OpenVPN Routing und DNS nur für ins interne Netzwerk

[BerndM]

Guten Morgen,

ich habe einen OpenVPN Server bei mir laufen und will endlich mal ein nerviges Thema lösen.
Was läuft schon: Ich kann mich von Debian aus über den OpenVPN Server auf mein lokales Netzwerk zugreifen. Es funktioniert alles. Leider läuft alles über die VPN Verbindung, auch direkt die Internet Verbindungen.

Ich will nur den lokalen DNS Server für meine interne die Domain nutzen und auch nur den Datenverkehr zu meinen eigenen Netzwerk über die VPN Verbindung laufen lassen. Die Einstellungen dazu sollen nicht im Client gemacht werden, wenn das überhaupt geht.

Bei DNS ist das nicht ganz so störend, wenn der DNS Server, welcher auf den Client vor der VPN Verbindung läuft, immer noch vom Client genutzt wird, wenn der eigene den Namen nicht auflösen kann.

Im OpenVPN Client gibt es eine Einstellung "Diese Verbindung nur für Ressourcen in deren Netzwerk verwenden". Leider wenn ich das aktiviere geht überhaupt nix mehr.

Hat wer einen Tipp wie ich das konfigurieren kann?

Grüße, Bernd

[mat6937]

Es funktioniert alles. Leider läuft alles über die VPN Verbindung, auch direkt die Internet Verbindungen.

Dann hast Du als gateway für die default route (mit der besseren metric?), das tun0-Interface.
Poste die Ausgabe von:

Code: Alles auswählen

route -n

Du kannst die wirksame (metric?) default route über deinen Router (border device) konfigurieren und eine definierte Route über das tun0-Interface in dein eigenes Netzwerk, konfigurieren.

[habakug]

Hallo,

für ein VPN ist das Routing [1] (auf dem Client) nicht unwichtig.
Du solltest hierbei wissen was ein "Gateway" ist.

Gruss, habakug

[1] https://openvpn.net/community-resources ... p-routing/

[BerndM]

Das Routing auf den Client sieht so aus:

Code: Alles auswählen

root@VBox-Debian:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s3: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether 08:00:27:a3:e2:31 brd ff:ff:ff:ff:ff:ff
3: wlxd03745156409: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether d0:37:45:15:64:09 brd ff:ff:ff:ff:ff:ff
    inet 192.168.179.21/24 brd 192.168.179.255 scope global dynamic noprefixroute wlxd03745156409
       valid_lft 14486sec preferred_lft 14486sec
    inet6 2003:f5:1720:a001:7554:7d6b:b54b:fd96/64 scope global dynamic noprefixroute 
       valid_lft 6742sec preferred_lft 1342sec
    inet6 fe80::12c4:697e:3493:d2b/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
7: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none 
    inet 10.8.0.6 peer 10.8.0.5/32 brd 10.8.0.6 scope global noprefixroute tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::8293:ed54:9186:eaa8/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever
root@VBox-Debian:~# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.8.0.5        0.0.0.0         UG    50     0        0 tun0
0.0.0.0         192.168.179.1   0.0.0.0         UG    600    0        0 wlxd03745156409
10.8.0.1        10.8.0.5        255.255.255.255 UGH   50     0        0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH    50     0        0 tun0
84.167.67.181   192.168.179.1   255.255.255.255 UGH   600    0        0 wlxd03745156409
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlxd03745156409
192.168.179.0   0.0.0.0         255.255.255.0   U     600    0        0 wlxd03745156409
192.168.179.1   0.0.0.0         255.255.255.255 UH    600    0        0 wlxd03745156409

[mat6937]

Das Routing auf den Client sieht so aus:

Code: Alles auswählen

root@VBox-Debian:~# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.8.0.5        0.0.0.0         UG    50     0        0 tun0
0.0.0.0         192.168.179.1   0.0.0.0         UG    600    0        0 wlxd03745156409
10.8.0.1        10.8.0.5        255.255.255.255 UGH   50     0        0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH    50     0        0 tun0
84.167.67.181   192.168.179.1   255.255.255.255 UGH   600    0        0 wlxd03745156409
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlxd03745156409
192.168.179.0   0.0.0.0         255.255.255.0   U     600    0        0 wlxd03745156409
192.168.179.1   0.0.0.0         255.255.255.255 UH    600    0        0 wlxd03745156409

Das:

Code: Alles auswählen

0.0.0.0         10.8.0.5        0.0.0.0         UG    50     0        0 tun0

sorgt dafür, dass der Traffic ins Internet, via VPN geht:
Welches Subnetz hat dein "eigens Netzwerk", das via VPN erreicht werden soll?

[BerndM]

Mein privates Netzwerk hat die Adresse 192.168.7.0/32.

Ich habe nochmal nachgelesen was man bei OpenVPN als Route alles einstellen kann und habe 3 Stellen gefunden.
- in server.conf push "route ..." oder route ...
- in ccd/clinet-name mittels iroute

Soweit ich das verstanden habe ist das in server.conf route für den Server selber und das push "route .." für den Client. Wobei dieses keine Auswirkung hat.
Wenn ich mir das ohne VPN Verbindung anschaue:

Code: Alles auswählen

root@VBox-Debian:~# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.179.1   0.0.0.0         UG    600    0        0 wlxd03745156409
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlxd03745156409
192.168.179.0   0.0.0.0         255.255.255.0   U     600    0        0 wlxd03745156409

dann sieht das sehr übersichtlich aus.

[mat6937]

Mein privates Netzwerk hat die Adresse 192.168.7.0/32.

Dann versuch mal mit:

Code: Alles auswählen

route del default gw 10.8.0.5 dev tun0
route add -net 192.168.7.0 netmask 255.255.255.0 gw 10.8.0.5 dev tun0
route -n

Code: Alles auswählen

mtr -4nr -c 1 1.1.1.1
mtr -4nr -c 1 <IP-Adresse-aus-dem-Subnetz-192.168.7.0/24>

(IP-Adresse-aus-dem-Subnetz-192.168.7.0/24 anpassen und ohne spitze Klammern).

Evtl. musst Du auf den VPN-gateway-Geräten noch das source-NAT (MASQUERADE) oder gleichwertig, konfigurieren.

[habakug]

Hallo,

ist ein "redirect-gateway" in der Server-Konfiguration?
Oder ist die ein Geheimnis?

Gruss, habakug

[BerndM]

Code: Alles auswählen

root@VBox-Debian:~# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.179.1   0.0.0.0         UG    600    0        0 wlxd03745156409
10.8.0.1        10.8.0.5        255.255.255.255 UGH   50     0        0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH    50     0        0 tun0
84.167.67.181   192.168.179.1   255.255.255.255 UGH   600    0        0 wlxd03745156409
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlxd03745156409
192.168.7.0     10.8.0.5        255.255.255.0   UG    0      0        0 tun0
192.168.179.0   0.0.0.0         255.255.255.0   U     600    0        0 wlxd03745156409
192.168.179.1   0.0.0.0         255.255.255.255 UH    600    0        0 wlxd03745156409

mtr habe ich nicht installiert, nutze da immer traceroute (werde mir das mal anschauen )

Code: Alles auswählen

root@VBox-Debian:~# traceroute 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
 1  _gateway (192.168.179.1)  3.530 ms  4.229 ms  4.144 ms
 2  ------.dip0.t-ipconnect.de (62.155.247.117)  18.890 ms  18.618 ms  18.473 ms
 3  62.159.98.98 (62.159.98.98)  22.684 ms  22.547 ms  26.149 ms
 4  80.156.162.178 (80.156.162.178)  26.022 ms  25.858 ms  25.720 ms
 5  * if-ae-45-2.tcore1.fr0-frankfurt.as6453.net (195.219.50.20)  58.182 ms  58.128 ms
 6  if-ae-55-2.tcore2.pvu-paris.as6453.net (80.231.245.6)  56.790 ms *  47.550 ms
 7  * * *
 8  if-ae-11-2.tcore1.pye-paris.as6453.net (80.231.153.50)  51.105 ms  46.438 ms *
 9  80.231.154.14 (80.231.154.14)  37.558 ms  37.517 ms  37.364 ms
10  one.one.one.one (1.1.1.1)  35.858 ms  37.121 ms  39.113 ms
root@VBox-Debian:~# traceroute 192.168.7.2
traceroute to 192.168.7.2 (192.168.7.2), 30 hops max, 60 byte packets
 1  10.8.0.1 (10.8.0.1)  5.015 ms  52.817 ms  52.659 ms
 2  ------.local (192.168.7.2)  52.380 ms  52.270 ms  52.145 ms

Jetzt funktioniert es so wie es soll. Wie muss ich jetzt OpenVPN konfigurieren, bzw. eher was, damit dieses auch so läuft.

[BerndM]

Das push "redirect-gateway.." ist auskommentiert. Wenn das aktiv ist, dann wäre der VPN Server ein reines Gateway, was ich ja nicht will.

[habakug]

Hallo,

ich meine ja nur
...weil der Hersteller [1] folgendes kommuniziert:

By default, when an OpenVPN client is active, only network traffic to and from the OpenVPN server site will pass over the VPN. General web browsing, for example, will be accomplished with direct connections that bypass the VPN.

Da muss also irgendwas sein...

Gruss, habakug

[1] https://openvpn.net/community-resources/how-to/

[BerndM]

OK, das irgendwas macht mich stutzig. Habe jetzt den OpenVPN Rechner nochmal neu installiert und alles neu konfiguriert. Das Ergebnis ist das gleiche. Eventuell habe ich doch noch einen Fehler den ich nicht sehe in der Konfiguration. Hier meine Konfiguration Dateien (Server Name usw. habe ich durch --- ersetzt):

server.conf

Code: Alles auswählen

port 443
proto tcp
dev tun
ca ca.crt
cert vpn-server.crt
key vpn-server.key  # This file should be kept secret
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "dhcp-option DNS 192.168.7.2"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 0

Client.ovpn

Code: Alles auswählen

client
dev tun
proto tcp
remote ---.net 443
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
key-direction 1
verb 3
<ca>
---
</ca>
<cert>
---
</cert>
<key>
---
</key>
<tls-auth>
---
</tls-auth>

Ich hoffe das ich beim rein kopieren hier keinen Fehler gemacht habe. Eventuell sieht Ihr da den Fehler, welchen ich gemacht habe.

Danke im voraus für Eure Hilfe. Ich dachte ich schaffe das Heute noch. Ich muss ab Morgen zum Kunden fahren, werde also etwas später da weiter suchen können.

Grüße, Bernd