OpenVPN mit Stunnel - wie lege ich eine Ausnahme für Stunnel an

Danke für die schnelle Rückmeldung.

das habe ich in einigen Tutorials gesehen, aber nicht verstanden.

Könntest du das an einem Beispiel aufzeigen?

Zur Info noch, meine Clients sind RoadWorrier, sprich die verbinden sich heute mit einem Wifi-Hotspot, morgen sind sie per UMTS-Stick angebunden, übermorgen wird das Tethering vom Smartphone genutzt.
In allen Fällen soll dann eine VPN-Verbindung nach Hause durch stunnel hindurch aufgebaut werden.

stimmt, das habe ich wieder rausgelöscht damit der Text nicht so lang wird. Server und Client sind jeweils ein RaspberryPI mit Raspian.
Die Logik habe ich schon verstanden, mir geht es um die Syntax. In den Tutorials heißt es vorne muss die IP des Servers hin, und hinten das Gateway. Aber:

a) ip route add, muss das in das Client-OVPN-File, oder separat vor dem Start der VPN-Verbindung ausgeführt werden
b) welche Adressen muss ich wo nehmen. Der Server-PI hat mehrere Adressen:
irgendwas.dyndns.org ist der DDNS
die öffentliche IP die ständig wechselt
im lokalen LAN hat er die 192.168.3.102
und im VPN die 10.0.9.1
Der DSL-Router auf der Serverseite ist die 192.168.3.1

c) auf clientseite, der client hat eine wechselnde öffentliche IP bei UMTS-Stick, bei der Verbindung zu einem Wifi-Hotspot hat er eine ganz andere private IP. Das Gateway in's Internet wechselt analog ebenfalls ständig.

Also anders formuliert, in deinem Beispiel ip route add 192.168.1.0/24 via 10.10.0.2
Welche meiner IP/DNS-Namen muss wo hin?



push "route 192.168.3.0 255.255.255.0 10.0.9.1"
push "route-gateway 10.0.9.1"
push "redirect-gateway def1 bypass-dhcp"


Wie du es im Tutorial geschrieben hast, wird es oft falsch gemacht.
Ich habe diesen Teil auch aus einem Tutorial und habe es nicht hinterfragt. Es sieht logisch für mich aus. Ich bin davon ausgegangen dass man die route, das Gateway und den redirect pushen muss

Warum ist es ein Fehler wenn man die Route pushed?



Doch, den Hinweis habe ich gelesen. Und ja, ich weiß das mit dem Overhead.
Wie es vorgesehen ist, nutze ich wenn möglich UDP.
TCP ist für mich Backup, und zwar ein zweistufiges. Die erste Stufe ist eine direkte OVPN-Verbindung zwischen Server und Client. Wenn hier gefiltert wird, dann gibt es noch Stufe 2, OVPN über Stunnel.

Ich habe schon die Erfahrung gemacht dass bei einer schlechten Internetverbindung TCP besser funktioniert, vermutlich weil der Sender sofort eine Rückmeldung erhält ob das IP-Paket angekommen ist.

so eindeutig ist das nicht.
siehe OVPN-Doku, kennt OVPN auch den Parameter –iproute, –route-metric, –iroute network, -route, usw.

Daher zur Sicherheit, ich muss also vor dem Start der OVPN-Verbindung mit route add das fehlende Routing hinzufügen, und nicht über das Konfig-File, richtig?

Bei mir geht's hauptsächlich um Linux-Derivate.
Übrigens, in Android und unter Windows funktioniert die Verbindung obwohl keine zusätzlich Route definiert wird, keine Ahnung warum.


Genau darum geht es ja, was muss als Zielnetz oder Host rein?
die öffentliche IP des Servers, die IP des Servers im privaten LAN hinter dem DSL-Router, oder die IP des Tun-Device auf dem Server, sprich der OVPN-Server?
Und was ist der nächste HOP?

kannst du das bitte mal an einem konkreten Beispiel aufzeigen?

Vielen Dank.
Ist in diesem Beispiel das Netz 192.168.50.0 das private LAN hinter dem DSL-Router, in dem sich der Server befindet?
Die 192.168.1.2, ist das die IP des TUN-Device von OVPN auf dem Server oder die des TUN-Device auf dem Client?

Könntest du noch was dazu sagen welches Netz in dem Beispiel 192.168.50.0 ist, und was die 192.168.1.2 im Beispiel ist?

Der Stunnel-Server und der Stunnel-Client haben im Gegensatz zu OpenVPN oder iodine keine eigenen Devices und keine eigenen IP-Adressen.
Auf dem Client verbindet sich der OVPN-Client mit dem Stunnel-Client auf 127.0.0.1.
Wenn ich es richtig verstanden habe, dann geht es nun darum dass der vom Stunnel hinausgehende Traffic nicht wieder in's VPN geleitet wird, sondern eben zur öffentlichen IP des Stunnel-Servers.

Darum ist mir das mit dem Netz und der IP aus dem Beispiel nicht klar.

das habe ich schon verstanden.
Aber mir ist nicht klar wie ich das auf meine Adressbereiche übertragen muss.

Der Client wählt sich über WLAN oder UMTS-Stick in's Internet ein und bekommt da IP, Gateway und Provider-DNS.
Eine OVPN-Verbindung lässt sich aufbauen. Er bekommt vom OVPN-Server die IP 10.0.8.20
Per push vom OVPN-Server bekommt der Client den eigenen DNS 192.168.3.102
Der OVPN-Server hat die 10.0.8.1
Der Server hat eine öffentliche IP irgendwas.ddns.de

Aus Client-Sicht, welches Netz/welche IP muss nun geroutet werden, und welches ist dann das Gateway?

verstehe ich nicht. was fehlt denn noch?
Ich hatte doch beschrieben wie die Serveseite und die Clientseite aufgebaut ist.
Die Maschine mit dem OVPN-Server + Stunnel-Server (gemeinsam auf einer) befinden sich hinter einem DSL-Router.
Der DSL-Router hat eine öffentliche IP-Adresse die wechselt. Die IP kann über DDNS angesprochen werden.
Das Netz hinter dem Router ist 192.168.3.0. Alle Clients und die Maschine mit dem Server befinden sich darin. Der Server hat z.B. 192.168.3.102
weitere private Netze gibt es nicht hinter dem DSL-Router.
Der OVPN-Server verwendet ein eigenes Netz, 10.0.8.0.
10.0.8.1 ist das OVPN-Interface.

Was die Server-Konfig angeht, siehe Start-Post.
nachdem Du mich darauf hingewiesen hast dass Gateway redirect und Split Tunneling zusammen falsch sind, ist das hier übrig geblieben:

Die Clients haben unterwegs wechselnde Zugänge: Hotspots, UMTS, usw.

nun, soweit ich das gelesen habe, sieht der verschlüsselte Traffic von OpenVPN von aussen nicht wie normaler SSL-Traffic aus da OVPN wohl eine andere Verschlüsselung benutzt.
Als Lösung wird vorgeschlagen dass man den OVPN-Traffic mit stunnel oder obfuscation in einen SSL-Tunnel packt so dass es für eine DPI nach normalem Verkehr aussieht und ihn nicht blockiert.
Dass das ganze erheblich Performance kostet (einmal durch TCP anstatt UDP bei OVPN, und durch das zweite Verpacken durch stunnel), das ist mir bewusst. Aber eine langsamere Verbindung ist immer noch besser als gar keine Verbindung.

An sich ist das ganze wohl schon möglich.
Unter Android verwende ich den OVPN-Client von Arne Schwabe auf nicht gerouteten Androiden. In der App kann man einfach in den Einstellungen sagen welche Apps nicht durch den OVPN-Tunnel sollen. Hier wähle ich die Stunnel-App und schon läuft es mit der obigen TCP-Konfig für OVPN die ich auch ohne Stunnel nutze.
Unter Windows läuft es, warum auch immer, komplett ohne Anpassungen. Hier funktionieren die normalen OVPN-Konfigs auf Server und Client-Seite für TCP.
Einzig auf Client-Seite ändert man in der OVPN-Konfig remote auf localhost ab und setzt den Port auf den Port auf dem der Stunnel-Client lauscht.
Nur auf einem unixoiden Client, da muss man wohl etwas anpassen.

In den Tutorials zu OVPN + Stunnel wird zu dem Thema immer das gleiche erwähnt:
push "route x.x.x.x 255.255.255.255 net_gateway"
Ich möchte dies aber nicht pushen um nicht eine weitere Konfig/OVPN-Instanz auf Serverseite zu benötigen, sondern dies direkt in der entsprechenden Client-Konfig setzen.

Es heißt an die Stelle der x müsse die IP des Servers. Aber auch hier stellt sich die Frage welche das sein soll, die öffentliche IP (also DDNS-Name), die des Servers im privaten LAN hinter dem DSL-Router (192.168.3.x) oder die der tun-Schnittstelle auf dem Server (10.0.8.1).
Und der zweite Punkt ist was dieses net_gateway sein soll. Ist das ein OVPN-Parameter oder soll das ein Platzhalter für den Namen einer Schnittstelle sein, oder soll hier auch eine IP hin.

EDIT:
Hier ist so ein Tutorial zu dem Thema:
https://medium.com/@jayden.chua/stunnel-openvpn-server-on-ubuntu-18-04-1 ...
Zu deinen Punkten 2.1 und 2.2, ich interpretiere das Tutorial so dass diese eine Zeile auf Client-Seite diesen beiden Punkte erledigen soll (ohne weitere Skripte??).
An die X.x.x.x kommt der DDNS-Namen, und net_gateway, ist das ein Kommando aus Linux heraus, oder aus OVPN heraus, der genau den Punkt 2.2 durchführt, also das Gateway ermittelt???

Ich denke schon dass es am Client liegt, denn dass alles in den OVPN-Tunnel geleitet wird, das ist falsch.
Siehe dem Titel des Threads, darf die Stunnel-Verbindung nicht in den OVPN-Tunnel.
Solche Ausnahmen muss man unter unixoiden OSen, soweit ich das herausfinden konnte, über routing-Einträge vornehmen.

Lies dir auch das bitte durch was ich gerade an BirdyB geantwortet habe.

Ich denke es geht um genau das was du mir bisher erklären wolltest, also dass man diese redirect gateway für eine ganz bestimmte Verbindung übersteuert, also dass alles in den Tunnel soll, ausser die Verbindung des Stunnel-Clients.
Der Stunnel-Client möcht sich verbinden zu irgendwas.ddns.de auf Port 4444.

Ganz dunkel meine ich mit zu erinnern dass es beim Routing auch Prioritäten gab.
Die zusätzliche Route müsste also eine höhere Prio bekommen wie das redirect gateway um sozusagen auszubrechen.
Aber wie?

Jetzt muss auf Clientseite dafür gesorgt werden dass eine Verbindung auf irgendwas.ddns.de:4444 NICHT mehr unter redirect gateway fällt.
Und hier würde ich als Laie sagen, das was du oben rot geschrieben hast mit Zielhost, da muss irgendwas.ddns.de:4444 hin.
Da es sich nur um die eine IP handelt, wäre Subnetzmaske 255.255.255.255.
Aber was ist der Next-Hop?
Verstehst du mein Problem? Ich meine die Idee, was du mir sagen wolltest, das habe ich meine ich schon verstanden. Aber mir fehlt es an der konkreten Umsetzung.

Ich hatte ja gerade BirdyB geantwortet dass in Tutorials zu dem Thema es heißt:
route x.x.x.x 255.255.255.255 net_gateway
Das ist ja genau das was du mir erklärt hast. Die 4 X stehen für den DDNS-Namen, und das net_gateway für den Next_Hop.
Ich interpretiere die Tutorials so dass es auf Clientseite nur eine Zeile in der OVPN-Konfig benötigt und keine weiteren Skripte usw., sondern dass dieses net_gateway eben das Gateway nach aussen ermittelt, also den Next-Hop.

Das hast du falsch herausgelesen.
Mein OVPN-Server bietet mehrere Zugänge: auf einem Port nach aussen an der öffentlichen IP nimmt er Verbindungen per UDP entgegen, auf einem zweiten Port nimmt er TCP-Verbindungen an. Und auf einem 3. Port lauscht der Stunnel-Server.
Stunnel-Server und OVPN-Server laufen wie gesagt hinter dem DSL-Router auf der gleichen Maschine im 192.168-LAN
Der Stunnel-Server leitet dann wiederum auf den gleichen TCP-Port auf localhost um auf den der DSL-Router den für TCP-OVPN-Verbindungen (also ohne Stunnel) vorgesehen Port auch weiterleitet.
Kurzum, ich habe 3 Möglichkeiten mich zu meinem OVPN-Server zu verbinden, je nach Erfordernis.

Auf dem Server laufen 2 OVPN-Instanzen, eine für UDP und eine für TCP.
Die zusätzlich Konfig-Einträge, die der Client bei der Variante über Stunnel benötigt, möchte ich nicht in die TCP-Server-Konfig schreiben und per push an den Client senden, sondern direkt in der Client-Konfig vornehmen so dass die push-Einträge auf dem Server sowohl für Variante 2 als auch Variante 3 passen.
Würde ich die für Variante 3 nötigen Einträge in die Server-Konfig schreiben mit push, dann wären diese falsch bei Nutzung von Variante2.
Ist es jetzt deutlicher was ich gemeint habe?


Leider ist das nicht ganz so einfach.
Soweit ich das gesehen habe, baut Stunnel erst dann eine Verbindung zu seinem Server auf wenn diese auch angefordert wird, so wie ein Browser erst dann einen Webserver kontaktiert wenn eine Seite angefordert wird.
Der OVPN-Client sagt dem Stunnel-Client auf localhost dass er eine Verbindung wünscht, und dann verbindet der Stunnel-Client zu Stunnel-Server.
Ich kann also - anders wie bei OVPN - nicht sagen starte mal die Verbindung und halte diese für den Fall dass was kommt was durch den Tunnel soll. Sprich wenn der Stunnel-Client als Dienst startet, dann wird noch keine Verbindung aufgebaut.
Anmerkung: Ob OVPN-Client und OVPN-Server von natur aus eine Verbindung aufrecht erhalten, oder ob das durch keep-Alive passiert, kann ich nicht sagen.

Dass durch die Verbindungsanforderung des OVPN-Client an den Stunnel-Client dieser erst eine Verbindung zum Stunnel-Server aufgebaut wird und über diesen Tunnel dann die OVPN-Verbindung geschickt wird, das ist mir klar.
Meinen wir trotzdem das gleiche?


Ausserdem ist nicht der Verbindungsaufbau das Problem. Das funktioniert tatsächlich ohne Fehler im OVPN-Log.
Der OVPN-Client teilt dem Stunnel-Client auf localhost mit dass er verbinden soll. Dieser verbindet sich dann zu seinem Stunnel-Server. Der Stunnel-Server leitet das dann weiter auf an den OVPN-Server auf localhost.

Mein Problem ist dass keinerlei Übertragung möglich ist. Ich kann per Ping auf dem Client nichts erreichen, weder öffentliche IPs erreichen, noch die 10.0.8.1 die das tun-Device auf dem Server hat, und auch keine IPs im LAN des Servers, z.B. 192.168.3.100, DNS-Server, nichts.



Ich denke hier liegt ein Mißverständnis vor.
Selbstverständlich weiß ich dass Routing mit IP-Adressen gemacht wird.
Wenn ich aber
route add irgendwas.ddns.de mask 255.255.255.255 <Next_Hop_IP>
auf dem Client ausführe, dann wird in diesem Moment vom OS der Namen über den DNS zur IP aufgelöst. Und genau diese IP landet dann auch in der Routing-Tabelle.
Sprich das OS übernimmt genau das was du mit Skript angedeutet hast, also die öffentliche IP des Servers ermitteln.
Probier's mal aus



siehe Absatz zuvor, das OS übernimmt die Auflösung in IP im Rahmen des Route-Befehls.


siehe oben, meinen wir das gleiche mit dem Zuerst bestehen?



Damit wir nicht aneinander vorbeireden:
Ich habe deshalb bei den Routen immer DDNS-Namen geschrieben weil das OS im Moment der Ausführung das für mich zur IP macht.

Was mir nicht klar ist und wo ich am grübeln bin:

- dieses net_gateway ist also ein Befehl. Wie wende ich das nun konkret an?

- aqui (du auch?) meinte ja ich soll auf dem Client einfach von "Hand", also z.B. per Skript bevor ich überhaupt eine Verbindung mit Stunnel/OVPN aufbaue, die route setzen. Wäre es nicht besser wenn ich das in die OVPN-Client-Konfig schreibe? Denn ich benötige diesen Routing-Eintrag ja nur wenn die OVPN-Verbindung aufgebaut wird. Wenn der OVPN-Client die Verbindung wieder abbaut, dann macht der Client das automatisch wieder rückgangig.
Ich stelle mir das vor wie bei redirect gateway in der OVPN-Client-Konfig. Dieses wird bei Verbindungsaufbau angewendet, und beim Abbau automatisch wieder rückgängig gemacht.
Kann ich das mit dem route setzen nicht auf die gleiche Art nutzen?

- IP-Forwarding ist natürlich aktiviert
- firewall wie etwa iptables gibt es nicht
a) ich kann vom Client eine OVPN-Verbindung (ohne Stunnel) per UDP zum OVPN-Server aufbauen und alle Verbindungen laufen erfolgreich über den Server. ich kann alle Netze erreichen, sowohl öffentlich als auch meinen privaten.
b) ich kann vom Client eine OVPN-Verbindung (ohne Stunnel) per TCP zum OVPN-Server aufbauen und alle Verbindungen laufen erfolgreich über den Server. ich kann alle Netze erreichen, sowohl öffentlich als auch meinen privaten.
c) ich kann vom Client eine OVPN-Verbindung MIT stunnel per TCP zum OVPN-Server aufbauen, aber ich kann dann keinerlei IP erreichen, weder öffentliche private.
Die OVPN-Konfig auf dem Client ist bei c) die gleiche b), nur dass remote und der Port eben auf den Stunnel-Client auf localhost zeigen

routing-Tabelle auf dem client bei b) ---> alle funktioniert

routing-Tabelle auf dem client bei c)

wo liegt der Fehler?

ich antworte mir mal selbst da ich den Fehler gefunden habe.

Das Tutorial
https://medium.com/@jayden.chua/stunnel-openvpn-server-on-ubuntu-18-04-1 ...
hatte doch recht.

- Man kann bei der OVPN-Server-Konfig die gleiche Server-Konfig verwenden die man auch bei einer OVPN-Verbindung ohne Stunnel nehmen würde.
- Auf Client-Seite müssen nur
a) der Zielserver - also der Eintrag bei Remote - auf den stunnel-Client (bei mir localhost) geändert werden
b) der Port muss ggf angepasst werden auf den Port des Stunnel-Clients
c) Ein einziger Eintrag muss in der OVPN-Client-Konfig ergänzt werden:

Mein Fehler war dass es eben kein "add" und kein "mask" in die Zeile gehört.
net_gateway spricht automatisch das richtige Gateway an, sprich es wird dynamisch ermittelt
And die Stelle der x kommt die öffentliche IP der Maschine auf der der Stunnel-Server (!) läuft.
Statt der IP kann auch ein DNS-Namen, z.B. ein DDNS-Namen, eingetragen werden. Das Betriebssystem löst dynamisch über DNS bei der Ausführung der Zeile den Namen zur richtigen IP auf und nimmt damit den richtigen Routing-Eintrag vor.

In einigen Tutorials wird davon gesprochen dass nicht für die eine IP des Stunnel-Servers ein Routing-Eintrag gesetzt wird, sondern ein ganzes Subnetz (route x.x.x.0 255.255.255.0 net_gateway). Dies macht nur in den Fällen Sinn wenn mehrere IPs erreicht werden sollen.

Bei mir laufen Stunnel-Server und OVPN-Server auf der gleichen Maschine. Die Maschine steht hinter einem Router in einem privaten LAN (192.168.x.x). Der OVPN-Server vergibt Adressen aus einem anderen privaten Bereich (z.B. 10.x.x.x)
Über den Router ist der Server von aussen über eine öffentliche IP Erreichbar.
Um nun meine Frage zu beantworten welche IP man nehmen muss anstelle der X.x.x.x, es ist die öffentliche IP (es kann wie beschrieben auch ein DNS-Namen verwendet werden)

Und die Frage nach dem Next_Hop auf dem Client, das ist eben nicht der VPN-Server (keine IP von dem), sondern das ist das Gateway des Clients (!) über den die Verbindung zum Stunnel-Server gehen soll.
Der Stunnel-Client soll bei mir sich über das Internet zum Stunnel-Server verbinden. Daher ist das das Gateway des Clients in's Internet. Und dieses wird über die die Funktion net_gateway vom OS beim Verbindungsaufbau dynamisch ermittelt.

Um in einem Satz die Frage des Threads zu beantworten, eine Ausnahme für die Stunnelverbindung, dass diese nicht in den OVPN-Tunnel geleitet wird, wird über Routingeintrag in der OVPN-Client-Konfig angelegt der nach diesem Muster aufgebaut ist:

Das stimmt doch gar nicht.
Ein Server stellt nur Dienste bereit. Die Nutzung wird immer von einem Client initiert.
Der OVPN-client sagt dem Stunnel-Client dass eine Verbindung gewünscht wird
Der Stunnel-Client kontaktiert den Stunnel-Server
Der Stunnel-Client reicht die Nutzdaten des OVPN-Clients an den Stunnel-Server weiter
Der Stunnel-Server gibt die übermittelten Daten an den OVPN-Server weiter.



Was habt ihr beide immer mit 2 parallelen VPN-Verbindungen???
Es wird ein Tunnel durch den anderen Tunnel aufgebaut.
Der OVPN-Tunnel geht durch den Stunnel-Tunnel.
Der OVPN-Client startet und schubst den Stunnel-Client an. Der Stunnel-Client und der Stunnel Server bauen eine Verbindung auf. Wenn diese steht, dann vervollständigen OVPN-Client und OVPN-Server ihre Verbindung durch den Stunnel-Tunnel hindurch.

Zu meinem OVPN-Server hat man 3 Zugangsmöglichkeiten:
per UDP, per TCP, und über Stunnel (Tunnel in Tunnel).
Du bist mir gekommen mit ip-Forwarding nicht gesetzt und Fehler auf dem Server suchen. Die ersten beiden Möglichkeiten sollten dir sagen dass die OVPN-Konfig in Ordnung ist und die Kommunikation bei diesen beiden Möglichkeiten wie gewünscht funktioniert, mehr nicht.
Wenn es mit den gleichen Konfigs dann bei Variante 3 nicht geht, dann kann es nur an Stunnel oder am Routing liegen.



Um es nochmal deutlicher zu machen:
Es soll auch wirklich aller Traffic des Clients durch den Tunnel im Tunnel gehen!
Es geht nicht nur darum das private Netzwerk hinter dem Server erreichbar zu machen.
Anders formuliert: Wenn ich auf dem Client im Browser www.test.de aufrufe, dann soll das durch den Tunnel gehen. Und wenn ich mir ein Laufwerk von einem NAS in meinem privaten LAN mounten will, dann soll dies auch durch den Tunnel gehen.

Richtig, das Gateway Redirect von OVPN zwingt ALLES in den eigenen Tunnel, so auch die Verbindung Stunnel-Client zu Stunnel-Server.
Und genau deshalb muss durch den zusätzlichen Routingeintrag dem Stunnel-Client der Weg zum Stunnel-Server gezeigt werden.
Die Verbindung zum Stunnel-Server soll also NICHT in den OVPN-Tunnel. Verstehst du jetzt warum ich im Thread-Titel geschrieben habe "Ausnahme anlegen".



Was soll das für ein Interface sein???
Weder der Stunnel-Client noch der Stunnel-Server legen ein weiteres Interface an. wenn ich mit ifconfig schaue, dann gibt es keinen weiteren Eintrag.
OVPN-client und OVPN-Server, die legen jeweils ein tun-Device an.

Wenn du mit Putty einen SSH-Tunnel machst, dann wird doch auch kein weiteres virtuelles Device angelegt.
Oder ein Browser, der legt doch auch kein Device an wenn er einen Webserver kontaktiert.

Selbstverständlich. ping ist ja das erste womit man prüft ob eine funktionierende Verbindung besteht. Ich kann von beiden Seiten aus pingen, sowohl mit dem DNS-Namen als auch mit IP
Und traceroute liefert auch den korrekten Weg



Eine Brücke würde ja auch wieder ein eigenes virtuelles Device erzeugen wie ein br01, oder?



Auch die Tabelle auf dem Client ist wichtig. Ist dort kein Eintrag vorhanden wie der Client zu seinem Server findet, dann bringt alles andere nichts.
Du hast es doch mit IP-Forward selbst gesagt. Damit finden sich alle Netze die der Server kennt

Auch wenn du es nicht glaubst, es gibt da nichts:




Eben, das ist ja überhaupt das große Ganze dass bei mir über dem Thema Tunnel, VPN, usw. steht, nämlich einen Client von aussen über sichere Wege in das heimische LAN zu bringen.


Das geht einfach.
Der DSL-Router auf Server-Seite hat zwei statische Routing-Einträge. Wenn also im 192.168.x.0 Netz jemand zu einem Host in 10.0.9.x oder 10.0.8.x will, dann sagt ihm der DSL-Router dass eben die besagte Server-Maschine 192.168.x.x der Zugang in diese beiden Netzte ist.

Und da sind wir wieder bei dem was ich schon mehrfach erwähnt habe. Der Server hat mehrere IP-Adressen aus unterschiedlichen Netzen:
192.168.3.102
10.0.8.1
10.0.9.1
Und die Übergabe zwischen diesen, genau dafür ist das IP-Forwarding zuständig das man auf dem Server einschaltet.
Aber das hat überhaupt nichts mit dem Problem/Ursache zu tun mit dem ich diesen Thread gestartet habe.



das glaube ich nicht. Darum kümmert sich OVPN.
192.168.100.0 ist das Netz in dem der Client sich verbunden hat, also z.B. das Hotspot-Netz.
Schau mal in die OVPN-Doku was dort bei redirect gateway steht. Das "Gateway-Netzwerk", also das "Hotspot-Netz", wird als einziges nicht in den Tunnel geschickt.
Das wäre ja auch ein Sicherheitsrisiko wenn jemand anderer aus 192.168.100.0 in den Tunnel gelangen könnte.

Mit redirect gateway block-local zusätzlich könntest du noch verhindern dass mein Client nicht zu anderen in dem fremden Netz 192.168.100.0 kommt.

Letztendlich muss man sich aber immer bewusst sein dass der Client in seinem IP-Stack physikalisch ein fremdes Netz mit den eigenen Netzen verbindet.

du erinnerst dich was ich gesagt habe, OVPN-UDP-only und OVPN-TCP-only funktionieren, OVPN-Stunnel-tcp nicht?
Der Stunnel-Client braucht eine Route zum Stunnel-Server.
Und wo läuft der Stunnel-Client? Richtig, auf dem Client. Und in welcher Tabelle muss die Route eingetragen sein? Richtig, die auf dem Client. Ergo, wenn es da keine Route gibt, bringt die alles andere nichts, oder?



leider falsch
Wie du am Device (= tun0 und tun1) erkennen kannst, sind das die beiden Instanzen des OVPN-Servers, eine für UDP und eine für TCP


doch, ich habe es sauber in Worten beschrieben

etwas unglücklich formuliert, aber ja, wie ich auch bereits geschrieben habe OVPN-Server und Stunnel-Server laufen auf der gleichen Maschine.


???
OVPN-Client zu OVPN-Client??? nein
Der Stunnel-Client sprich mit dem Stunnel-Server. Und der OVPN-Client spricht mit dem OVPN-Server durch den SSH-Tunnel.
Da sprechen keine Clients miteinander.

Ich habe aber definitiv client-to-client deaktiviert


ich hatte doch geschrieben dass ich mir des Performance-Verlustes bewusst bin.
Und dass man die MTU-Größen aufeinander abstimmen muss, das ist auch richtig, da ja ein tcp-Paket wieder in ein Tcp-Paket gepackt wird.


auch dazu hatte ich was geschrieben.
OVPN-Traffic nutzt keine SSL-Verschlüsselung wie sie z.B. bei Webservern der Fall ist. Eine DPI oder was auch immer kann somit relativ einfach von aussen feststellen dass da kein SSL-Verkehr stattfindet.
Stunnel und auch obfuscation beheben dieses Problem.

Jetzt kommt bestimmt die Frage warum man dann überhaupt OVPN nutzt und nicht nur einen SSH-Tunnel. Ganz einfach, weil keines der Tools für einen SSH-Tunnel eine Funktion wie redirect gateway def1 kennt wie es OVPN kann.
Und es ist ja mehr wie mühselig für jeden Dienst einen separaten Tunnel zu machen bzw. jeden Dienst von Hand so zu konfigurieren dass er den Weg durch den Tunnel nimmt.
Dieses "redirect gateway def1" ist absolut sexy. Das leitet für alle Anwendungen völlig transparent den Traffic durch einen Tunnel ohne dass in der Anwendung was konfiguriert werden muss.

Gib doch einfach in eine Suchmaschine deiner Wahl OVPN + Stunnel ein. Die ersten Treffer beschreiben alles dieses Problem.

das Zitat ist zwar von BirdyB, aber hast du die Antwort von mir vom 09.10. gelesen?
Da hatte ich genau beschrieben welchen Sinn das ganze hat.