OpenVPN Routing und DNS nur für ins interne Netzwerk
OpenVPN Routing und DNS nur für ins interne Netzwerk
Guten Morgen,
ich habe einen OpenVPN Server bei mir laufen und will endlich mal ein nerviges Thema lösen.
Was läuft schon: Ich kann mich von Debian aus über den OpenVPN Server auf mein lokales Netzwerk zugreifen. Es funktioniert alles. Leider läuft alles über die VPN Verbindung, auch direkt die Internet Verbindungen.
Ich will nur den lokalen DNS Server für meine interne die Domain nutzen und auch nur den Datenverkehr zu meinen eigenen Netzwerk über die VPN Verbindung laufen lassen. Die Einstellungen dazu sollen nicht im Client gemacht werden, wenn das überhaupt geht.
Bei DNS ist das nicht ganz so störend, wenn der DNS Server, welcher auf den Client vor der VPN Verbindung läuft, immer noch vom Client genutzt wird, wenn der eigene den Namen nicht auflösen kann.
Im OpenVPN Client gibt es eine Einstellung "Diese Verbindung nur für Ressourcen in deren Netzwerk verwenden". Leider wenn ich das aktiviere geht überhaupt nix mehr.
Hat wer einen Tipp wie ich das konfigurieren kann?
Grüße, Bernd
ich habe einen OpenVPN Server bei mir laufen und will endlich mal ein nerviges Thema lösen.
Was läuft schon: Ich kann mich von Debian aus über den OpenVPN Server auf mein lokales Netzwerk zugreifen. Es funktioniert alles. Leider läuft alles über die VPN Verbindung, auch direkt die Internet Verbindungen.
Ich will nur den lokalen DNS Server für meine interne die Domain nutzen und auch nur den Datenverkehr zu meinen eigenen Netzwerk über die VPN Verbindung laufen lassen. Die Einstellungen dazu sollen nicht im Client gemacht werden, wenn das überhaupt geht.
Bei DNS ist das nicht ganz so störend, wenn der DNS Server, welcher auf den Client vor der VPN Verbindung läuft, immer noch vom Client genutzt wird, wenn der eigene den Namen nicht auflösen kann.
Im OpenVPN Client gibt es eine Einstellung "Diese Verbindung nur für Ressourcen in deren Netzwerk verwenden". Leider wenn ich das aktiviere geht überhaupt nix mehr.
Hat wer einen Tipp wie ich das konfigurieren kann?
Grüße, Bernd
Re: OpenVPN Routing und DNS nur für ins interne Netzwerk
Dann hast Du als gateway für die default route (mit der besseren metric?), das tun0-Interface.BerndM hat geschrieben:14.02.2021 09:32:39Es funktioniert alles. Leider läuft alles über die VPN Verbindung, auch direkt die Internet Verbindungen.
Poste die Ausgabe von:
Code: Alles auswählen
route -n
- habakug
- Moderator
- Beiträge: 4313
- Registriert: 23.10.2004 13:08:41
- Lizenz eigener Beiträge: MIT Lizenz
Re: OpenVPN Routing und DNS nur für ins interne Netzwerk
Hallo,
für ein VPN ist das Routing [1] (auf dem Client) nicht unwichtig.
Du solltest hierbei wissen was ein "Gateway" ist.
Gruss, habakug
[1] https://openvpn.net/community-resources ... p-routing/
für ein VPN ist das Routing [1] (auf dem Client) nicht unwichtig.
Du solltest hierbei wissen was ein "Gateway" ist.
Gruss, habakug
[1] https://openvpn.net/community-resources ... p-routing/
Re: OpenVPN Routing und DNS nur für ins interne Netzwerk
Das Routing auf den Client sieht so aus:
Code: Alles auswählen
root@VBox-Debian:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp0s3: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
link/ether 08:00:27:a3:e2:31 brd ff:ff:ff:ff:ff:ff
3: wlxd03745156409: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether d0:37:45:15:64:09 brd ff:ff:ff:ff:ff:ff
inet 192.168.179.21/24 brd 192.168.179.255 scope global dynamic noprefixroute wlxd03745156409
valid_lft 14486sec preferred_lft 14486sec
inet6 2003:f5:1720:a001:7554:7d6b:b54b:fd96/64 scope global dynamic noprefixroute
valid_lft 6742sec preferred_lft 1342sec
inet6 fe80::12c4:697e:3493:d2b/64 scope link noprefixroute
valid_lft forever preferred_lft forever
7: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
link/none
inet 10.8.0.6 peer 10.8.0.5/32 brd 10.8.0.6 scope global noprefixroute tun0
valid_lft forever preferred_lft forever
inet6 fe80::8293:ed54:9186:eaa8/64 scope link stable-privacy
valid_lft forever preferred_lft forever
root@VBox-Debian:~# route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 10.8.0.5 0.0.0.0 UG 50 0 0 tun0
0.0.0.0 192.168.179.1 0.0.0.0 UG 600 0 0 wlxd03745156409
10.8.0.1 10.8.0.5 255.255.255.255 UGH 50 0 0 tun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 50 0 0 tun0
84.167.67.181 192.168.179.1 255.255.255.255 UGH 600 0 0 wlxd03745156409
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 wlxd03745156409
192.168.179.0 0.0.0.0 255.255.255.0 U 600 0 0 wlxd03745156409
192.168.179.1 0.0.0.0 255.255.255.255 UH 600 0 0 wlxd03745156409
Re: OpenVPN Routing und DNS nur für ins interne Netzwerk
Das:BerndM hat geschrieben:14.02.2021 10:50:57Das Routing auf den Client sieht so aus:Code: Alles auswählen
root@VBox-Debian:~# route -n Kernel-IP-Routentabelle Ziel Router Genmask Flags Metric Ref Use Iface 0.0.0.0 10.8.0.5 0.0.0.0 UG 50 0 0 tun0 0.0.0.0 192.168.179.1 0.0.0.0 UG 600 0 0 wlxd03745156409 10.8.0.1 10.8.0.5 255.255.255.255 UGH 50 0 0 tun0 10.8.0.5 0.0.0.0 255.255.255.255 UH 50 0 0 tun0 84.167.67.181 192.168.179.1 255.255.255.255 UGH 600 0 0 wlxd03745156409 169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 wlxd03745156409 192.168.179.0 0.0.0.0 255.255.255.0 U 600 0 0 wlxd03745156409 192.168.179.1 0.0.0.0 255.255.255.255 UH 600 0 0 wlxd03745156409
Code: Alles auswählen
0.0.0.0 10.8.0.5 0.0.0.0 UG 50 0 0 tun0
Welches Subnetz hat dein "eigens Netzwerk", das via VPN erreicht werden soll?
Re: OpenVPN Routing und DNS nur für ins interne Netzwerk
Mein privates Netzwerk hat die Adresse 192.168.7.0/32.
Ich habe nochmal nachgelesen was man bei OpenVPN als Route alles einstellen kann und habe 3 Stellen gefunden.
- in server.conf push "route ..." oder route ...
- in ccd/clinet-name mittels iroute
Soweit ich das verstanden habe ist das in server.conf route für den Server selber und das push "route .." für den Client. Wobei dieses keine Auswirkung hat.
Wenn ich mir das ohne VPN Verbindung anschaue:
dann sieht das sehr übersichtlich aus.
Ich habe nochmal nachgelesen was man bei OpenVPN als Route alles einstellen kann und habe 3 Stellen gefunden.
- in server.conf push "route ..." oder route ...
- in ccd/clinet-name mittels iroute
Soweit ich das verstanden habe ist das in server.conf route für den Server selber und das push "route .." für den Client. Wobei dieses keine Auswirkung hat.
Wenn ich mir das ohne VPN Verbindung anschaue:
Code: Alles auswählen
root@VBox-Debian:~# route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.179.1 0.0.0.0 UG 600 0 0 wlxd03745156409
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 wlxd03745156409
192.168.179.0 0.0.0.0 255.255.255.0 U 600 0 0 wlxd03745156409
Re: OpenVPN Routing und DNS nur für ins interne Netzwerk
Dann versuch mal mit:
Code: Alles auswählen
route del default gw 10.8.0.5 dev tun0
route add -net 192.168.7.0 netmask 255.255.255.0 gw 10.8.0.5 dev tun0
route -n
Code: Alles auswählen
mtr -4nr -c 1 1.1.1.1
mtr -4nr -c 1 <IP-Adresse-aus-dem-Subnetz-192.168.7.0/24>
Evtl. musst Du auf den VPN-gateway-Geräten noch das source-NAT (MASQUERADE) oder gleichwertig, konfigurieren.
- habakug
- Moderator
- Beiträge: 4313
- Registriert: 23.10.2004 13:08:41
- Lizenz eigener Beiträge: MIT Lizenz
Re: OpenVPN Routing und DNS nur für ins interne Netzwerk
Hallo,
ist ein "redirect-gateway" in der Server-Konfiguration?
Oder ist die ein Geheimnis?
Gruss, habakug
ist ein "redirect-gateway" in der Server-Konfiguration?
Oder ist die ein Geheimnis?
Gruss, habakug
Re: OpenVPN Routing und DNS nur für ins interne Netzwerk
Code: Alles auswählen
root@VBox-Debian:~# route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.179.1 0.0.0.0 UG 600 0 0 wlxd03745156409
10.8.0.1 10.8.0.5 255.255.255.255 UGH 50 0 0 tun0
10.8.0.5 0.0.0.0 255.255.255.255 UH 50 0 0 tun0
84.167.67.181 192.168.179.1 255.255.255.255 UGH 600 0 0 wlxd03745156409
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 wlxd03745156409
192.168.7.0 10.8.0.5 255.255.255.0 UG 0 0 0 tun0
192.168.179.0 0.0.0.0 255.255.255.0 U 600 0 0 wlxd03745156409
192.168.179.1 0.0.0.0 255.255.255.255 UH 600 0 0 wlxd03745156409
Code: Alles auswählen
root@VBox-Debian:~# traceroute 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
1 _gateway (192.168.179.1) 3.530 ms 4.229 ms 4.144 ms
2 ------.dip0.t-ipconnect.de (62.155.247.117) 18.890 ms 18.618 ms 18.473 ms
3 62.159.98.98 (62.159.98.98) 22.684 ms 22.547 ms 26.149 ms
4 80.156.162.178 (80.156.162.178) 26.022 ms 25.858 ms 25.720 ms
5 * if-ae-45-2.tcore1.fr0-frankfurt.as6453.net (195.219.50.20) 58.182 ms 58.128 ms
6 if-ae-55-2.tcore2.pvu-paris.as6453.net (80.231.245.6) 56.790 ms * 47.550 ms
7 * * *
8 if-ae-11-2.tcore1.pye-paris.as6453.net (80.231.153.50) 51.105 ms 46.438 ms *
9 80.231.154.14 (80.231.154.14) 37.558 ms 37.517 ms 37.364 ms
10 one.one.one.one (1.1.1.1) 35.858 ms 37.121 ms 39.113 ms
root@VBox-Debian:~# traceroute 192.168.7.2
traceroute to 192.168.7.2 (192.168.7.2), 30 hops max, 60 byte packets
1 10.8.0.1 (10.8.0.1) 5.015 ms 52.817 ms 52.659 ms
2 ------.local (192.168.7.2) 52.380 ms 52.270 ms 52.145 ms
Re: OpenVPN Routing und DNS nur für ins interne Netzwerk
Das push "redirect-gateway.." ist auskommentiert. Wenn das aktiv ist, dann wäre der VPN Server ein reines Gateway, was ich ja nicht will.
- habakug
- Moderator
- Beiträge: 4313
- Registriert: 23.10.2004 13:08:41
- Lizenz eigener Beiträge: MIT Lizenz
Re: OpenVPN Routing und DNS nur für ins interne Netzwerk
Hallo,
ich meine ja nur
...weil der Hersteller [1] folgendes kommuniziert:
Gruss, habakug
[1] https://openvpn.net/community-resources/how-to/
ich meine ja nur
...weil der Hersteller [1] folgendes kommuniziert:
Da muss also irgendwas sein...OpenVPN" hat geschrieben:By default, when an OpenVPN client is active, only network traffic to and from the OpenVPN server site will pass over the VPN. General web browsing, for example, will be accomplished with direct connections that bypass the VPN.
Gruss, habakug
[1] https://openvpn.net/community-resources/how-to/
Re: OpenVPN Routing und DNS nur für ins interne Netzwerk
OK, das irgendwas macht mich stutzig. Habe jetzt den OpenVPN Rechner nochmal neu installiert und alles neu konfiguriert. Das Ergebnis ist das gleiche. Eventuell habe ich doch noch einen Fehler den ich nicht sehe in der Konfiguration. Hier meine Konfiguration Dateien (Server Name usw. habe ich durch --- ersetzt):
server.conf
Client.ovpn
Ich hoffe das ich beim rein kopieren hier keinen Fehler gemacht habe. Eventuell sieht Ihr da den Fehler, welchen ich gemacht habe.
Danke im voraus für Eure Hilfe. Ich dachte ich schaffe das Heute noch. Ich muss ab Morgen zum Kunden fahren, werde also etwas später da weiter suchen können.
Grüße, Bernd
server.conf
Code: Alles auswählen
port 443
proto tcp
dev tun
ca ca.crt
cert vpn-server.crt
key vpn-server.key # This file should be kept secret
dh dh.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "dhcp-option DNS 192.168.7.2"
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3
explicit-exit-notify 0
Code: Alles auswählen
client
dev tun
proto tcp
remote ---.net 443
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
auth SHA256
key-direction 1
verb 3
<ca>
---
</ca>
<cert>
---
</cert>
<key>
---
</key>
<tls-auth>
---
</tls-auth>
Danke im voraus für Eure Hilfe. Ich dachte ich schaffe das Heute noch. Ich muss ab Morgen zum Kunden fahren, werde also etwas später da weiter suchen können.
Grüße, Bernd