konfigurieren, wie wäre der genaue befehl hier?
Das hier geht nicht wirklich so:

Code: Alles auswählen

ip route add 192.168.1.1/vpn_vpn_se via 192.168.0.1/enp0s25
Error: any valid prefix is expected rather than "192.168.1.1/vpn_vpn_se".

Auch andere Varianten (mit Space anstatt Slash) funktionieren nicht wirklich

[mat6937]

wie müsste ich das konfigurieren, wie wäre der genaue befehl hier?

Kannst Du mit diesem Routing:

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 vpn_vpn_se
0.0.0.0         192.168.0.1     0.0.0.0         UG    100    0        0 enp0s25
pub.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 enp0s25
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s25
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 vpn_vpn_se

die externe/öffentliche IP-Adresse des VPN-Servers, noch via enp0s25 erreichen? Oder muss der VPN-Server nicht über eine externe IP-Adresse erreicht werden? Befindet sich der VPN-Server evtl. im Subnetz 192.168.0.0/24?

[werzenschwet]

wie müsste ich das konfigurieren, wie wäre der genaue befehl hier?

Kannst Du mit diesem Routing:

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 vpn_vpn_se
0.0.0.0         192.168.0.1     0.0.0.0         UG    100    0        0 enp0s25
pub.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 enp0s25
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s25
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 vpn_vpn_se

die externe/öffentliche IP-Adresse des VPN-Servers, noch via enp0s25 erreichen?

Nein.

Oder muss der VPN-Server nicht über eine externe IP-Adresse erreicht werden?

doch das wird er auch

Befindet sich der VPN-Server evtl. im Subnetz 192.168.0.0/24?

nein natürlich nicht, er befindet sich im subnetz 192.168.1.0/24.

--> öff. IP nicht erreichbar
-->192.168.1.1 nicht erreichbar ("Ziel-Gateway")
--> 192.168.0.1 erreichbar (mein lokaler Gateway)

Irgendwelche Ideen, das müsste doch gehen?

You need to add a static route here.

sudo ip route add <gateway of the ip range of your virtual network adapter>/<subnetmask> via <ip you got for the virtual network adapter>

Wie richte ich das ein mit Subnetmaske 255.255.255.0? Das hier geht nicht so:

Code: Alles auswählen

ip route add 192.168.1.1/24 via 192.168.1.152
Error: Invalid prefix for given prefix length.

[mat6937]

Wie richte ich das ein mit Subnetmaske 255.255.255.0? Das hier geht nicht so:

Code: Alles auswählen

ip route add 192.168.1.1/24 via 192.168.1.152
Error: Invalid prefix for given prefix length.

Wenn Du nur einen host erreichen willst, dann sollte es mit der Subnetzmaske 255.255.255.255 funktionieren:

Code: Alles auswählen

ip route add 192.168.1.1/32 via 192.168.1.152

oder

Code: Alles auswählen

ip route add 192.168.1.1 netmask 255.255.255.255 via 192.168.1.152

EDIT:

... nein natürlich nicht, er befindet sich im subnetz 192.168.1.0/24.

Das kann so nicht stimmen. Denn das wird das VPN-Transfernetz sein. Es geht um die externe/öffentliche IP-Adresse des VPN-Server (die im Internet geroutet wird). Und diese externe IP-Adresse kann dann nur über eine default route (oder gleichwertig; d. h. eine definierte Route über ein Internet-Gateway) erreicht werden.

[werzenschwet]

Wie richte ich das ein mit Subnetmaske 255.255.255.0? Das hier geht nicht so:

Code: Alles auswählen

ip route add 192.168.1.1/24 via 192.168.1.152
Error: Invalid prefix for given prefix length.

Wenn Du nur einen host erreichen willst, dann sollte es mit der Subnetzmaske 255.255.255.255 funktionieren:

Code: Alles auswählen

ip route add 192.168.1.1/32 via 192.168.1.152

oder

Code: Alles auswählen

ip route add 192.168.1.1 netmask 255.255.255.255 via 192.168.1.152

Ja danke, dieser Befehl lässt sich absetzen, das Internet funktioniert danach aber leider überhaupt nicht. Ich kann auch nicht die IP 192.168.1.1 pingen nach dem Absetzen des Befehls (via 192.168.1.125 war korrekt am Schluss sry)

EDIT:

... nein natürlich nicht, er befindet sich im subnetz 192.168.1.0/24.

Das kann so nicht stimmen. Denn das wird das VPN-Transfernetz sein. Es geht um die externe/öffentliche IP-Adresse des VPN-Server (die im Internet geroutet wird). Und diese externe IP-Adresse kann dann nur über eine default route (oder gleichwertig; d. h. eine definierte Route über ein Internet-Gateway) erreicht werden.

Naja klar ist der VPN-Server erreichbar über eine öffentliche IP. Aber er steht natürlich im Zielnetzwerk 192.168.1.0 und nicht einfach direkt am Internet.... Und in diesem Zielnetzwerk verteilt der IPs an die Clients, in diesem Fall 192.168.1.125.

Kriege ich das also nicht zum laufen auf Debian? Ich habe keine Idee mehr ...

[mat6937]

Naja klar ist der VPN-Server erreichbar über eine öffentliche IP. Aber er steht natürlich im Zielnetzwerk 192.168.1.0 und nicht einfach direkt am Internet.... Und in diesem Zielnetzwerk verteilt der IPs an die Clients, in diesem Fall 192.168.1.125.

Kriege ich das also nicht zum laufen auf Debian? Ich habe keine Idee mehr ...

Der VPN-Server muss nicht "border device" sein, er kann auch hinter einem Router (als border device) sein und dann ist er über die externe/öffentliche IP-Adresse des Routers erreichbar. D. h., Du brauchst auf deinem Client immer eine geeignete Route um diesen VPN-Server via Internet (öffentliche IP-Adresse) zu erreichen. Und diese Route auf dem VPN-Client kann nicht über das vpn-Interface sein, sondern immer über das (W)LAN-Interface.

EDIT:

Hast Du source-NAT (MASQUERADE) für beide Interfaces auf deinem Client konfiguriert?

Code: Alles auswählen

iptables -t nat I POSTROUTING 1 -o vpn_vpn_se -j MASQUERADE
iptables -t nat I POSTROUTING 2 -o enp0s25 -j MASQUERADE

[werzenschwet]

Ich danke dir für deine Hilfe es funktioniert aber leider auch mit den NAT-Befehlen für iptables nicht.

Ich glaube auch nicht, dass es dazu irgend ein spezielles Masquerading bräuchte, da nämlich in den Howtos, die ich gefunden habe, eine sehr simple zusätzliche Route direkt zum Erfolg führt. Den richtigen "ip route add" Befehl finde ich für meine Kiste aber leider offensichtlich nicht.

Das ist natürlich schon sehr enttäuschend für mich, da ich bis zum letzten Schritt des Howtos alles einwandfrei zum Laufen bringe. Mein Adapter "vpn_vpn_se" hat ja schon eine IP im Zielnetzwerk. Es ginge also lediglich noch darum, 1 korrekten Gateway-Befehl abzufeuern und das wars. Der sollte einfach alles über das Interface vpn_vpn_se schicken, aber ich kann das nicht erfolgreich so konfigurieren.

Frustrierend das ganze Man ist nur einen Schritt vor dem Ziel, kann diesen letzten Schritt aber leider nicht gehen.

[mat6937]

..., da nämlich in den Howtos, die ich gefunden habe, eine sehr simple zusätzliche Route direkt zum Erfolg führt.

Welche zusätzliche Route ist das, die Du in den Howtos gefunden hast?

[werzenschwet]

..., da nämlich in den Howtos, die ich gefunden habe, eine sehr simple zusätzliche Route direkt zum Erfolg führt.

Welche zusätzliche Route ist das, die Du in den Howtos gefunden hast?

Code: Alles auswählen

sudo ip route add <gateway of the ip range of your virtual network adapter>/<subnetmask> via <ip you got for the virtual network adapter>

[mat6937]

Code: Alles auswählen

sudo ip route add <gateway of the ip range of your virtual network adapter>/<subnetmask> via <ip you got for the virtual network adapter>

Aber diese "spezielle" Route ist doch schon in der bereits vorhandenen _definierten_ Route:

Code: Alles auswählen

192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 vpn_vpn_se

beinhaltet.
"<gateway of the ip range of your virtual network adapter>/<subnetmask>" ist doch Teil von 192.168.1.0/24. Das kannst Du feststellen, in dem Du jetzt einen Ping auf die IP-Adresse dieses gateway machst:

Code: Alles auswählen

ping -c 3 192.168.1.1

Hast Du Zugang zum Gerät (Server) mit der IP-Adresse 192.168.1.1? Wenn ja, dann starte dort:

Code: Alles auswählen

tcpdump -c 20 -vvveni <vpn-Interface> icmp

(vpn-Interface anpassen und ohne spitze Klammern), um zu sehen ob bzw. dass der Ping dort ankommt.

[werzenschwet]

Hallo,

ich danke dir für deine Hilfe. Ich habe es nun tatsächlich geschafft. Vorgehensweise nach dem Starten des Vpnclients und verbinden über "vpncmd":

Code: Alles auswählen

dhclient vpn_vpn_se

ip route add %öffentliche IP des VPN-Servers%/32 via 192.168.0.1

ip route del default via 192.168.0.1

der Softether-VPN Client erstellt quasi das Netzwerkinterface "vpn_vpn_se", welches sämtliche Anfragen über den Port 443 an den VPN-Server weiterleitet.

Code: Alles auswählen

route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 vpn_vpn_se
%öff. IP VPN-Server%     192.168.0.1     255.255.255.255 UGH   0      0        0 enp0s25
pub2.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 enp0s25
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 enp0s25
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 vpn_vpn_se

Die Pakete werden also nach 192.168.1.1, dann über 192.168.0.1 zur öff. IP des Servers geschickt. Gegen aussen habe ich so die öff. IP des VPN-Servers.

Thanks

[mat6937]

Die Pakete werden also nach 192.168.1.1, dann über 192.168.0.1 zur öff. IP des Servers geschickt.

Poste mal mit VPN-Verbindung ins Internet, die Ausgaben von:

Code: Alles auswählen

mtr -4nr -c 1 193.99.144.80

[werzenschwet]

Code: Alles auswählen

mtr -4nr -c 1 193.99.144.80
Start: 2020-04-05T10:14:35+0200
HOST: windows3_11     Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.1.1                0.0%     1   43.1  43.1  43.1  43.1   0.0
  2.|-- IPProvider1                0.0%     1   48.0  48.0  48.0  48.0   0.0
  3.|-- IPProvider2                0.0%     1   53.3  53.3  53.3  53.3   0.0
  4.|-- IPProvider3                0.0%     1   51.7  51.7  51.7  51.7   0.0
  5.|-- ???                      100.0      1    0.0   0.0   0.0   0.0   0.0
  6.|-- ???                      100.0      1    0.0   0.0   0.0   0.0   0.0
  7.|-- 80.81.192.132              0.0%     1   58.9  58.9  58.9  58.9   0.0
  8.|-- 82.98.102.5                0.0%     1   58.0  58.0  58.0  58.0   0.0
  9.|-- 82.98.102.65               0.0%     1   58.6  58.6  58.6  58.6   0.0
 10.|-- 212.19.61.13               0.0%     1   58.7  58.7  58.7  58.7   0.0
 11.|-- 193.99.144.80              0.0%     1   58.5  58.5  58.5  58.5   0.0

[mat6937]

Code: Alles auswählen

mtr -4nr -c 1 193.99.144.80
Start: 2020-04-05T10:14:35+0200
HOST: windows3_11     Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.1.1                0.0%     1   43.1  43.1  43.1  43.1   0.0
  2.|-- IPProvider1                0.0%     1   48.0  48.0  48.0  48.0   0.0
  

Wie man sieht, der 1. hop ist schon die IP-Adresse des VPN-Servers im _Transfer-Netz_ ("weit" nach dem eigenen Router mit der IP-Adresse 192.168.0.1, durch den der VPN-Tunnel aufgebaut ist).