steinpilz
12.08.2014, aktualisiert am 13.08.2014 um 13:24:37 Uhr
view4481
view33
0
Goto Top

OPEN-VPN Server als Internetgateway konfigurieren!

gelöstFrageLinuxLinux Netzwerk
Guten Morgen,
Ich bin im Bereich von Mikrocontroller Software und Hardware Entwicklung tätig!
Leider bin ich im Bereich Server Linux u.s.w. nicht gerade ein Guru, habe deshalb auch gewisse Schwierigkeiten!
Dank Dieses Forum und deren Inhalte habe ich es geschafft mir auf Hostingparadies einen Linux Server zu mieten und darauf einen OpenVpn Server zu installieren.
Habe auch erfolgreich mehrere WRT mit Openvpn im Einsatz und kann so auf verschiedene Netze zugreifen.
Da es mir immer wieder passiert das ich in Hotels unter komme in denen das Internet sehr eingeschränkt nutzbar ist möchte ich den Internet Trafic von meinem Notebook durch das Vpn jagen!
Habe dafür meinen OPENVPN Server auf TCP umgestellt und verwende den Port 443, so konnte ich bereits mein Vpn ohne Schwierigkeiten aus den Hotels erreichen.
Mein Problem ist jetzt noch denn Server so zu konfigurieren das dieser als Internet Gatway funktioniert!
Habe dazu die Anleitung dieser Seite http://wiki.nefarius.at/linux/mit_openvpn_ins_internet versucht umzusetzen aber leider ohne Erfolg.
Sobald ich in der Client Config den redirect Befehl aktiviere kann ich auf keine Seite mehr zugreifen!
Wäre sehr froh wenn mir jemand helfen könnte !

Das Betriebssystem meines Servers ist Ubuntu!

Vielen Dank für Eure Hilfe
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 246259

Url: https://administrator.de/forum/open-vpn-server-als-internetgateway-konfigurieren-246259.html

Ausgedruckt am: 05.02.2025 um 10:02 Uhr

33 Kommentare
Neuester Kommentar
Goto Top
Chonta
Chonta 12.08.2014 aktualisiert um 08:36:40 Uhr
Goto Top
Hallo,

auf die Schnelle um zu sehen ob dein VPN -Server überhaupt das macht was DU willst folgendes.
Da ich nicht genau weiß welches OS Du benutzt.
-Im Hotell oder wo auch immer die IP vom Gateway rausbekommen. (DHCP)
-Eine Route zur IP deines OpenVPN Servers über das Gateway einrichten.
- verbinden
- dein Defaultgateway auf die IP vom OpenVPN Server stellen.

Damit der OpenVPN-Server für dich aber jetzt das Internet bereitstellt, muss er ggf noch so eingestellt werden, das er das VPN-Netz Natet.
Sonst versucht der zu routen und das kann nicht gehen, außer Du hast für das VPN öffentliche IPs verwendet, die Rootbar sind.

Wenn es mehrere Netze gibt die an diesem VPN-Server hängen und verbunden sind, konnen die sich untereinander unterhalten?

Gruß

Chonta
Steinpilz
Steinpilz 12.08.2014 um 08:45:07 Uhr
Goto Top
Zitat von @Chonta:

Hallo,

auf die Schnelle um zu sehen ob dein VPN -Server überhaupt das macht was DU willst folgendes.
Da ich nicht genau weiß welches OS Du benutzt.
Guten Morgen,
ich verwende auf meinem Laptop WIN7!
-Im Hotell oder wo auch immer die IP vom Gateway rausbekommen. (DHCP)
-Eine Route zur IP deines OpenVPN Servers über das Gateway einrichten.
- verbinden
- dein Defaultgateway auf die IP vom OpenVPN Server stellen.

Sollte dies nicht Automatisch passieren wenn in der Server Config push "redirect-gateway" steht!
Damit der OpenVPN-Server für dich aber jetzt das Internet bereitstellt, muss er ggf noch so eingestellt werden, das er das
VPN-Netz Natet.

Ich vermute genau da liegt mein Problem!

Sonst versucht der zu routen und das kann nicht gehen, außer Du hast für das VPN öffentliche IPs verwendet, die
Rootbar sind.

Wenn es mehrere Netze gibt die an diesem VPN-Server hängen und verbunden sind, konnen die sich untereinander unterhalten?

Ja ich kann von jeden Beliebigen Standort auf Andere Standorte zugreifen!
Danke
LG

Gruß

Chonta
colinardo
colinardo 12.08.2014 aktualisiert um 09:01:01 Uhr
Goto Top
Moin,
hast du denn deiner OpenVPN-Server Firewall die benötigten Source-NAT-Regeln hinzugefügt und IPForwarding aktiviert ?:
http://wiki.openvpn.eu/index.php/Konfiguration_eines_Internetgateways#F ...
Dort der Abschnitt Forwarding und NAT

Grüße Uwe
Steinpilz
Steinpilz 12.08.2014 aktualisiert um 09:09:08 Uhr
Goto Top
Zitat von @colinardo:

Moin,
hast du denn deiner OpenVPN-Server Firewall die benötigten Source-NAT-Regeln hinzugefügt und IPForwarding aktiviert ?:
http://wiki.openvpn.eu/index.php/Konfiguration_eines_Internetgateways#F ...
Dort der Abschnitt Forwarding und NAT

Grüße Uwe

welches Netzwerkinterface soll ich in iptables -t nat -A POSTROUTING -o ethX -s 10.8.0.0/24 -j SNAT --to 1.1.1.1 eintragen

ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.98.1.1 P-t-P:10.98.1.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.99.10.1 P-t-P:10.99.10.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun2 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.198.1.1 P-t-P:10.198.1.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun3 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.2 P-t-P:127.0.0.2 Bcast:0.0.0.0 Mask:255.255.255.255
inet6 addr: 2a00:6480:2:1:0:1:c7f2:7b32/128 Scope:Global
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:1994 errors:0 dropped:0 overruns:0 frame:0
TX packets:1985 errors:0 dropped:2 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:252552 (252.5 KB) TX bytes:182798 (182.7 KB)

venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:213.218.XXX.XXX P-t-P:213.218.XXX.XXX Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1


Danke
Lg
colinardo
colinardo 12.08.2014 aktualisiert um 09:30:28 Uhr
Goto Top
auf venet0 wenn das das Interface ist was direkt im Internet hängt. Aber die verwendeten IPs musst du im Befehl natürlich an deinen Gegebenheiten anpassen !
Für das eine Netz 10.8.0.0/24 Netz sieht die Regel bei dir dann so aus (externe feste IP natürlich anpassen)
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 213.218.XXX.XXX
Diese Regel musst du für jedes deiner OpenVPN-Netze wiederholen das genattet werden soll.

Und nicht vergessen die Regeln zu speichern, sonst sind sie nach einem Neustart des Servers weg!
je nach Linux.Version geht dies mit: service iptables save
Steinpilz
Steinpilz 12.08.2014 um 09:55:35 Uhr
Goto Top
Zitat von @colinardo:

auf venet0 wenn das das Interface ist was direkt im Internet hängt. Aber die verwendeten IPs musst du im Befehl
natürlich an deinen Gegebenheiten anpassen !
Für das eine Netz 10.8.0.0/24 Netz sieht die Regel bei dir dann so aus (externe feste IP natürlich anpassen)
> iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 213.218.XXX.XXX
>
Diese Regel musst du für jedes deiner OpenVPN-Netze wiederholen das genattet werden soll.

Und nicht vergessen die Regeln zu speichern, sonst sind sie nach einem Neustart des Servers weg!
je nach Linux.Version geht dies mit: service iptables save


Habe jetzt alles so wie beschreiben gemacht aber leider funktioniert es nicht!
Wenn ich den Tunnel aufbaue und den Browser öffne und auf der seite wie ist meine Ip kontrolliere habe ich immer noch nicht die Ip vom Server!
Wie kann ich den Fehler den ich mache lokalisieren?
Vielen Dank für Deine Hilfe
colinardo
colinardo 12.08.2014 aktualisiert um 10:05:25 Uhr
Goto Top
Zitat von @Steinpilz:
Wie kann ich den Fehler den ich mache lokalisieren?
mach mal ein route print auf deinem Client und ein tracert google.de.

wurde der OpenVPN-Client mit Admin-Rechten gestartet ?
Steinpilz
Steinpilz 12.08.2014 um 10:11:26 Uhr
Goto Top
Bitte schön

IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.99.99.10 10.99.99.205 25
0.0.0.0 0.0.0.0 10.99.1.2 10.8.0.6 286
0.0.0.0 0.0.0.0 10.8.0.1 10.8.0.6 286
10.8.0.4 255.255.255.252 Auf Verbindung 10.8.0.6 286
10.8.0.6 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.8.0.7 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.99.99.0 255.255.255.0 Auf Verbindung 10.99.99.205 281
10.99.99.205 255.255.255.255 Auf Verbindung 10.99.99.205 281
10.99.99.255 255.255.255.255 Auf Verbindung 10.99.99.205 281
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.56.0 255.255.255.0 Auf Verbindung 192.168.56.1 276
192.168.56.1 255.255.255.255 Auf Verbindung 192.168.56.1 276
192.168.56.255 255.255.255.255 Auf Verbindung 192.168.56.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.56.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 10.99.99.205 281
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.6 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.56.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 10.99.99.205 281
255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.6 286
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 10.99.1.2 Standard
0.0.0.0 0.0.0.0 10.8.0.1 Standard

Routenverfolgung zu google.de [74.125.136.94] über maximal 30 Abschnitte:

1 1 ms 1 ms 1 ms 10.99.99.10
2 1 ms 1 ms 1 ms 192.168.10.1
3 * * * Zeitüberschreitung der Anforderung.
4 67 ms 67 ms 67 ms host21-158-static.36-88-b.business.telecomitalia
.it [88.36.158.21]
5 70 ms 71 ms 67 ms 217.141.106.141
6 82 ms 79 ms 83 ms 172.17.9.109
7 77 ms 79 ms 79 ms 172.17.6.81
8 78 ms 79 ms 79 ms pos1-13-0-0.milano50.mil.seabone.net [93.186.128
.97]
9 74 ms 75 ms 91 ms 74.125.51.12
10 74 ms 75 ms 75 ms 209.85.241.94
11 86 ms 99 ms 88 ms 72.14.232.76
12 95 ms 103 ms 95 ms 209.85.241.228
13 98 ms 99 ms 99 ms 216.239.48.143
14 98 ms 99 ms 99 ms 216.239.49.30
15 * * * Zeitüberschreitung der Anforderung.
16 106 ms 99 ms 99 ms ea-in-f94.1e100.net [74.125.136.94]

Ablaufverfolgung beendet.

So noch eine Info am Rande habe server 10.8.0.0 255.255.255.0 als IP vergeben!

Vielen Dank
colinardo
colinardo 12.08.2014 aktualisiert um 10:19:43 Uhr
Goto Top
So noch eine Info am Rande habe server 10.8.0.0 255.255.255.0 als IP vergeben!
hä?? das ist ein Netz und keine IP

Bist du gleichzeitig noch mit einem anderen (OpenVPN) Netz verbunden ? (10.99.99.10) Diese Route hat bei dir nämlich Vorrang vor der OpenVPN Route ( 10.8.0.0) !! und deswegen geht der Traffic nicht über das 10.8.0.0 Netz.

Wie oben bereits gesagt musst du dann für alle verwendeten Netze (bzw. 10.99.xx) das Natting auf dem Server aktivieren.
Steinpilz
Steinpilz 12.08.2014 um 10:20:39 Uhr
Goto Top
Bist du gleichzeitig noch mit einem anderen (OpenVPN) Netz verbunden ? (10.99.99.10) Diese Route hat bei dir nämlich Vorrang
vor der OpenVPN Route ( 10.8.0.0) !! und deswegen geht der Traffic nicht über das 10.8.0.0 Netz.

Nein mein Router mit dem ich per Wlan verbunden bin hat die Adresse 10.99.99.10

Danke LG
colinardo
colinardo 12.08.2014 aktualisiert um 10:42:44 Uhr
Goto Top
Zitat von @Steinpilz:
Nein mein Router mit dem ich per Wlan verbunden bin hat die Adresse 10.99.99.10
und ein weiteres OpenVPN Netz hat die 10.99.1.2 um welche Masken reden wir hier ?
Dein Router-Gateway hat auf jeden Fall eine niedrigere Metrik, hat also Vorrang vor dem OpenVPN Gateway, deswegen geht der Traffic über deinen eigenen Router. Warum das bei dir jetzt so ist ?
Eventuell Metrik mit übergeben : http://unix.stackexchange.com/questions/91071/openvpn-push-a-route-to-c ...
Oder die Metrik des WLAN-Adapters in den TCP-Eigenschaften manuell höher als 268 setzen.

Wurde der OpenVPN-Client als Admin gestartet?
Steinpilz
Steinpilz 12.08.2014 um 10:42:33 Uhr
Goto Top
Vielen Dank für deine Aufopfernde Hilfe!

und ein weiteres OpenVPN Netz hat die 10.99.1.2 um welche Masken reden wir hier ?
Entschuldige das war ein -überbleibsel von einer alten Config habe diese entfernt und habe noch mal ein route print angehängt!

IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.99.99.10 10.99.99.205 25
10.8.0.4 255.255.255.252 Auf Verbindung 10.8.0.6 286
10.8.0.6 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.8.0.7 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.99.99.0 255.255.255.0 Auf Verbindung 10.99.99.205 281
10.99.99.205 255.255.255.255 Auf Verbindung 10.99.99.205 281
10.99.99.255 255.255.255.255 Auf Verbindung 10.99.99.205 281
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.56.0 255.255.255.0 Auf Verbindung 192.168.56.1 276
192.168.56.1 255.255.255.255 Auf Verbindung 192.168.56.1 276
192.168.56.255 255.255.255.255 Auf Verbindung 192.168.56.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.56.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 10.99.99.205 281
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.6 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.56.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 10.99.99.205 281
255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.6 286

Dein Router-Gateway hat auf jeden Fall eine niedrigere Metrik, hat also Vorrang vor dem OpenVPN Gateway, deswegen geht der Traffic
über deinen eigenen Router. Warum das bei dir jetzt so ist ?

Wie kann ich das raus finden?

Eventuell Metrik mit übergeben :
http://unix.stackexchange.com/questions/91071/openvpn-push-a-route-to-c ...

Wurde der Client als Admin gestartet?

Ja der Client wurde als Admin gestartet!

Danke für Deine Hilfe
colinardo
colinardo 12.08.2014 aktualisiert um 10:54:30 Uhr
Goto Top
Zitat von @Steinpilz:
Wie kann ich das raus finden?
das galt für den vorherigen alten Schnippsel, im aktuellen ist nur dein eigener Router das einzige Gateway, wie du hier siehst.

IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.99.99.10 10.99.99.205 25


D.h. in einer deiner Open-VPN-Configs ist noch ein Fehler, da hier das Gateway nicht gepusht wird.
Poste also mal deine Server- und Client-OpenVPN-Config-Files.
Steinpilz
Steinpilz 12.08.2014 um 11:01:08 Uhr
Goto Top
Poste also mal deine Server- und Client-OpenVPN-Config-Files.

Hier die Server Conf

port 443
proto tcp-server
dev tun3
ca keys/gateway/ca.crt
cert keys/gateway/gateway_server.crt
key keys/gateway/gateway_server.key
dh keys/gateway/dh2048.pem
server 10.8.0.0 255.255.255.0
crl-verify keys/gateway/crl.pem
cipher BF-CBC
user nobody
group nogroup
status servers/Gateway_my/logs/openvpn-status.log
log-append servers/Gateway_my/logs/openvpn.log
verb 2
mute 20
max-clients 100
management 127.0.0.1 2200
keepalive 10 120
client-config-dir /etc/openvpn/servers/Gateway_my/ccd
comp-lzo
persist-key
persist-tun
ccd-exclusive
push "redirect-gateway def1" # leitet den Internettraffic am Client zum Server um
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)

Hier die ClientConfig

client
proto tcp-client
dev tun
ca ca.crt
dh dh2048.pem
cert peter_gateway.crt
key peter_gateway.key
remote xxxxxxxxx 443
cipher BF-CBC
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

Vielen Dank
colinardo
colinardo 12.08.2014 aktualisiert um 11:09:01 Uhr
Goto Top
trag mal in die Server-Config anstatt
push "redirect-gateway def1"
an dieser Stelle folgendes ein:
push "redirect-gateway"  
push "route 0.0.0.0 0.0.0.0"  
push "route 10.8.0.0 255.255.255.0"
Steinpilz
Steinpilz 12.08.2014 um 11:15:36 Uhr
Goto Top
Geil es funktioniert!

Kannst Du mir bitte noch erklären warum?
Und noch zum besseren verständnis wenn ich jetzt will das nur mein Notebook den weg ins internet über den Tunnel nimmt wie stelle ich das an?

Vielen Vielen Dank
hast mir echt sehr geholfen!face-big-smile
aqui
aqui 12.08.2014 aktualisiert um 11:24:05 Uhr
Goto Top
Nochwas nebenbei:
Habe dafür meinen OPENVPN Server auf TCP umgestellt
Das sollte man generell nicht machen und OpenVPN rät auch dringenst davon ab, da es zu massiven Performance Problemen kommen kann. Es ist erheblich sinnvoller immer eine UDP Encapsulation zu verwenden und niemals TCP wenn man es nicht muss. Besser also du stellst auf UDP 443 um, denn das wird so gut wie immer auch durchgeleitet da die meisten Hotels generell den Port 443 öffnen und aus Unwissen dann immer für beide Protokolle.
Zum Rest ist ja schon alles gesagt. Am Client ist nichts einzustellen. Lediglich in der Server konfig muss rein:
push "redirect-gateway def1"
Siehe dazu auch hier:
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Das ist alles.... Zum Rest hat Kollege colinardo ja schon alles gesagt !
Grundlagen auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Wenns das denn war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
colinardo
colinardo 12.08.2014 aktualisiert um 11:35:02 Uhr
Goto Top
Zitat von @Steinpilz:
Kannst Du mir bitte noch erklären warum?
steht so in den gängigen Anleitungen...s. @aqui
Die MANPAGE steht da auch immer zu Diensten: http://openvpn.net/index.php/open-source/documentation/manuals/65-openv ...

Und noch zum besseren verständnis wenn ich jetzt will das nur mein Notebook den weg ins internet über den Tunnel nimmt
wie stelle ich das an?
Entweder mit Override an den Clients:
https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

oder du lässt das pushing des Gateway aus der Server-Config weg und trägst in die Client-Config ein:
route 0.0.0.0 0.0.0.0 vpn_gateway 10
Steinpilz
Steinpilz 12.08.2014 um 12:00:52 Uhr
Goto Top

oder du lässt das pushing des Gateway aus der Server-Config weg und trägst in die Client-Config ein:
> route 0.0.0.0 0.0.0.0 vpn_gateway 10
>

Das heißt ich lasse aus der Server conf

push "redirect-gateway def1" # leitet den Internettraffic am Client zum Server um
push "route 0.0.0.0 0.0.0.0"
push "route 10.8.0.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)

und ich trage
ins ccd file des client

 route 0.0.0.0 0.0.0.0 vpn_gateway 10

ein!
Stimmt das so?

Vielen Herzlichen Dank!
colinardo
colinardo 12.08.2014 aktualisiert um 12:16:07 Uhr
Goto Top
Zitat von @Steinpilz:
Stimmt das so?
nicht ganz:

in der Server Config kommt das hier weg:
push "redirect-gateway def1" # leitet den Internettraffic am Client zum Server um   
push "route 0.0.0.0 0.0.0.0"   
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1   
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)
das push "route 10.8.0.0 255.255.255.0" verbleibt darin, so dass den Clients ja zumindest das VPN Netz kenntlich gemacht wird. Der Rest ist OK.

Viel Erfolg
Grüße Uwe

Wenns das dann war, den Beitrag bitte noch aufgelöst setzen. Merci.
Steinpilz
Steinpilz 12.08.2014 um 13:09:18 Uhr
Goto Top
Das CCD Fiele sieht jetzt so aus
ifconfig-push 10.99.1.1 10.99.1.2 #toshiba
#ad hier neue Befehle 
route 0.0.0.0 0.0.0.0 vpn_gateway 10
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1   
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)

Für das Nat habe ich diesen Befehl abgesetzt!
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 213.218.XXX.XXX

Und die Server Config sieht so aus

port 443
proto tcp-server
dev tun0
ca keys/test/ca.crt
cert keys/test/servertest.crt
key keys/test/servertest.key
dh keys/test/dh2048.pem
server 10.98.1.0 255.255.255.0
crl-verify keys/test/crl.pem
cipher BF-CBC
user nobody
group nogroup
status servers/serverMy/logs/openvpn-status.log
log-append servers/serverMy/logs/openvpn.log
verb 6
mute 20
max-clients 100
management 127.0.0.1 2000
keepalive 10 120
client-config-dir /etc/openvpn/servers/serverMy/ccd
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive
#up servers/serverMy/bin/serverMy.up
script-security 3

push "route 10.98.1.0 255.255.255.0"

Die Client Conf so
client
proto tcp-client
dev tun
ca ca.crt
dh dh2048.pem
cert pier.crt
key pier.key
remote 213.218.178.233 443
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
script-security 2

Leider Funktioniert es aber so wieder nicht!

Vielen Dank für deine Hilfe
colinardo
colinardo 12.08.2014 aktualisiert um 14:07:06 Uhr
Goto Top
Ich hatte oben geschrieben das du für jedes VPN Netz eine NAT-Rule erstellen musst:
Da das hier jetzt schon wieder ein anderes Netz ist 10.98.1.0 musst du natürlich auch die passende NAT-Rule erstellen:
iptables -t nat -A POSTROUTING -s 10.98.1.0/24 -o venet0 -j SNAT --to-source 213.218.XXX.XXX
und das xxx.xxx natürlich an die externe IP des Servers anpassen.
Steinpilz
Steinpilz 12.08.2014 um 14:29:59 Uhr
Goto Top
Sorry Habe denn obigen Befehl durcheinander gebracht Entschuldige Bitte!
Leider fehlt in der route Tabelle die route durch den Tunnel

===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      10.99.99.10     10.99.99.205     25
        10.99.1.0  255.255.255.252   Auf Verbindung         10.99.1.1    286
        10.99.1.1  255.255.255.255   Auf Verbindung         10.99.1.1    286
        10.99.1.3  255.255.255.255   Auf Verbindung         10.99.1.1    286
       10.99.99.0    255.255.255.0   Auf Verbindung      10.99.99.205    281
     10.99.99.205  255.255.255.255   Auf Verbindung      10.99.99.205    281
     10.99.99.255  255.255.255.255   Auf Verbindung      10.99.99.205    281
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
     192.168.56.0    255.255.255.0   Auf Verbindung      192.168.56.1    276
     192.168.56.1  255.255.255.255   Auf Verbindung      192.168.56.1    276
   192.168.56.255  255.255.255.255   Auf Verbindung      192.168.56.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.56.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung         10.99.1.1    286
        224.0.0.0        240.0.0.0   Auf Verbindung      10.99.99.205    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.56.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung         10.99.1.1    286
  255.255.255.255  255.255.255.255   Auf Verbindung      10.99.99.205    281
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle
aqui
aqui 12.08.2014 aktualisiert um 16:49:11 Uhr
Goto Top
In der Server config fehlt wieder:
push "redirect-gateway def1"
Wie soll denn jetzt jeglicher Traffic des Clients in den Tunnel geroutet werden ???
push "route 10.98.1.0 255.255.255.0" routet ja einzig und allein nur noch Traffic für das 10.98.1.0er Netz in den VPN Tunnel ??! Alles andere geht lokal ins Internet.
Steinpilz
Steinpilz 12.08.2014 um 17:29:21 Uhr
Goto Top
Ich möchte doch nur das gewisse clients den gesammten Trafic durch den Tunnel routen!
Geht das trozdem?
Danke
Chonta
Chonta 12.08.2014 um 17:38:40 Uhr
Goto Top
Hallo,

wenn das NAT eingestellt ist, kannst Du wenn Adminrechte auf dem Client vorhanden sind, die Ruten wie ich oben beschrieben habe umbiegen.
Einstellungen auf dem Server gelten immer für alle.
Das man nur in der Clientconfig das umbiegen kann ist mir nicht bekannt.

Gruß

Chonta
Steinpilz
Steinpilz 13.08.2014 um 12:20:08 Uhr
Goto Top
Hallo nochmal!
Entschuldigt bitte meine Doofheit aber ich bekomme es einfach nicht zum laufen!
Das Problem ist ich möchte das nur ausgewählte Clients ihren Internet Traffic durch den Tunnel tätigen!
Aber aus irgendeinen Grund Tätigen Alle den Traffic durch den Tunnel!
Nochmal die Server Config
port 443
proto tcp-server
dev tun0
ca keys/test/ca.crt
cert keys/test/servertest.crt
key keys/test/servertest.key
dh keys/test/dh2048.pem
server 10.98.1.0 255.255.255.0
crl-verify keys/test/crl.pem
cipher BF-CBC
user nobody
group nogroup
status servers/serverMy/logs/openvpn-status.log
log-append servers/serverMy/logs/openvpn.log
verb 6
mute 20
max-clients 100
management 127.0.0.1 2000
keepalive 10 120
client-config-dir /etc/openvpn/servers/serverMy/ccd
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive
script-security 3

route 10.99.10.0 255.255.255.0 #wrt_B
push "route 192.168.20.0 255.255.255.0"  
route 10.99.11.0 255.255.255.0 #WRT A
push "route 10.99.99.0 255.255.255.0"  
route 10.99.1.0 255.255.255.0 #Susi
route 10.99.2.0 255.255.255.0 #Xpiria
route 10.99.3.0 255.255.255.0 #Acer


push "redirect-gateway def1"   

push "route 10.98.1.0 255.255.255.0"
Client Config
client
proto tcp-client
dev tun
ca ca.crt
dh dh2048.pem
cert pier.crt
key pier.key
remote 213.218.178.XXX.XXX
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
script-security 2
das CCD File
ifconfig-push 10.99.1.1 10.99.1.2 #Susi
push "route 10.99.10.0 255.255.255.0" #wrt_A  
push "route 192.168.20.0 255.255.255.0"  
push "route 10.99.11.0 255.255.255.0" #wrt_B  
push "route 10.99.99.0 255.255.255.0"  
push "route 10.199.9.0 255.255.255.0" #wrt_C  
push "route 192.168.21.0 255.255.255.0"  
push "route 10.99.3.0 255.255.255.0"  

route 0.0.0.0 0.0.0.0 vpn_gateway 10
Bitte seit so nett und seht Euch das nochmal an!
Vielen Herzlichen Dank!
Chonta
Chonta 13.08.2014 um 12:38:48 Uhr
Goto Top
Hallo,

Du machst das Redirect auf dem Server und dann gilt das neue Defaultgateway auch für alle.
Wenn Du den VPN-Server schon soweit hast, das er mit der Option erfolgreich das Internet zur Verfügung stellt, dann nim die Option raus und passe auf deinen Clients die Routen an.
Die Route zum VPN-server immer über das Hotel Netzwerk und alles andere über den Tunnel.

Gruß

Chonta
Steinpilz
Steinpilz 13.08.2014 um 13:13:34 Uhr
Goto Top
So jetzt habe ich einen Versuch gestartet und es funktioniert!
Habe nun
Folgendes ins CCD File eingetragen
ifconfig-push 10.99.1.1 10.99.1.2 #susi toshiba
push "route 10.99.10.0 255.255.255.0" #wrt_A  
push "route 192.168.20.0 255.255.255.0"  
push "route 10.99.11.0 255.255.255.0" #wrt_B  
push "route 10.99.99.0 255.255.255.0"  
push "route 10.199.9.0 255.255.255.0" #wrt_C  
push "route 192.168.21.0 255.255.255.0"  
push "route 10.99.3.0 255.255.255.0"  

push "redirect-gateway def1"    
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1    
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)

Die Server Config sieht so aus
port 443
proto tcp-server
dev tun0
ca keys/test/ca.crt
cert keys/test/servertest.crt
key keys/test/servertest.key
dh keys/test/dh2048.pem
server 10.98.1.0 255.255.255.0
crl-verify keys/test/crl.pem
cipher BF-CBC
user nobody
group nogroup
status servers/serverMy/logs/openvpn-status.log
log-append servers/serverMy/logs/openvpn.log
verb 6
mute 20
max-clients 100
management 127.0.0.1 2000
keepalive 10 120
client-config-dir /etc/openvpn/servers/serverMy/ccd
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive


route 10.99.10.0 255.255.255.0 #wrt_A
push "route 192.168.20.0 255.255.255.0"  
route 10.99.11.0 255.255.255.0 #WRT B
push "route 10.99.99.0 255.255.255.0"  
route 10.99.1.0 255.255.255.0 #Susi
route 10.99.2.0 255.255.255.0 #Xpiria
route 10.99.3.0 255.255.255.0 #Acer

Funktioniert es nur Zufällig oder mach ich es jetzt richtig?
Vielen Dank für Eure Aufopfernde Hilfe
colinardo
colinardo 13.08.2014 aktualisiert um 13:17:58 Uhr
Goto Top
Meine Option route 0.0.0.0 0.0.0.0 vpn_gateway 10 funktioniert nur wenn man sie direkt in die Config auf dem Client einträgt und nicht ins CCD ...ins CCD kommen ja nur Serverseitige Optionen die zum Client gepusht werden, und das obige route gehört nur auf Client-Seite.
Steinpilz
Steinpilz 13.08.2014 um 13:19:15 Uhr
Goto Top
Zitat von @colinardo:

Meine Option route 0.0.0.0 0.0.0.0 vpn_gateway 10 funktioniert nur wenn man sie direkt in die Config auf dem Client
einträgt und nicht ins CCD ...ins CCD kommen ja nur Serverseitige Optionen die zum Client gepusht werden, und das obige
route gehört nur auf Client-Seite.

Ja wäre aber besser wenn ich die Clients vom Server aus Steuern könnte!
was hältst du vom obigen CCD file

Danke
LG
colinardo
Lösung colinardo 13.08.2014 aktualisiert um 13:24:37 Uhr
Goto Top
wenns das tut was es soll ist es doch OK.
Steinpilz
Steinpilz 13.08.2014 um 13:24:29 Uhr
Goto Top
Ja hoffe eigentlich funktioniert es so wie es soll!
Danke
gelöstFrageLinuxLinux Netzwerk
Mehr von SteinpilzSteinpilzhttp get request mit raspberry pi an Server sendenSteinpilz - 6 KommentareSteinpilzOpenvpn Ip auf Webseite verlinken!Steinpilz - 13 Kommentare
Heiß diskutiert
MysticFoxDEX - Elon Musk - Klage gegen Lego Pinterest und Nestlé und Co wegen WerbeboykottMysticFoxDE - 63 KommentaregruenhornInternet auf Interfaces (+ VLAN) sauber durchschleifengruenhorn - 39 KommentareRamboNo5Kein DHCP außerhalb von VMsRamboNo5 - 27 KommentareFrankOpenAI und die USA sind schlechte Verlierer - DeepSeek wird ohne Beweise beschuldigtFrank - 25 KommentareFrankKI-Unternehmen stehlen unsere Daten - ein LösungsvorschlagFrank - 20 Kommentareqwertzy0815Tool zum automatisierten Finden ähnlicher PDFs gesuchtqwertzy0815 - 18 KommentaregruenhornAuswahl von AP und manged Switch für Heim Anwendung OPNsensegruenhorn - 17 KommentareDSchmolkeNeues Exchange Cert für IISDSchmolke - 17 KommentarestaybbNetzwerkerneuerung - Cisco Switches wie dimensionierenstaybb - 16 KommentarepitamericaExchange Online - Mail Verschlüsselungpitamerica - 16 KommentareSvenTejRechner wollen sich in Zone des Vorbesitzers des Rechners registrierenSvenTej - 16 KommentareBN2023Berechtigungen für Verzeichnisse in 3 Ebenen anpassenBN2023 - 16 Kommentare