[CLOSED] Mit Webbrowser auf Webserver hinter VPN zugreifen

[BrotherJ]

Hallo,

ich habe mit meinem Debian 11 und PulseSecure eine VPN-Verbindung aufgebaut:

Code: Alles auswählen

~ # ip a show tun0
8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1392 qdisc pfifo_fast state UNKNOWN group default qlen 500
    link/none 
    inet 10.60.9.105/32 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::6178:6109:24bd:7ae6/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever

Die Routingtabelle sieht wie folgt aus:

Code: Alles auswählen

 ~ # ip route
default via 192.168.0.1 dev enp5s0 onlink 
10.0.164.6 via 10.60.9.105 dev tun0 metric 1 
109.235.141.81 via 192.168.0.1 dev enp5s0 
192.168.0.0/24 dev enp5s0 proto kernel scope link src 192.168.0.2 
192.168.0.1 dev enp5s0 scope link 

Jetzt will ich per Webbrowser auf den Host 10.0.164.6 zugreifen, die URL wäre so etwas wie test.schiessmichtot.net in einem Intranet zu dem der VPN-Tunnel führt.
Wie muss ich meine Routing-Tabelle anpassen, dass das möglich wird?

Vielen Dank

BrotherJ

[unitra]

Versuchs mal mit

Code: Alles auswählen

http://10.0.164.6

Die Ausgabe der Kommandos beim Server, beim aufgebauten VPN:

Code: Alles auswählen

ip add
ip route

Jetzt will ich per Webbrowser auf den Host 10.0.164.6 zugreifen, die URL wäre so etwas wie test.schiessmichtot.net in einem Intranet zu dem der VPN-Tunnel führt.
Wie muss ich meine Routing-Tabelle anpassen, dass das möglich wird?

Vielen Dank

BrotherJ

[BrotherJ]

Versuchs mal mit

Code: Alles auswählen

http://10.0.164.6

Das geht natürlich nicht, da 10.0.164.6 meine Maschine und somit tun0 ist. Mein Apache lauscht nicht an diesem Device - das ist auch nicht das Ziel.

Die Ausgabe der Kommandos beim Server, beim aufgebauten VPN:

Code: Alles auswählen

ip add
ip route

Code: Alles auswählen

# ip route
default via 192.168.0.1 dev enp5s0 onlink 
10.0.164.6 via 10.60.9.105 dev tun0 metric 1 
109.235.141.81 via 192.168.0.1 dev enp5s0 
192.168.0.0/24 dev enp5s0 proto kernel scope link src 192.168.0.2 
192.168.0.1 dev enp5s0 scope link

Mein Ziel ist einen Server mit der IP-Adresse 10.62.35.4 mit einem Webbrowser zu erreichen - die URL kann ich aus datenschutzrechtlichen Gründen nicht preisgeben. Der eigentliche Weg wäre zuerst die VPN mittels PulseSecure und einem Token aufzubauen. Das mache ich jetzt gerade auch. Dann wäre der herkömmliche Weg mittels Parallels Client eben auf diesen Server 10.62.35.4 innerhalb von Parallels zu greifen. Den sehe ich dort zwar, aber kann ihn nicht öffnen, weil der Internetexplorer Edge nicht startet. Also überlege ich mir, wenn Parallels über dieses tun0 den Server sieht und sowie ein Webbrowser zur Bedienung notwendig ist, dann versuche ich doch gleich direkt mit Chrome oder Firefox auf diesen Server 10.62.35.4 zugreifen ohne Parallels. Deshalb war meine Frage nach dem Routing, weil meine Browser erst einmal die Defaultroute zum Internet sehen.

[uname]

PulseSecure kenne ich nicht und VPN nutze ich aktuell auch nicht.

Code: Alles auswählen

10.0.164.6 via 10.60.9.105 dev tun0 metric 1

Leider weiß ich nicht, ob das so wirklich korekt ist. Ich gehe aber mal davon aus, dass es stimmt.

Wenn das Routing funktioniert und die Firewall nichts blockt, müsste mindestens

Code: Alles auswählen

traceroute 10.0.164.6
ping 10.0.164.6

funktionieren. Wenn das funktioniert solltest du dir Gedanken um den Browser machen.

[BrotherJ]

Code: Alles auswählen

# traceroute 10.0.164.6
traceroute to 10.0.164.6 (10.0.164.6), 30 hops max, 60 byte packets
 1  10.200.200.200 (10.200.200.200)  24.292 ms  24.273 ms  24.270 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Ping geht leider nicht.

[uname]

Ich gehaupte mal, dass dein Routing falsch ist.

Code: Alles auswählen

 ~ # ip route
default via 192.168.0.1 dev enp5s0 onlink 
10.0.164.6 via 10.60.9.105 dev tun0 metric 1 
109.235.141.81 via 192.168.0.1 dev enp5s0 
192.168.0.0/24 dev enp5s0 proto kernel scope link src 192.168.0.2 
192.168.0.1 dev enp5s0 scope link

Wie wird denn 10.60.9.105 erreicht?
Scheinbar geht das Routing nicht durch den VPN-Tunnel.
Welche IP-Adresse erreichst du z. B. durch den Tunnel?

[BrotherJ]

Ich gehaupte mal, dass dein Routing falsch ist.

Code: Alles auswählen

 ~ # ip route
default via 192.168.0.1 dev enp5s0 onlink 
10.0.164.6 via 10.60.9.105 dev tun0 metric 1 
109.235.141.81 via 192.168.0.1 dev enp5s0 
192.168.0.0/24 dev enp5s0 proto kernel scope link src 192.168.0.2 
192.168.0.1 dev enp5s0 scope link

Wie wird denn 10.60.9.105 erreicht?
Scheinbar geht das Routing nicht durch den VPN-Tunnel.
Welche IP-Adresse erreichst du z. B. durch den Tunnel?

Deswegen frage ich hier ja auch. Denn wenn ich

Code: Alles auswählen

ip route add default via 10.60.9.105 dev tun0

ausführen möchte,
dann geht das nicht.

[unitra]

Das ist falsch:

Code: Alles auswählen

ip route add default via

Das wäre richtig: (die Netze sind nur Beispielnetze), ohne default

Code: Alles auswählen

ip route add 127.126.0.0/24 via 127.0.0.1

warum default? - damit ist die default route gemeint. 0.0.0.0/0. Die ist hier nicht wichtig.

Dann kannst Du auf der Gegenseite das Gleiche noch einmal machen, also die sog. "Rückroute" setzen, zu deinem fritbox.lan zu Hause, 192.168.0.0/24, erreichbar über das tun0 interface. Dann könnte es funktionieren.

Ich gehaupte mal, dass dein Routing falsch ist.

Code: Alles auswählen

 ~ # ip route
default via 192.168.0.1 dev enp5s0 onlink 
10.0.164.6 via 10.60.9.105 dev tun0 metric 1 
109.235.141.81 via 192.168.0.1 dev enp5s0 
192.168.0.0/24 dev enp5s0 proto kernel scope link src 192.168.0.2 
192.168.0.1 dev enp5s0 scope link

Wie wird denn 10.60.9.105 erreicht?
Scheinbar geht das Routing nicht durch den VPN-Tunnel.
Welche IP-Adresse erreichst du z. B. durch den Tunnel?

Deswegen frage ich hier ja auch. Denn wenn ich

Code: Alles auswählen

ip route add default via 10.60.9.105 dev tun0

ausführen möchte,
dann geht das nicht.

[bluestar]

Das sieht für mich so aus als wäre auf dem VPN Server das Rückrouting fehlerhaft.

[BrotherJ]

warum default? - damit ist die default route gemeint. 0.0.0.0/0. Die ist hier nicht wichtig.

Stimmt, da hatte ich falsch gedacht. Sage gleich warum.
Dann kannst Du auf der Gegenseite das Gleiche noch einmal machen, also die sog. "Rückroute" setzen, zu deinem fritbox.lan zu Hause, 192.168.0.0/24, erreichbar über das tun0 interface. Dann könnte es funktionieren.

Nein, das geht definitiv nicht. das hatte ich aber bereits hier posting.php?mode=quote&p=1287017&sid=4b ... #pr1286995 versucht zu erklären.
Im Übrigen funktioniert diese OpenVPN-Verbindung auf meinem LinkSys - keine Fritzbox - einwandfrei zu einem eigenen Root-Server:

Code: Alles auswählen

# ip route
default via 62.155.245.100 dev pppoe-wan 
10.8.0.0/24 dev tun0 scope link  src 10.8.0.2 
62.155.245.100 dev pppoe-wan scope link  src 94.105.62.191 
192.168.0.0/24 dev br-lan.1 scope link  src 192.168.0.1 

Die Tunnelroute zu dem MS-Server sieht so aus:

Code: Alles auswählen

default via 192.168.0.1 dev enp5s0 onlink 
10.0.164.6 via 10.60.9.105 dev tun0 metric 1 
109.235.141.81 via 192.168.0.1 dev enp5s0 
192.168.0.0/24 dev enp5s0 proto kernel scope link src 192.168.0.2 
192.168.0.1 dev enp5s0 scope link

Ich kann an dem MS-Server nichts konfigurieren. Ich soll bloss auf einen Server über eine URL oder IP zugreifen, indem ich zuerst mit SecurePlus (Pulse-linux-9.1r11.0-64bit.deb) diese VPN-Verbindung starte und dann mit dem Parallels Client (RASClient-18.1.22712_x86_64.deb) auf diesen MS-Server via Internetexplorer (innerhalb Parallels Client) zugreife. Parallels Client baut auch über dieses tun0 eine existierende Verbindung auf. Also funktioniert dieses gezeigte Routing. Da aber letzte Schritt, das Öffnen der URL mit Parallels Client auf meinem Linux nicht funktioniert, ist meine Idee, dass mein Chrome-Webbrowser oder Firefox eben dieses tun0 nutzen, um diese URL oder IP-Adresse anzuzeigen. Dann wäre der funktionsunfähige Parallels Client nicht notwendig. die PulseSecure VPN schon, weil ohne diese keine Verbindung zustandekommen wird.

Ich hoffe, mein Vorhaben wird klarer. Mir geht es darum, eine bestehende VPN-Leitung explizit mit dem lokalen Browser zum Zugriff auf den Server hinter der VPN-Leitung zu nutzen. Und noch einmal, ich kann an der Gegenseite nichts verändern.

[bluestar]

Ich hoffe, mein Vorhaben wird klarer. Mir geht es darum, eine bestehende VPN-Leitung explizit mit dem lokalen Browser zum Zugriff auf den Server hinter der VPN-Leitung zu nutzen. Und noch einmal, ich kann an der Gegenseite nichts verändern.

Du versuchst also auf eine URL in dem Netzwerk hinter dem VPN-Server zuzugreifen, ist das korrekt?

[BrotherJ]

Du versuchst also auf eine URL in dem Netzwerk hinter dem VPN-Server zuzugreifen, ist das korrekt?

Richtig. Ich soll auf diese URL zu greifen, um von dann an die eigentliche Arbeitsumgebung zu gelangen, die für mich freigeschaltet ist. Alle Anderen haben Windows OS und gehen den Weg PulseSecure VPN und Parallels Client, um dann genauso Zugriff zu bekommen. Bei mir arbeitet aber der Parallels Client nicht wie gewünscht. Da der Zugriff über eine interne URL, die ohnehin nur mit IE, Chrome oder Firefox abgerufen wird, versuche ich es direkt ohne Parallels Client.
Also der Parallels Client sieht bei gleichem Routing auf meinem Rechner eben diesen Fernwartungsrechner. Ergo funktioniert das Routing, es sollte bloss ohne diesen Client auch funktionieren.

[bluestar]

Du versuchst also auf eine URL in dem Netzwerk hinter dem VPN-Server zuzugreifen, ist das korrekt?

Richtig.

Gut dann ist es leider ein Rückrouting-Problem in dem
LAN hinter dem Windows Server.

[BrotherJ]

Okay, dann muss man eben eine andere Lösung finden. Dann geht das leider so nicht.
Vielen Dank für Euere Untestützung.