OPENVPN Routing Frage
Hallo zusammen,
kann mir bitte jemand einen Tip geben? Wenn ich mit OpenVPN eine VPN-Verbindung in die Firma aufbaue, dann geht sämtlicher Traffic über das VPN. Ich möchte aber nur, dass der Traffic ins Firmennetz rüber geht, also bestimmte IP-Netze. Im Moment ist es so, dass ich im Firmennetz alles erreichen kann. Aber wenn ich lokal ins Internet möchte und die VPN-Verbindung offen ist dauert der Internetzugriff ewig und ist langsam. Wenn ich den Proxy aus der Firma im Browser eintrage dann geht's, das möchte ich aber eigentlich nicht. Wie sage ich OpenVPN, dass z.B. nur die Netze 192.168.100.0/24 und 172.16.1.0 über den Tunnel gehen, der Rest aber nicht? Geht das in der lokalen Config oder muss da auch am Server konfiguriert werden?
Danke für Eure Tips
Stefan
kann mir bitte jemand einen Tip geben? Wenn ich mit OpenVPN eine VPN-Verbindung in die Firma aufbaue, dann geht sämtlicher Traffic über das VPN. Ich möchte aber nur, dass der Traffic ins Firmennetz rüber geht, also bestimmte IP-Netze. Im Moment ist es so, dass ich im Firmennetz alles erreichen kann. Aber wenn ich lokal ins Internet möchte und die VPN-Verbindung offen ist dauert der Internetzugriff ewig und ist langsam. Wenn ich den Proxy aus der Firma im Browser eintrage dann geht's, das möchte ich aber eigentlich nicht. Wie sage ich OpenVPN, dass z.B. nur die Netze 192.168.100.0/24 und 172.16.1.0 über den Tunnel gehen, der Rest aber nicht? Geht das in der lokalen Config oder muss da auch am Server konfiguriert werden?
Danke für Eure Tips
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 574985
Url: https://administrator.de/forum/openvpn-routing-frage-574985.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
8 Kommentare
Neuester Kommentar
OK ist wohl eher kein Routing-Problem sondern ein Nameserver-Problem.
Nein das ist falsch !Ich möchte aber nur, dass der Traffic ins Firmennetz rüber geht
Einfach mal die Suchfunktion benutzen hier und bitte lesen...und verstehen vor allem. !!Merkzettel: VPN Installation mit OpenVPN
Es ist ein Parameter in der OVPN Server Konfigurations Datei:
- push "redirect-gateway def1 bypass-dhcp" = Sendet den gesamten Traffic des Clients über den Tunnel (Redirect)
- push "route 192.168.188.0 255.255.255.0" = Sendet nur den Traffic für das remote Netz (Beispiel hier 192.168.188.0 /24) in den Tunnel (Split Tunneling)
Fazit:
Editiere die Konfig Datei des OVPN Server, passe diese simple Zeile an und gut iss !
Nebenbei:
ansonsten aber z.B. 8.8.8.8 ?
Nur noch ziemliche Dummies nutzen heutzutage Google als Nameserver. Jedes Kind weiss ja heute mittlerweile das die damit Profile über den Internet Verhalten und besuchte Webseiten erstellen und das mit Dritten weltweit vermarkten.Wem also persönliche Datensicherheit etwas wert ist nuzt den DNS seine lokalen Providers oder wenigstens eine Datenschutz freundlichere Alternative wie Quad9 z.B.
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
denn die Route wird per push-Kommando gesendet
Wirklich ??Dann poste bitte mal ein route print bei aktiviertem VPN Client !
doch grundsätzlich erstmal dorthin geschickt und dort nicht aufgelöst, weil extern.
Doch, sollte er immer. Auch der interne DNS Server hat ja logischerweise eine Weiterleitung auf einen externen um außer den lokalen auch die Internet IPs aufzulösen. Welcher DNS als letztlich auflöst ist ja dann egal.Ein DNS Problem kann es niemals sein denn ob der gesamte Traffic durch den Tunnel geht oder nur der relevante für das remote LAN Segment hängt einzig und allein von Der Routing Tabelle ab !!
Wie du ja ganz sicher selber weisst versteht das Internet rein nur IP Adressen aber keinerlei Hostnamen.
Es mag also sehr gut sein das dein Client zwar immer den remoten DNS fragt aber das tut er ja rein nur zur Auflösung der Ziel IP Adresse und nichts anderem.
Relevant für den dann stattfindenden Traffic ist aber immer die IP Adresse sprich die Routing Tabelle.
Du musst also wenn dann schon richtig beschreiben ob rein nur der DNS Traffic zentral über den Tunnel geht oder der gesamte Datentraffic. So wie oben geschildert ist es ja nur der DNS Traffic.
Traceroute (tracert bei Winblows) ist hier ebenso dein bester Freund. Und wie du schon sagst geht dann nur der DNS Traffic über den Tunnel.
Was aber letzlich lächerlich ist, denn dieser minimale DNS Traffic ist marginal und vernachlässigbar zum Gesamtvolumen zumal alle Endgeräte den auch noch zwischencachen.
Die 192.168.36.1 ist meine Fritzbox hier im Homeoffice.
Dann geht auch dein gesamter nicht VPN Traffic lokal ins Internet. Sagt die RT ja eindeutig. Nur Traffic mit der Ziel IP 172.23.41.0 geht in den Tunnel. Also alles richtig wie es soll. Sieht doch soweit gut aus, oder?
Yepp, Bingo !Das Problem ist, dass der FirmenDNS keine externen Adressen auflöst.
Ooops ?? How come ? Ist der falsch konfiguriert und fehlt dem eine Weiterleitung lokal auf dessen Provider DNS oder Router Proxy ?Sowas ist ja nicht normal, denn das bedeutet ja auch das er dann am Standort keine Internet Domains auflösen kann sondern rein nur lokal arbeitet. Gut, das ist ja dann auch gewollt mit dem Proxy.
Du hast dann nur die Option deine Client Konfig Datei etwas anzupassen:
pull-filter ignore "dhcp-option DNS" in der Konfig ignoriert dann den aufgezwungenen DNS Server und bleibt beim lokalen. Hat dann aber den Nachteil das du lokale Namen nicht auflösen kannst.
Sinnvoller ist dann eher:
dhcp-option DNS 9.9.9.9
Um die 9.9.9.9 oder noch sinnvoller die 192.168.36.1 als Secondary DNS einzurichten. Es macht ja sehr wenig Sinn DNS Requests um den halben Erdball zu schicken wenn deine FritzBox das viel schneller lokal kann !
Mit ipconfig -all müsstest du das dann überprüfen können.
Primary DNS ist dann der remote Firmen DNS und Secondary dann deine FB oder wenn du es nicht lassen kannst einer am anderen Ende der Welt.
Schietert der Primary mit der Auflösung fragt er den Secondary.
Das sollte dein Client Problem lösen.
Die andere Option ist es über die Schnittstellen Metrik zu steuern und deinem LAN Interfcae eine höhere Priority zu geben was es jetzt nicht hat und damit immer der VPN Adapter preferiert wird:
https://serverfault.com/questions/21455/how-to-configure-dns-on-windows- ...