goldfisch1980
Goto Top

default route anpassen und auf VPN setzen

über bestehende VPN Verbindung den Internettraffic laufen lassen

Hallo!

Ich habe einen router der mit openVPN ausgestattet ist. Zu diesem stelle ich mit meinem Windows eine openVPN Verbindung über das Internet her (soweit geht das und klappt gut).
Ich möchte nun aber auch, dass auch der Internetverkehr vom Windows Client über diesen Router B geroutet wird, und nicht über den standard internetzugang der beim Router A dranhängt.

Hier eine versuchte Skizze:

Windows Client (VPN Client) ---> ROUTER A (192.168.1.1) --------> VPN Verbindung via Internet --------> ROUTER B (openVPN, IP 192.168.2.1) --------> Internet
|
|-----------------> Internet


Derzeit wird also das "Internet" von dem Windows Client immer über Router A geleitet, es soll aber über Router B geleitet werden!

mit route print werden immer 2 default routen von dem openVPN client auf dem Windows eingetragen:

Netzwerkziel......Netzwerkmaske...........Gateway....................Schnittstelle....................Metrik
0.0.0.0....................0.0.0.0....................192.168.1.1....................192.168.1.5........................26
0.0.0.0....................0.0.0.0....................192.168.2.1....................192.168.2.151....................30

Wenn ich den Eintrag an Gateway 192.168.1.1 lösche (route delete 0.0.0.0 mask 0.0.0.0 192.168.1.1), dann geht gar nichts mehr...!?
Ich denke ich muss ihm sagen, dass nur das VPN über das Internet laufen darf, und der rest dann über das VPN? Aber WIE?

Ich habe was gelesen, dass mit der Metrik das definiert werden kann. Aber irgendwie kapiere ich das nicht so ganz... !?
Ausserdem verändern sich die Metrik-werte nach jeder Einwahl hab ich den Eindruck!?

Vermutlich simpel was ich will, aber ich verstehs leider nicht ganz... Für hilfe bin ich dankbar!

lg
Phil

Content-ID: 114954

Url: https://administrator.de/contentid/114954

Ausgedruckt am: 05.11.2024 um 23:11 Uhr

chfr77
chfr77 01.05.2009 um 12:31:23 Uhr
Goto Top
Die Routing-Metrik sagt dem Router wieviel die Übertragung über einen Weg "kostet". D.h. es wird bei obiger Tabelle immer das Gateway x.1.1 verwendet.
Wenn sich die Metrik dauernd ändert, dann wird sie wahrscheinlich automatisch vergeben. Das kann man bei Windows unter "Eigenschaften von XYZ-Verbindung"->"Eigenschaften von Ipv4 Protokoll"->Klick auf "Erweitert"->unten "automatische Metrik" abwählen, dann Wert vergeben beeinflussen. Die Route kann auch eine feste Metrik bekommen, beim Windows "route" Befehl Metrik 1 erzwingen:
> route ADD 0.0.0.0 MASK 0.0.0.0 192.168.1.1 METRIC 1

Also WinBox->A->B->InetHost
1) auf Winbox die Standardroute auf A
2) je nach Konfiguration von diesem VPN-Konstrukt, Routen/NAT/sonstwas auf A/B einstellen
3) auf B die Route für Winbox -> Inet-Gateway

Die 2. Route verstehe ich sowieso nicht, wenn das das Netz in der Hauptstelle ist, dann kann doch WinBox keine Schnittstelle 192.168.2.151 haben. Das muss doch dann über den Tunnel gehen, den WinBox auf 192.168.1.1 erreicht.

192.168.1.5 <--> 192.168.1.1 <Tunnel> 192.168.2.1 <--> 192.168.2.123 Host im Hauptstellennetz

Oder was für ein VPN ist das? Wenn das nur EinwahlVPN der WinBox ist, dann reicht es wenn man bei den VPN-Einstellungen "Standardgateway im Remotenetzwerk" setzt.
goldfisch1980
goldfisch1980 01.05.2009 um 15:56:02 Uhr
Goto Top
Oh ok... da war irgendwas ned richtig konfiguriert...

im openVPN Server habe ich noch die Einstellungen ergänzt:

push "redirect-gateway"
push "dhcp-option DNS 192.168.2.1"

Nun stellt er auf dem Windows Client die route auch entsprechend um:

Netzwerkziel......Netzwerkmaske...........Gateway....................Schnittstelle....................Metrik
0.0.0.0............................0.0.0.0...............192.168.2.1 ............192.168.2.151....................286

Die andere default route ist nun nicht mehr vorhanden.
Aber jetzt geht leider gar nichts mehr... Kann nedmal mehr google oder den 192.168.2.1 (Router B) anpingen!
Was mach ich denn falsch?

Phil
chfr77
chfr77 02.05.2009 um 11:48:14 Uhr
Goto Top
Wenn die Hosts im Hauptstellennetz nun erreichbar sind ist das nicht falsch, sondern richtig.
Wie/ob 192.168.2.151 auf etwas weiteres zugreifen kann wird nun auf der VPN-Dienst Seite entschieden.
Meistens will man damit ja genau das erreichen, das der Client nicht parallel im Internet und im Firmennetz ist.