stefan2k1
Goto Top

OPENVPN Routing Frage

Hallo zusammen,

kann mir bitte jemand einen Tip geben? Wenn ich mit OpenVPN eine VPN-Verbindung in die Firma aufbaue, dann geht sämtlicher Traffic über das VPN. Ich möchte aber nur, dass der Traffic ins Firmennetz rüber geht, also bestimmte IP-Netze. Im Moment ist es so, dass ich im Firmennetz alles erreichen kann. Aber wenn ich lokal ins Internet möchte und die VPN-Verbindung offen ist dauert der Internetzugriff ewig und ist langsam. Wenn ich den Proxy aus der Firma im Browser eintrage dann geht's, das möchte ich aber eigentlich nicht. Wie sage ich OpenVPN, dass z.B. nur die Netze 192.168.100.0/24 und 172.16.1.0 über den Tunnel gehen, der Rest aber nicht? Geht das in der lokalen Config oder muss da auch am Server konfiguriert werden?

Danke für Eure Tips
Stefan

Content-ID: 574985

Url: https://administrator.de/forum/openvpn-routing-frage-574985.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

stefan2k1
stefan2k1 27.05.2020 um 18:47:10 Uhr
Goto Top
OK ist wohl eher kein Routing-Problem sondern ein Nameserver-Problem. Wenn das VPN steht wird der Nameserver der Firma zugewiesen und der kann keine externen Adressen auflösen. Wie sage ich dem Kind, dass beim VPN-Netz der Nameserver der Firma verwendet wird, ansonsten aber z.B. 8.8.8.8 ? Geht das überhaupt?
aqui
Lösung aqui 27.05.2020 aktualisiert um 19:29:43 Uhr
Goto Top
OK ist wohl eher kein Routing-Problem sondern ein Nameserver-Problem.
Nein das ist falsch !
Ich möchte aber nur, dass der Traffic ins Firmennetz rüber geht
Einfach mal die Suchfunktion benutzen hier und bitte lesen...und verstehen vor allem. !!
Merkzettel: VPN Installation mit OpenVPN

Es ist ein Parameter in der OVPN Server Konfigurations Datei:
  • push "redirect-gateway def1 bypass-dhcp" = Sendet den gesamten Traffic des Clients über den Tunnel (Redirect)
  • push "route 192.168.188.0 255.255.255.0" = Sendet nur den Traffic für das remote Netz (Beispiel hier 192.168.188.0 /24) in den Tunnel (Split Tunneling)

Fazit:
Editiere die Konfig Datei des OVPN Server, passe diese simple Zeile an und gut iss !

Nebenbei:
ansonsten aber z.B. 8.8.8.8 ?
Nur noch ziemliche Dummies nutzen heutzutage Google als Nameserver. Jedes Kind weiss ja heute mittlerweile das die damit Profile über den Internet Verhalten und besuchte Webseiten erstellen und das mit Dritten weltweit vermarkten.
Wem also persönliche Datensicherheit etwas wert ist nuzt den DNS seine lokalen Providers oder wenigstens eine Datenschutz freundlichere Alternative wie Quad9 z.B.
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
stefan2k1
stefan2k1 28.05.2020 um 08:23:03 Uhr
Goto Top
Hallo aqui,

danke für deine Hinweise und Tips. Es ist aber dennoch ein DNS-Problem, denn die Route wird per push-Kommando gesendet und mit Traceroute kann man auch sehen, dass der Traffic Richtung Internet nicht durch den Tunnel geht. Ein nslookup spuckt mir aber den DNS der Firma aus. Dann werden DNS-Anfragen doch grundsätzlich erstmal dorthin geschickt und dort nicht aufgelöst, weil extern. Eigentlich müsste man es doch so konfigurieren, dass für den Tunnel der Firmen-DNS x.x.x.x zuständig ist, für den Rest die 9.9.9.9.
aqui
Lösung aqui 28.05.2020 aktualisiert um 13:17:13 Uhr
Goto Top
denn die Route wird per push-Kommando gesendet
Wirklich ??
Dann poste bitte mal ein route print bei aktiviertem VPN Client !
doch grundsätzlich erstmal dorthin geschickt und dort nicht aufgelöst, weil extern.
Doch, sollte er immer. Auch der interne DNS Server hat ja logischerweise eine Weiterleitung auf einen externen um außer den lokalen auch die Internet IPs aufzulösen. Welcher DNS als letztlich auflöst ist ja dann egal.
Ein DNS Problem kann es niemals sein denn ob der gesamte Traffic durch den Tunnel geht oder nur der relevante für das remote LAN Segment hängt einzig und allein von Der Routing Tabelle ab !!
Wie du ja ganz sicher selber weisst versteht das Internet rein nur IP Adressen aber keinerlei Hostnamen.
Es mag also sehr gut sein das dein Client zwar immer den remoten DNS fragt aber das tut er ja rein nur zur Auflösung der Ziel IP Adresse und nichts anderem.
Relevant für den dann stattfindenden Traffic ist aber immer die IP Adresse sprich die Routing Tabelle.
Du musst also wenn dann schon richtig beschreiben ob rein nur der DNS Traffic zentral über den Tunnel geht oder der gesamte Datentraffic. So wie oben geschildert ist es ja nur der DNS Traffic.
Traceroute (tracert bei Winblows) ist hier ebenso dein bester Freund. Und wie du schon sagst geht dann nur der DNS Traffic über den Tunnel.
Was aber letzlich lächerlich ist, denn dieser minimale DNS Traffic ist marginal und vernachlässigbar zum Gesamtvolumen zumal alle Endgeräte den auch noch zwischencachen.
stefan2k1
stefan2k1 28.05.2020 um 13:30:07 Uhr
Goto Top
Die Routingtabelle sieht so aus:

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0     192.168.36.1    192.168.36.67     50
     10.190.234.1  255.255.255.255     10.190.234.5     10.190.234.6    291
     10.190.234.4  255.255.255.252   Auf Verbindung      10.190.234.6    291
     10.190.234.6  255.255.255.255   Auf Verbindung      10.190.234.6    291
     10.190.234.7  255.255.255.255   Auf Verbindung      10.190.234.6    291
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    331
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    331
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
      172.23.41.0    255.255.255.0     10.190.234.5     10.190.234.6    291
     192.168.36.0    255.255.255.0   Auf Verbindung     192.168.36.67    306
    192.168.36.67  255.255.255.255   Auf Verbindung     192.168.36.67    306
   192.168.36.255  255.255.255.255   Auf Verbindung     192.168.36.67    306
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    331
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.36.67    306
        224.0.0.0        240.0.0.0   Auf Verbindung      10.190.234.6    291
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    331
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.36.67    306
  255.255.255.255  255.255.255.255   Auf Verbindung      10.190.234.6    291
===========================================================================

Die 192.168.36.1 ist meine Fritzbox hier im Homeoffice. Die 172.23.41.0 ist das Netz im Office und die 10.190.234.5 ist der OpenVPN-Sever. Sieht doch soweit gut aus, oder? Das Problem ist, dass der FirmenDNS keine externen Adressen auflöst. Das braucht er nicht, da der Internettraffic dort über einen Proxy läuft und der Proxy die Namensauflösung. Ich weiß nur nicht wie ich das lösen soll, dass er mir hier zuhause für Internet die 9.9.9.9 nutzt, für das VPN aber den DNS der Firma.

Any Idea?
aqui
Lösung aqui 28.05.2020 aktualisiert um 14:03:31 Uhr
Goto Top
Die 192.168.36.1 ist meine Fritzbox hier im Homeoffice.
Dann geht auch dein gesamter nicht VPN Traffic lokal ins Internet. Sagt die RT ja eindeutig. Nur Traffic mit der Ziel IP 172.23.41.0 geht in den Tunnel. Also alles richtig wie es soll. face-wink
Sieht doch soweit gut aus, oder?
Yepp, Bingo !
Das Problem ist, dass der FirmenDNS keine externen Adressen auflöst.
Ooops ?? How come ? Ist der falsch konfiguriert und fehlt dem eine Weiterleitung lokal auf dessen Provider DNS oder Router Proxy ?
Sowas ist ja nicht normal, denn das bedeutet ja auch das er dann am Standort keine Internet Domains auflösen kann sondern rein nur lokal arbeitet. Gut, das ist ja dann auch gewollt mit dem Proxy.
Du hast dann nur die Option deine Client Konfig Datei etwas anzupassen:
pull-filter ignore "dhcp-option DNS" in der Konfig ignoriert dann den aufgezwungenen DNS Server und bleibt beim lokalen. Hat dann aber den Nachteil das du lokale Namen nicht auflösen kannst.
Sinnvoller ist dann eher:
dhcp-option DNS 9.9.9.9

Um die 9.9.9.9 oder noch sinnvoller die 192.168.36.1 als Secondary DNS einzurichten. Es macht ja sehr wenig Sinn DNS Requests um den halben Erdball zu schicken wenn deine FritzBox das viel schneller lokal kann !
Mit ipconfig -all müsstest du das dann überprüfen können.
Primary DNS ist dann der remote Firmen DNS und Secondary dann deine FB oder wenn du es nicht lassen kannst einer am anderen Ende der Welt.
Schietert der Primary mit der Auflösung fragt er den Secondary.
Das sollte dein Client Problem lösen.
Die andere Option ist es über die Schnittstellen Metrik zu steuern und deinem LAN Interfcae eine höhere Priority zu geben was es jetzt nicht hat und damit immer der VPN Adapter preferiert wird:
https://serverfault.com/questions/21455/how-to-configure-dns-on-windows- ...
stefan2k1
stefan2k1 29.05.2020 um 08:19:52 Uhr
Goto Top
Hallo aqui,

wir haben es jetzt so gemacht, dass in der Firma der DNS eine Weiterleitung auf den Proxy bekommen hat, der jetzt die externen Adressen auflösen kann. Funktioniert hervorragend! Nochmal danke für Deine Tips, hat mit sehr weitergeholfen.
aqui
aqui 29.05.2020 um 08:42:09 Uhr
Goto Top
Alles wird gut ! face-smile