8
OPENVPN Routing Frage
Hallo zusammen,
kann mir bitte jemand einen Tip geben? Wenn ich mit OpenVPN eine VPN-Verbindung in die Firma aufbaue, dann geht sämtlicher Traffic über das VPN. Ich möchte aber nur, dass der Traffic ins Firmennetz rüber geht, also bestimmte IP-Netze. Im Moment ist es so, dass ich im Firmennetz alles erreichen kann. Aber wenn ich lokal ins Internet möchte und die VPN-Verbindung offen ist dauert der Internetzugriff ewig und ist langsam. Wenn ich den Proxy aus der Firma im Browser eintrage dann geht's, das möchte ich aber eigentlich nicht. Wie sage ich OpenVPN, dass z.B. nur die Netze 192.168.100.0/24 und 172.16.1.0 über den Tunnel gehen, der Rest aber nicht? Geht das in der lokalen Config oder muss da auch am Server konfiguriert werden?
Danke für Eure Tips
Stefan
kann mir bitte jemand einen Tip geben? Wenn ich mit OpenVPN eine VPN-Verbindung in die Firma aufbaue, dann geht sämtlicher Traffic über das VPN. Ich möchte aber nur, dass der Traffic ins Firmennetz rüber geht, also bestimmte IP-Netze. Im Moment ist es so, dass ich im Firmennetz alles erreichen kann. Aber wenn ich lokal ins Internet möchte und die VPN-Verbindung offen ist dauert der Internetzugriff ewig und ist langsam. Wenn ich den Proxy aus der Firma im Browser eintrage dann geht's, das möchte ich aber eigentlich nicht. Wie sage ich OpenVPN, dass z.B. nur die Netze 192.168.100.0/24 und 172.16.1.0 über den Tunnel gehen, der Rest aber nicht? Geht das in der lokalen Config oder muss da auch am Server konfiguriert werden?
Danke für Eure Tips
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 574985
Url: https://administrator.de/contentid/574985
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
8 Kommentare
Neuester Kommentar
OK ist wohl eher kein Routing-Problem sondern ein Nameserver-Problem. Wenn das VPN steht wird der Nameserver der Firma zugewiesen und der kann keine externen Adressen auflösen. Wie sage ich dem Kind, dass beim VPN-Netz der Nameserver der Firma verwendet wird, ansonsten aber z.B. 8.8.8.8 ? Geht das überhaupt?
OK ist wohl eher kein Routing-Problem sondern ein Nameserver-Problem.
Nein das ist falsch !Ich möchte aber nur, dass der Traffic ins Firmennetz rüber geht
Einfach mal die Suchfunktion benutzen hier und bitte lesen...und verstehen vor allem. !!Merkzettel: VPN Installation mit OpenVPN
Es ist ein Parameter in der OVPN Server Konfigurations Datei:
- push "redirect-gateway def1 bypass-dhcp" = Sendet den gesamten Traffic des Clients über den Tunnel (Redirect)
- push "route 192.168.188.0 255.255.255.0" = Sendet nur den Traffic für das remote Netz (Beispiel hier 192.168.188.0 /24) in den Tunnel (Split Tunneling)
Fazit:
Editiere die Konfig Datei des OVPN Server, passe diese simple Zeile an und gut iss !
Nebenbei:
ansonsten aber z.B. 8.8.8.8 ?
Nur noch ziemliche Dummies nutzen heutzutage Google als Nameserver. Jedes Kind weiss ja heute mittlerweile das die damit Profile über den Internet Verhalten und besuchte Webseiten erstellen und das mit Dritten weltweit vermarkten.Wem also persönliche Datensicherheit etwas wert ist nuzt den DNS seine lokalen Providers oder wenigstens eine Datenschutz freundlichere Alternative wie Quad9 z.B.
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Hallo aqui,
danke für deine Hinweise und Tips. Es ist aber dennoch ein DNS-Problem, denn die Route wird per push-Kommando gesendet und mit Traceroute kann man auch sehen, dass der Traffic Richtung Internet nicht durch den Tunnel geht. Ein nslookup spuckt mir aber den DNS der Firma aus. Dann werden DNS-Anfragen doch grundsätzlich erstmal dorthin geschickt und dort nicht aufgelöst, weil extern. Eigentlich müsste man es doch so konfigurieren, dass für den Tunnel der Firmen-DNS x.x.x.x zuständig ist, für den Rest die 9.9.9.9.
danke für deine Hinweise und Tips. Es ist aber dennoch ein DNS-Problem, denn die Route wird per push-Kommando gesendet und mit Traceroute kann man auch sehen, dass der Traffic Richtung Internet nicht durch den Tunnel geht. Ein nslookup spuckt mir aber den DNS der Firma aus. Dann werden DNS-Anfragen doch grundsätzlich erstmal dorthin geschickt und dort nicht aufgelöst, weil extern. Eigentlich müsste man es doch so konfigurieren, dass für den Tunnel der Firmen-DNS x.x.x.x zuständig ist, für den Rest die 9.9.9.9.
denn die Route wird per push-Kommando gesendet
Wirklich ??Dann poste bitte mal ein route print bei aktiviertem VPN Client !
doch grundsätzlich erstmal dorthin geschickt und dort nicht aufgelöst, weil extern.
Doch, sollte er immer. Auch der interne DNS Server hat ja logischerweise eine Weiterleitung auf einen externen um außer den lokalen auch die Internet IPs aufzulösen. Welcher DNS als letztlich auflöst ist ja dann egal.Ein DNS Problem kann es niemals sein denn ob der gesamte Traffic durch den Tunnel geht oder nur der relevante für das remote LAN Segment hängt einzig und allein von Der Routing Tabelle ab !!
Wie du ja ganz sicher selber weisst versteht das Internet rein nur IP Adressen aber keinerlei Hostnamen.
Es mag also sehr gut sein das dein Client zwar immer den remoten DNS fragt aber das tut er ja rein nur zur Auflösung der Ziel IP Adresse und nichts anderem.
Relevant für den dann stattfindenden Traffic ist aber immer die IP Adresse sprich die Routing Tabelle.
Du musst also wenn dann schon richtig beschreiben ob rein nur der DNS Traffic zentral über den Tunnel geht oder der gesamte Datentraffic. So wie oben geschildert ist es ja nur der DNS Traffic.
Traceroute (tracert bei Winblows) ist hier ebenso dein bester Freund. Und wie du schon sagst geht dann nur der DNS Traffic über den Tunnel.
Was aber letzlich lächerlich ist, denn dieser minimale DNS Traffic ist marginal und vernachlässigbar zum Gesamtvolumen zumal alle Endgeräte den auch noch zwischencachen.
Die Routingtabelle sieht so aus:
Die 192.168.36.1 ist meine Fritzbox hier im Homeoffice. Die 172.23.41.0 ist das Netz im Office und die 10.190.234.5 ist der OpenVPN-Sever. Sieht doch soweit gut aus, oder? Das Problem ist, dass der FirmenDNS keine externen Adressen auflöst. Das braucht er nicht, da der Internettraffic dort über einen Proxy läuft und der Proxy die Namensauflösung. Ich weiß nur nicht wie ich das lösen soll, dass er mir hier zuhause für Internet die 9.9.9.9 nutzt, für das VPN aber den DNS der Firma.
Any Idea?
IPv4-Routentabelle
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 192.168.36.1 192.168.36.67 50
10.190.234.1 255.255.255.255 10.190.234.5 10.190.234.6 291
10.190.234.4 255.255.255.252 Auf Verbindung 10.190.234.6 291
10.190.234.6 255.255.255.255 Auf Verbindung 10.190.234.6 291
10.190.234.7 255.255.255.255 Auf Verbindung 10.190.234.6 291
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 331
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 331
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
172.23.41.0 255.255.255.0 10.190.234.5 10.190.234.6 291
192.168.36.0 255.255.255.0 Auf Verbindung 192.168.36.67 306
192.168.36.67 255.255.255.255 Auf Verbindung 192.168.36.67 306
192.168.36.255 255.255.255.255 Auf Verbindung 192.168.36.67 306
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 331
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.36.67 306
224.0.0.0 240.0.0.0 Auf Verbindung 10.190.234.6 291
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 331
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.36.67 306
255.255.255.255 255.255.255.255 Auf Verbindung 10.190.234.6 291
===========================================================================Die 192.168.36.1 ist meine Fritzbox hier im Homeoffice. Die 172.23.41.0 ist das Netz im Office und die 10.190.234.5 ist der OpenVPN-Sever. Sieht doch soweit gut aus, oder? Das Problem ist, dass der FirmenDNS keine externen Adressen auflöst. Das braucht er nicht, da der Internettraffic dort über einen Proxy läuft und der Proxy die Namensauflösung. Ich weiß nur nicht wie ich das lösen soll, dass er mir hier zuhause für Internet die 9.9.9.9 nutzt, für das VPN aber den DNS der Firma.
Any Idea?
Die 192.168.36.1 ist meine Fritzbox hier im Homeoffice.
Dann geht auch dein gesamter nicht VPN Traffic lokal ins Internet. Sagt die RT ja eindeutig. Nur Traffic mit der Ziel IP 172.23.41.0 geht in den Tunnel. Also alles richtig wie es soll. 
Sieht doch soweit gut aus, oder?
Yepp, Bingo !Das Problem ist, dass der FirmenDNS keine externen Adressen auflöst.
Ooops ?? How come ? Ist der falsch konfiguriert und fehlt dem eine Weiterleitung lokal auf dessen Provider DNS oder Router Proxy ?Sowas ist ja nicht normal, denn das bedeutet ja auch das er dann am Standort keine Internet Domains auflösen kann sondern rein nur lokal arbeitet. Gut, das ist ja dann auch gewollt mit dem Proxy.
Du hast dann nur die Option deine Client Konfig Datei etwas anzupassen:
pull-filter ignore "dhcp-option DNS" in der Konfig ignoriert dann den aufgezwungenen DNS Server und bleibt beim lokalen. Hat dann aber den Nachteil das du lokale Namen nicht auflösen kannst.
Sinnvoller ist dann eher:
dhcp-option DNS 9.9.9.9
Um die 9.9.9.9 oder noch sinnvoller die 192.168.36.1 als Secondary DNS einzurichten. Es macht ja sehr wenig Sinn DNS Requests um den halben Erdball zu schicken wenn deine FritzBox das viel schneller lokal kann !
Mit ipconfig -all müsstest du das dann überprüfen können.
Primary DNS ist dann der remote Firmen DNS und Secondary dann deine FB oder wenn du es nicht lassen kannst einer am anderen Ende der Welt.
Schietert der Primary mit der Auflösung fragt er den Secondary.
Das sollte dein Client Problem lösen.
Die andere Option ist es über die Schnittstellen Metrik zu steuern und deinem LAN Interfcae eine höhere Priority zu geben was es jetzt nicht hat und damit immer der VPN Adapter preferiert wird:
https://serverfault.com/questions/21455/how-to-configure-dns-on-windows- ...
Hallo aqui,
wir haben es jetzt so gemacht, dass in der Firma der DNS eine Weiterleitung auf den Proxy bekommen hat, der jetzt die externen Adressen auflösen kann. Funktioniert hervorragend! Nochmal danke für Deine Tips, hat mit sehr weitergeholfen.
wir haben es jetzt so gemacht, dass in der Firma der DNS eine Weiterleitung auf den Proxy bekommen hat, der jetzt die externen Adressen auflösen kann. Funktioniert hervorragend! Nochmal danke für Deine Tips, hat mit sehr weitergeholfen.
Alles wird gut ! 
