Einige Unklarheiten bei VPN- Verbindung

[thunder11]

Ich würde mal gerne durch die Mechanismen bei einem VPN durchsteigen.

Ich habe mir durch den Service von Purevpn eine ikev2 Verbindung einrichten lassen,
da die Verbindung über Openvpn nach fast 2 Jahren urplötzlich nicht mehr funktionierte.

Soweit so gut - läuft wieder prima seit diversen Monaten.

Ich stelle die Verbindung Rechner-weit als Root mit

Code: Alles auswählen

ipsec up ike

her.
Der Rechner ist mit LAN- Kabel am Router
Service:

Code: Alles auswählen

systemctl status ipsec
● strongswan-starter.service - strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf
     Loaded: loaded (/lib/systemd/system/strongswan-starter.service; enabled; preset: enabled)
     Active: active (running) since Mon 2023-05-08 16:21:42 CEST; 6h ago
   Main PID: 1698 (starter)
      Tasks: 18 (limit: 38079)
     Memory: 8.6M
        CPU: 1.152s
     CGroup: /system.slice/strongswan-starter.service
             ├─1698 /usr/lib/ipsec/starter --daemon charon --nofork
             └─1754 /usr/lib/ipsec/charon

Mai 08 22:26:05 XFCE charon[1754]: 07[IKE] sending keep alive to 146.70.111.135[4500]
Mai 08 22:26:25 XFCE charon[1754]: 05[IKE] sending keep alive to 146.70.111.135[4500]
...
...

Die Internetverbindung funktioniert - selbst Streaming - tadellos.

Aber: Mein Heimnetz ist nicht mehr erreichbar.

- In der Fritzbox werden alle Geräte als verbunden (LAN- IP) angezeigt.
- Weder Router, noch Drucker noch Handy (über IP) kann ich anpingen.
- Will ich was drucken (Drucker über LAN angeschlossen), muss ich das VPN ausschalten.
- Mein Laptop ist z.Z. in "Ruhestand", würde aber wohl genauso nicht erreichbar sein.
- Die Fritzbox kann ich nur erreichen über https://fritz.box/, über die IP geht es nicht.
- Im Router ist das WLAN nur Zeitweise eingeschaltet, Habe ich den Rechner
mit dem VPN verbunden, ist WLAN - trotz Zeitsperre- sofort wieder aktiv.
- Der FTP-Server auf dem Handy funktioniert dementsprechend auch nicht mehr

Würde mich freuen, wenn mir das jemand "Idioten gerecht" erklären könnte.
Ist es möglich das LAN trotz VPN irgendwie zu aktivieren ?
Danke

[oln]

Moin,
das Zauberwort heist "Split Tunnel".
Im Augenblick wird dein kompletter Traffic über das VPN geschickt. Das du dann keine internen Geräte erreichst ist klar.

[thunder11]

das Zauberwort heist "Split Tunnel".

Ah - danke.
Wenn ich danach suche, werden in erster Linie Tools von den jeweiligen VPN- Providern genannt. wie ich das aber bei meinem Ipsec/IKE2
Tunnel bewerkstelligen soll --- keine Ahnung.
Ich poste hier mal auf Verdacht die /etc/ipsec.conf, die für mich mehr oder weniger chinesisch ist.

Code: Alles auswählen

conn ike
  keyexchange=ikev2
  dpdaction=clear
  dpddelay=300s
  keyingtries=1
  eap_identity="purevpnxxxxxxxx"
  leftauth=eap-mschapv2
  left=%defaultroute
  leftsourceip=%config
  right=rs-ikev.ptoserver.com
  rightauth=pubkey
  rightsubnet=0.0.0.0/0
  rightid=pointtoserver.com
  rightsendcert=never
  type=tunnel
  auto=add

Edit

Hab noch etwas "gewühlt"
Die /etc/strongswan.d/charon.conf scheint mir da eventuell zuständig zu sein ?
41901

[mat6937]

Wenn ich danach suche, werden in erster Linie Tools von den jeweiligen VPN- Providern genannt. wie ich das aber bei meinem Ipsec/IKE2
Tunnel bewerkstelligen soll --- keine Ahnung.

Ist das dein IPsec/IKE2? Denn im 1. Beitrag schreibst Du auch was von "Service von Purevpn" und das ist doch ein VPN-Provider, oder?
Wie bzw. von wem wurde das Routing konfiguriert? Wie sind die Ausgaben von:

Code: Alles auswählen

ip a
ip r

?

[thunder11]

Beitrag schreibst Du auch was von "Service von Purevpn" und das ist doch ein VPN-Provider, oder?
Wie bzw. von wem wurde das Routing konfiguriert? Wie sind die Ausgaben von:

Ja das Ist ein Provider
Das VPN wurde via AnyDesk zusammen mit einem Service- Mitarbeiter konfiguriert, nachdem die Verbindung via CLI (purevpn -c <Land>)
nicht mehr funktionierte. (es wurde eine "schicke GUI" eingeführt, damit funktionierte die Verbindung über CLI nicht mehr.
.... Und die Gui natürlich auch nicht.
Hier die gewünschten Ausgaben

Code: Alles auswählen

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 70:85:c2:ff:1d:d5 brd ff:ff:ff:ff:ff:ff
    altname enp0s31f6
    inet 192.168.0.40/24 brd 192.168.0.255 scope global dynamic noprefixroute eno1
       valid_lft 855224sec preferred_lft 855224sec
    inet 10.69.5.203/32 scope global eno1
       valid_lft forever preferred_lft forever
    inet6 2a01:c22:35f4:6b00:a89b:6c6:fa3a:77af/64 scope global dynamic noprefixroute 
       valid_lft 7159sec preferred_lft 3559sec
    inet6 fe80::bdca:aed1:e247:ec4b/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Code: Alles auswählen

ip r
default via 192.168.0.1 dev eno1 proto dhcp src 192.168.0.40 metric 100 
169.254.0.0/16 dev eno1 scope link metric 1000 
192.168.0.0/24 dev eno1 proto kernel scope link src 192.168.0.40 metric 100 

[mat6937]

Hier die gewünschten Ausgaben

Code: Alles auswählen

ip a
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 70:85:c2:ff:1d:d5 brd ff:ff:ff:ff:ff:ff
    altname enp0s31f6
    inet 192.168.0.40/24 brd 192.168.0.255 scope global dynamic noprefixroute eno1
       valid_lft 855224sec preferred_lft 855224sec
    inet 10.69.5.203/32 scope global eno1
       valid_lft forever preferred_lft forever
    inet6 2a01:c22:35f4:6b00:a89b:6c6:fa3a:77af/64 scope global dynamic noprefixroute 
       valid_lft 7159sec preferred_lft 3559sec
    inet6 fe80::bdca:aed1:e247:ec4b/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Code: Alles auswählen

ip r
default via 192.168.0.1 dev eno1 proto dhcp src 192.168.0.40 metric 100 
169.254.0.0/16 dev eno1 scope link metric 1000 
192.168.0.0/24 dev eno1 proto kernel scope link src 192.168.0.40 metric 100 

Das sind jetzt die Ausgaben ohne VPN-Verbindung ...
Wie sind die Ausgaben von:

Code: Alles auswählen

ip -6 r
ip n s
ip r g 1.1.1.1
1p -6 r g 2620:0:ccc::2
arp-scan -I eno1 192.168.0.0/24

? ... weil "ip r" nur die IPv4-Routen gezeigt hat ...

[thunder11]

Mist.. Aus versehen meine Antwort weggedrückt

Das sind jetzt die Ausgaben ohne VPN-Verbindung ...

Nein mit VPN. Also Präambel:

Code: Alles auswählen

ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
^C
--- 192.168.0.1 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4087ms

aber...

Code: Alles auswählen

ping fritz.box
PING fritz.box(fritz.box (2a01:c22:35f4:6b00:3681:c4ff:fe32:fe68)) 56 data bytes
64 bytes from fritz.box (2a01:c22:35f4:6b00:3681:c4ff:fe32:fe68): icmp_seq=1 ttl=64 time=0.392 ms
64 bytes from fritz-nas.fritz.box (2a01:c22:35f4:6b00:3681:c4ff:fe32:fe68): icmp_seq=2 ttl=64 time=0.436 ms
64 bytes from fritz.box (2a01:c22:35f4:6b00:3681:c4ff:fe32:fe68): icmp_seq=3 ttl=64 time=0.439 ms
^C
--- fritz.box ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 0.392/0.422/0.439/0.021 ms

VPN

Code: Alles auswählen

curl ipinfo.io
{
  "ip": "146.70.111.149",
  "city": "Belgrade",
  "region": "Central Serbia",
  "country": "RS",
  "loc": "44.8040,20.4651",
  "org": "AS9009 M247 Europe SRL",
  "postal": "11000",
  "timezone": "Europe/Belgrade",
  "readme": "https://ipinfo.io/missingauth"
}

Jetzt deine Anfragen:

Code: Alles auswählen

ip -6 r
2a01:c22:35f4:6b00::/64 dev eno1 proto ra metric 100 pref medium
2a01:c22:35f4:6b00::/56 via fe80::3681:c4ff:fe32:fe68 dev eno1 proto ra metric 100 pref medium
fe80::/64 dev eno1 proto kernel metric 1024 pref medium
default via fe80::3681:c4ff:fe32:fe68 dev eno1 proto ra metric 100 pref medium

Code: Alles auswählen

ip n s
192.168.0.1 dev eno1 lladdr 34:81:c4:32:fe:68 REACHABLE 
2a01:c22:35f4:6b00:3681:c4ff:fe32:fe68 dev eno1 lladdr 34:81:c4:32:fe:68 router STALE 
fe80::3681:c4ff:fe32:fe68 dev eno1 lladdr 34:81:c4:32:fe:68 router REACHABLE 

Code: Alles auswählen

ip r g 1.1.1.1
1.1.1.1 via 192.168.0.1 dev eno1 table 220 src 10.69.5.203 uid 1000 
    cache 

Code: Alles auswählen

ip -6 r g 2620:0:ccc::2
2620:0:ccc::2 from :: via fe80::3681:c4ff:fe32:fe68 dev eno1 proto ra src 2a01:c22:35f4:6b00:a89b:6c6:fa3a:77af metric 100 pref medium

Code: Alles auswählen

# arp-scan -I eno1 192.168.0.0/24
Interface: eno1, type: EN10MB, MAC: 70:85:c2:ff:1d:d5, IPv4: 192.168.0.40
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.0.1     34:81:c4:32:fe:68       AVM GmbH

1 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.10.0: 256 hosts scanned in 2.028 seconds (126.23 hosts/sec). 1 responded

[mat6937]

Das sind jetzt die Ausgaben ohne VPN-Verbindung ...

Nein mit VPN. Also Präambel:

Ist das wirklich so, dass das:

Code: Alles auswählen

2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 70:85:c2:ff:1d:d5 brd ff:ff:ff:ff:ff:ff
    altname enp0s31f6
    inet 192.168.0.40/24 brd 192.168.0.255 scope global dynamic noprefixroute eno1
       valid_lft 855224sec preferred_lft 855224sec
    inet 10.69.5.203/32 scope global eno1
       valid_lft forever preferred_lft forever
    inet6 2a01:c22:35f4:6b00:a89b:6c6:fa3a:77af/64 scope global dynamic noprefixroute 
       valid_lft 7159sec preferred_lft 3559sec
    inet6 fe80::bdca:aed1:e247:ec4b/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Code: Alles auswählen

ip r
default via 192.168.0.1 dev eno1 proto dhcp src 192.168.0.40 metric 100 
169.254.0.0/16 dev eno1 scope link metric 1000 
192.168.0.0/24 dev eno1 proto kernel scope link src 192.168.0.40 metric 100 

mit VPN-Verbindung war?

[thunder11]

Ist das wirklich so, dass das mit VPN-Verbindung war?:

Ich schwöre, bei allem was mir heilig ist (ist aber nicht allzu viel )

Ist ja auch so, dass die Fritte alles als "verbundenen" ansieht.

[mat6937]

Ist ja auch so, dass die Fritte alles als "verbundenen" ansieht.

ist die FritzBox der VPN-Client oder ist dein Debian-System, der VPN-Client?

Poste mal _mit_ VPN-Verbindung, die Ausgaben von:

Code: Alles auswählen

host fritz.box 192.168.0.1
ping -c 3 -I 192.168.0.40 192.168.0.1
mtr -4nr -c 1 1.1.1.1

und _ohne_ VPN-Verbindung die Ausgaben von:

Code: Alles auswählen

host fritz.box 192.168.0.1
ping -c 3 192.168.0.1
ip r g 9.9.9.9
mtr -4nr -c 1 9.9.9.9

[thunder11]

Mit VPN:

Code: Alles auswählen

host fritz.box 192.168.0.1
;; communications error to 192.168.0.1#53: timed out

Code: Alles auswählen

ping -c 3 -I 192.168.0.40 192.168.0.1
PING 192.168.0.1 (192.168.0.1) from 192.168.0.40 : 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=0.394 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=0.416 ms
64 bytes from 192.168.0.1: icmp_seq=3 ttl=64 time=0.448 ms

--- 192.168.0.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2054ms
rtt min/avg/max/mdev = 0.394/0.419/0.448/0.022 ms

Code: Alles auswählen

mtr -4nr -c 1 1.1.1.1
Start: 2023-05-09T10:18:59+0200
HOST: XFCE                        Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 146.70.111.130             0.0%     1   36.6  36.6  36.6  36.6   0.0
  2.|-- 146.70.111.129             0.0%     1   36.9  36.9  36.9  36.9   0.0
  3.|-- 193.27.15.42               0.0%     1   53.4  53.4  53.4  53.4   0.0
  4.|-- 77.243.185.50              0.0%     1   36.7  36.7  36.7  36.7   0.0
  5.|-- 185.1.27.108               0.0%     1   37.0  37.0  37.0  37.0   0.0
  6.|-- 185.0.20.102               0.0%     1   54.9  54.9  54.9  54.9   0.0
  7.|-- 1.1.1.1                    0.0%     1   53.8  53.8  53.8  53.8   0.0

Ohne VPN

Code: Alles auswählen

 host fritz.box 192.168.0.1
Using domain server:
Name: 192.168.0.1
Address: 192.168.0.1#53
Aliases: 

fritz.box has address 192.168.0.1
fritz.box has IPv6 address fd00::3681:c4ff:fe32:fe68
fritz.box has IPv6 address 2a01:c22:35f4:6b00:3681:c4ff:fe32:fe68

Code: Alles auswählen

ping -c 3 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=0.424 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=0.443 ms
64 bytes from 192.168.0.1: icmp_seq=3 ttl=64 time=0.438 ms

--- 192.168.0.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2054ms
rtt min/avg/max/mdev = 0.424/0.435/0.443/0.008 ms

Code: Alles auswählen

ip r g 9.9.9.9
9.9.9.9 via 192.168.0.1 dev eno1 src 192.168.0.40 uid 1000 
    cache 

Code: Alles auswählen

# mtr -4nr -c 1 9.9.9.9
Start: 2023-05-09T10:23:16+0200
HOST: XFCE                        Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 192.168.0.1                0.0%     1    0.5   0.5   0.5   0.5   0.0
  2.|-- 62.52.201.184              0.0%     1    6.0   6.0   6.0   6.0   0.0
  3.|-- 62.53.2.82                 0.0%     1    6.4   6.4   6.4   6.4   0.0
  4.|-- 62.53.11.127               0.0%     1    7.2   7.2   7.2   7.2   0.0
  5.|-- 193.178.185.27             0.0%     1    7.3   7.3   7.3   7.3   0.0
  6.|-- 9.9.9.9                    0.0%     1    6.8   6.8   6.8   6.8   0.0

[mat6937]

Mit VPN:

Code: Alles auswählen

[code]mtr -4nr -c 1 1.1.1.1
Start: 2023-05-09T10:18:59+0200
HOST: XFCE                        Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 146.70.111.130             0.0%     1   36.6  36.6  36.6  36.6   0.0
  2.|-- 146.70.111.129             0.0%     1   36.9  36.9  36.9  36.9   0.0
  3.|-- 193.27.15.42               0.0%     1   53.4  53.4  53.4  53.4   0.0
  4.|-- 77.243.185.50              0.0%     1   36.7  36.7  36.7  36.7   0.0
  5.|-- 185.1.27.108               0.0%     1   37.0  37.0  37.0  37.0   0.0
  6.|-- 185.0.20.102               0.0%     1   54.9  54.9  54.9  54.9   0.0
  7.|-- 1.1.1.1                    0.0%     1   53.8  53.8  53.8  53.8   0.0

Hmm, ... das ist _mit_ VPN das v4-Routing:

Code: Alles auswählen

ip r
default via 192.168.0.1 dev eno1 proto dhcp src 192.168.0.40 metric 100 
169.254.0.0/16 dev eno1 scope link metric 1000 
192.168.0.0/24 dev eno1 proto kernel scope link src 192.168.0.40 metric 100 

und lt. traceroute/mtr ist der 1. hop die IPv4-Adresse 146.70.111.130. Die source-IP-Adresse ist auf dem lan-Interface eno1, die 10.69.5.203:

Code: Alles auswählen

ip r g 1.1.1.1
1.1.1.1 via 192.168.0.1 dev eno1 table 220 src 10.69.5.203 uid 1000 
    cache

Aber es ist keine definierte Route für den VPN-Tunnel ersichtlich. Lt. "ip r g 1.1.1.1" geht es schon über die FB (default route).
Konfiguriere auch:

Code: Alles auswählen

sysctl -w net.ipv4.conf.all.arp_filter=1
sysctl -w net.ipv4.conf.all.rp_filter=1

(persistent in der sysctl.conf oder gleichwertig).

EDIT:

Das wird ein IPv6-VPN-Tunnel sein:

Code: Alles auswählen

ip -6 r
2a01:c22:35f4:6b00::/64 dev eno1 proto ra metric 100 pref medium
2a01:c22:35f4:6b00::/56 via fe80::3681:c4ff:fe32:fe68 dev eno1 proto ra metric 100 pref medium

[thunder11]

Vergessen zu beantworten:

ist die FritzBox der VPN-Client oder ist dein Debian-System, der VPN-Client?

Mein Debian System ist der Client.
Sozusagen - wie mir scheint -an der FritzBox vorbei.

Konfiguriere auch:

Code: Alles auswählen

sysctl -w net.ipv4.conf.all.arp_filter=1
sysctl -w net.ipv4.conf.all.rp_filter=1

(persistent in der sysctl.conf oder gleichwertig).

Mir ist nicht ganz klar, was das bewirkt:
Mal zu Verständnis:
Ich editiere die /etc/sysctl.conf oder die /etc/sysctl.d/99-sysctl.conf
Sorry aber mir ist nicht klar welche der beiden , oder ob das dann automatisch ergänzt wird.

die Datei kann ich doch auch normal editieren ? Was bewirkt

Code: Alles auswählen

sysctl -w

Wo wird das dann geändert ? Wenn es mit sysctl nicht in diese Dateien geschrieben wird,
kann man das rückgängig machen ?

Bewirkt diese "Manipulation" das ein Split-Tunnel entsteht, oder
was bewirken die beiden Befehle
net.ipv4.conf.all.arp_filter=1
und
net.ipv4.conf.all.rp_filter=1

Bin was diese Sachen betrifft ein totaler Newbie

[mat6937]

Mein Debian System ist der Client.
Sozusagen - wie mir scheint -an der FritzBox vorbei.

Naja, es muss schon durch die FritzBox gehen und nicht an der FritzBox vorbei. Das zeigt ja auch die Ausgabe von:

Code: Alles auswählen

ip r g 1.1.1.1

_mit VPN_. Entscheidend ist anscheinend die 2. (source-)IPv4-Adresse vom Lan-Interface. Die 10.69.5.203 statt der 192.168.0.40.

Wird das evtl. über FW-Regeln gesteuert? Wie sind die Ausgaben von:

Code: Alles auswählen

iptables -nvx -L
iptables -nvx -L -t nat

? ... oder evtl. mit nftables? ... aber damit kenne ich mich (noch) nicht aus.

[thunder11]

iptables sind leer- steht bei mir nichts drin.

? ... oder evtl. mit nftables? ... aber damit kenne ich mich (noch) nicht aus.

Nö auch nicht.
Ich schreib mal die Ausgabe von

Code: Alles auswählen

ipsec up ike

nach nopaste 41902
Ich verstehe dort das meiste nicht .
Aber eventuell erhellt es ja dich (oder andere)

[mat6937]

Nö auch nicht.

Das:

Code: Alles auswählen

sending packet: from 192.168.0.40[500] to 146.70.111.134[500] (940 bytes)
received packet: from 146.70.111.134[500] to 192.168.0.40[500] (38 bytes)

ist anscheinend der VPN-Tunnel, aber dafür wird in der Ausgabe von "ip r" keine definierte Route angezeigt, was heißt es geht über die default Route (FB, 192.168.0.1).
Wenn man dann eine Route (mit VPN) zu einer IPv4-Adresse (1.1.1.1) im Internet anzeigen lässt, wird als source-IPv4-Adresse, die 10.69.5.203 angezeigt und als gateway, nicht die 192.168.0.40 (Anfang Tunnel) sondern die der FB (192.168.0.1):

Code: Alles auswählen

ip r g 1.1.1.1
1.1.1.1 via 192.168.0.1 dev eno1 table 220 src 10.69.5.203 uid 1000 
    cache 

angezeigt.
Versuch mal mit VPN:

Code: Alles auswählen

ping -c 3 -I 192.168.0.40 1.1.1.1

[thunder11]

Versuch mal mit VPN:

Code: Alles auswählen

ping -c 3 -I 192.168.0.40 debianforum.de
PING debianforum.de(kroker.debianforum.de (2a01:4f8:261:4fe1::2)) from 2a01:c23:64e9:1100:30ed:acf2:7f7d:d232 : 56 data bytes
64 bytes from kroker.debianforum.de (2a01:4f8:261:4fe1::2): icmp_seq=1 ttl=58 time=21.6 ms
64 bytes from kroker.debianforum.de (2a01:4f8:261:4fe1::2): icmp_seq=2 ttl=58 time=20.8 ms
64 bytes from kroker.debianforum.de (2a01:4f8:261:4fe1::2): icmp_seq=3 ttl=58 time=21.1 ms

--- debianforum.de ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 20.834/21.194/21.629/0.328 ms

Und für meinen Drucker:

Code: Alles auswählen

ping -c 3 -I 192.168.0.40 192.168.0.7
PING 192.168.0.7 (192.168.0.7) from 192.168.0.40 : 56(84) bytes of data.
From 192.168.0.1: icmp_seq=1 Redirect Host(New nexthop: 192.168.0.7)
64 bytes from 192.168.0.7: icmp_seq=1 ttl=254 time=1.72 ms
64 bytes from 192.168.0.7: icmp_seq=2 ttl=254 time=0.649 ms
64 bytes from 192.168.0.7: icmp_seq=3 ttl=254 time=0.475 ms

--- 192.168.0.7 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2029ms
rtt min/avg/max/mdev = 0.475/0.947/1.717/0.549 ms

Code: Alles auswählen

ping -c 3 192.168.0.7
PING 192.168.0.7 (192.168.0.7) 56(84) bytes of data.

--- 192.168.0.7 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2035ms

Die Frage ist ja, wie ich das dem VPN beibringe, ohne das meine lokale IP (2a01:c23:64e930ed:acf2:7f7d:d232) von Außen direkt angesprochen wird.
Wie ich das Laienhaft verstehe wird ja quasi das NAT und das VPN umgangen

[mat6937]

Die Frage ist ja, wie ich das dem VPN beibringe, ...

Evtl. mit "policy routing".

[thunder11]

Evtl. mit "policy routing".

Genauso gut könnte mir jemand sagen, "entwickle mal kurz eine Hyperschall-Rakete"
Hab mal was dazu gefunden:
https://www.juniper.net/documentation/u ... -vpns.html
Nix verstehen, ich Außengeländer. Dazu bräuchte es eine Kochanleitung für Dummies

Wie auch immer:
Hat mir bis hierhin geholfen, etwas mehr zu verstehen, was bei einem VPN vor sich geht.
Dafür erst mal Danke

[mat6937]

Genauso gut könnte mir jemand sagen, "entwickle mal kurz eine Hyperschall-Rakete"

Ergänze die Datei "/etc/iproute2/rt_tables", mit der Zeile:

Code: Alles auswählen

1	rt2

Danach in der Kommandozeile:

Code: Alles auswählen

ip route add 192.168.0.0/24 dev eno1 src 192.168.0.40 table rt2
ip rule add from 192.168.0.40/32 table rt2
ip rule add to 192.168.0.40/32 table rt2

Code: Alles auswählen

ip route list table rt2
ip rule show

Code: Alles auswählen

ping -c 3 192.168.0.7

[thunder11]

Ergänze die Datei "/etc/iproute2/rt_tables", mit der Zeile:

Code: Alles auswählen

cat /etc/iproute2/rt_tables
#
# reserved values
#
255	local
254	main
253	default
0	unspec
#
# local
#
#1	inr.ruhep
1	rt2

Danach in der Kommandozeile:

Code: Alles auswählen

ip route add 192.168.0.0/24 dev eno1 src 192.168.0.40 table rt2
ip rule add from 192.168.0.40/32 table rt2
ip rule add to 192.168.0.40/32 table rt2

Gemacht

Code: Alles auswählen

# ip route list table rt2
Error: ipv4: FIB table does not exist.
Dump terminated

Code: Alles auswählen

# ip rule show
0:	from all lookup local
220:	from all lookup 220
32766:	from all lookup main
32767:	from all lookup default

Code: Alles auswählen

# ping -c 3 192.168.0.7
PING 192.168.0.7 (192.168.0.7) 56(84) bytes of data.

--- 192.168.0.7 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 2036ms

Hmm der erste Fehlstart meiner Hyperschall-Rakete

[mat6937]

Gemacht

Code: Alles auswählen

# ip route list table rt2
Error: ipv4: FIB table does not exist.
Dump terminated

Wie ist die Ausgabe von:

Code: Alles auswählen

ip route list table local

?

[thunder11]

Wie ist die Ausgabe von:

Code: Alles auswählen

ip route list table local

?

Mit VPN

Code: Alles auswählen

ip route list table local
local 10.69.5.237 dev eno1 proto kernel scope host src 10.69.5.237 
local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1 
local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 
broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 
local 192.168.0.40 dev eno1 proto kernel scope host src 192.168.0.40 
broadcast 192.168.0.255 dev eno1 proto kernel scope link src 192.168.0.40 

Ohne VPN

Code: Alles auswählen

ip route list table local
local 127.0.0.0/8 dev lo proto kernel scope host src 127.0.0.1 
local 127.0.0.1 dev lo proto kernel scope host src 127.0.0.1 
broadcast 127.255.255.255 dev lo proto kernel scope link src 127.0.0.1 
local 192.168.0.40 dev eno1 proto kernel scope host src 192.168.0.40 
broadcast 192.168.0.255 dev eno1 proto kernel scope link src 192.168.0.40 

[mat6937]

Code: Alles auswählen

# ip route list table rt2
Error: ipv4: FIB table does not exist.
Dump terminated

Evtl. ein Bug. Siehe: https://bugs.debian.org/cgi-bin/bugrepo ... bug=991016