Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Route hinter VPN-Gateway

Mitglied: altmetaller

altmetaller (Level 3) - Jetzt verbinden

06.10.2015, aktualisiert 20:24 Uhr, 1298 Aufrufe, 6 Kommentare

Ich lerne gerade Netzwerktechnik und bastle ein bisschen mit OpenVPN herum.

Folgendes Szenario auf dem Client (RoadWarrior):

eth0 (Client) - DHCP

tun0 (Client) - 1.1.1.6/24 (das ist eine statische IP-Adresse, die der Client vom VPN-Server bekommen hat. Der VPN-Server kann diese anpingen. Der Server hat an seinem Tunnelende die 1.1.1.5/24).

eth1 (Client) - 2.2.2.2/24

IP-Forwarding ist auf dem Client eingeschaltet.

Jetzt möchte ich auf dem Server eine statische Route setzen um die 2.2.2.2 erreichen zu können. Mein erster Versuch:

Ich habe gelernt, dass das nicht funktionieren kann. Der route-Befehl kann nur IP-Adressen handhaben, die an seinen Netzwerkschnittstellen hängen.

Also habe ich es über das Device versucht:

Im Nachhinein ziemlich naiv - hinter tun0 könnte schließlich "alles Mögliche" hängen. Also habe ich es mit einer Kombination der beiden Parameter versucht:

Und genau das funktioniert auch nicht. Seufz!

Einen IPSec-Tunnel möchte ich vermeiden, da ich mit dem Client "friendly user" in einem Testnetz bin und nichts überstrazieren möchte, indem ich Portforwardings usw. einfordere. Die VPN-Verbindung ist natürlich "genehmigt".

Eine Netz-zu-Netz-Kopplung via VPN möchte ich vermeiden, da VPN-Server und Netzwerkkonfiguration eigentlich über eine Web-GUI und eine Paketverwaltung beeinflusst werden. Da ist halt vieles direkt mit dem tun-Device verheiratet.

Die "push route" Funktion von OpenVPN funktioniert doch eigentlich nur, wenn der Server eine Route an den Client verteilt (oder?).

Wie werde ich da am ehesten glücklich?
Mitglied: aqui
06.10.2015, aktualisiert um 20:52 Uhr
das ist eine statische IP-Adresse, die der Client vom VPN-Server bekommen hat
Das ist Blödsinn, denn die bekommt er natürlich dynamisch vom Server verteilt !
Guckst du hier:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
Das ist das IP Netzwerk was du im Server in dessen Konfig Datei mit server 10.1.1.0 255.255.255.0 z.B. definierst.
Nicht besonders intelligent hier öffentliche IPs zu nehmen dessen Besitzer du nicht bist !
Sinnvoller ist es hier private RFC 1918 IP Adressen zu verwenden...wie immer.
Der VPN-Server kann diese anpingen.
Der Client und alle anderen auch...
Der route-Befehl kann nur IP-Adressen handhaben, die an seinen Netzwerkschnittstellen hängen.
Woher hast du diese "Weisheit". Stimmt natürlich nicht. Richtig ist das die Next Hop IP zu diesem Netz an einem Adapter dran ist am Server.
Versuchst doch mal mit push "route 2.2.2.0 255.255.255.0"
Es reicht aber auch ein ganz normales route 2.2.2.0 255.255.255.0 in der Server Konfig.
Wieder nutzt du hier keine privaten IP Netze ! Besser ist 10.2.2.0 /24 !!

Am Client dann ein route print (wenn dieser ein Winblows Client ist !) bei aktiviertem OVPN Client und du weisst ob deine Route ins 2er Netz sauber auf den Client propagiert wurde vom Server und die Pakete ins 2er Netz dann in den Tunnel geroutet werden.
Hier sind auch wieder Traceroute und Pathping deine besten Freunde...
Alles andere erklärt dir das oben zitierte OVPN Tutorial hier im Forum.
Bitte warten ..
Mitglied: altmetaller
06.10.2015 um 21:06 Uhr
Zitat von aqui:

Das ist Blödsinn, denn die bekommt er natürlich dynamisch vom Server verteilt !

Ja, aber es ist immer die Gleiche. Das habe ich im ccd in der Client-Config eingestellt:

Der route-Befehl kann nur IP-Adressen handhaben, die an seinen Netzwerkschnittstellen hängen.

Woher hast du diese "Weisheit".

Aus der Dokumentation des route-Befehls (Linux!).

Alles andere erklärt dir das oben zitierte OVPN Tutorial hier im Forum.

Das beschränkt sich leider auf pfsense und dd-wrt. Da nicht immer beschrieben ist, was die einzelnen Optionen in der VPN-Konfiguration bzw. in den zugrundeliegenden Betriebssystemen bewirken, bekomme ich das irgendwie nicht auf das pure OpenVPN herunterprojeziert. Wenn ich das könnte, gäbe es wohl nichts mehr zu lernen.
Bitte warten ..
Mitglied: altmetaller
06.10.2015 um 21:13 Uhr
Nachtrag: Die hier dargestellten IP-Adressen sind lediglich "der Einfachheit halber" gewählt. Grundsätzlich benutze ich natürlich private Netze.

Auf dem Server: 10.10.10.0/24
Auf dem Client: 10.10.30.0/24
Im VPN: 10.10.31.0/24
Bitte warten ..
Mitglied: aqui
07.10.2015 um 10:02 Uhr
bekomme ich das irgendwie nicht auf das pure OpenVPN herunterprojeziert. Wenn ich das könnte, gäbe es wohl nichts mehr zu lernen.
Na ja...mit ein bischen Nachdenken und Intelligenz kann man sich das aber auch sehr einfach erschliessen. Hinter dem GUI werkelt ja nix anderes als eine einfache Konfig Datei.
Grundlage ist immer das:
https://openvpn.net/index.php/open-source/documentation/howto.html
Bitte warten ..
Mitglied: altmetaller
07.10.2015 um 10:05 Uhr
Das "Problem" ist gelöst. Und für denjenigen, der via Suchmaschine über diesen Beitrag stolpern, fasse ich gerne noch einmal meine Erkenntnisse zusammen.

Die Route muss im OpenVPN-Server an zwei Stellen konfiguriert werden:

1. In der Clientspezifischen Konfigurationsdatei (ccd) gehört - meinem Beispiel folgend - dieser Eintrag:
Damit wird dem OpenVPN-Server die IP-Adresse von dem Gateway mitgeteilt, über das er das Netz an der zweiten Schnittstelle des Clients erreichen kann.

2. In der server.conf gehört hingegen dieser Eintrag:
Dieser Eintrag veranlasst den Kernel des Betriebssystems (also des VPN-Servers), das Gateway für das Netz auf dem Tunneldevice des OpenVPN-Serverdienstes zu suchen.

Damit sollten alle Clients, die den VPN-Server als Gateway benutzen, das Netz hinter dem Client erreichen können.


Eine Ausnahme bilden andere Clients, die sich ebenfalls mit dem OpenVPN-Server verbinden. Neben der obligatorischen client-to-client-Option wird hier (in der server.conf) der folgende Eintrag gesetzt:
Damit automatisieren wir quasi Schritt 2. auf den anderen Clients: Diese verbinden sich via VPN und bekommen vom Server die Route auf den entsprechenden Client vermittelt. Unter Windows gäbe es noch die Besonderheit, dass das OpenVPN hierfür mit administrativen Rechten gestartet werden muss.


Dass man zumindest unter Linux nur dann Routen setzen kann, wenn der Kernel die IP-Adresse vom Gateway "sieht", geht übrigens auch aus dem Handbuch des route-Befehls hervor:

NOTE: The specified gateway must be reachable first. This usually means that you have to set up a static route to the gateway beforehand.

Quelle: http://linux.die.net/man/8/route
Bitte warten ..
Mitglied: altmetaller
07.10.2015 um 10:07 Uhr

Du wirst lachen - habe die gerade vor 2 Sekunden zugeklickt Ich glaube, so langsam habe ich es verstanden^^
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN mit alternativem Gateway
Frage von niLuxxRouter & Routing5 Kommentare

Hallo zusammen, Ich möchte euch kurz eine Frage zum Thema VPN stellen. Ist es möglich bei bestehendem VPN den ...

Netzwerke
VPN-Gateway hinter Proxy ?
gelöst Frage von SurmkaNetzwerke2 Kommentare

Moin, habe hier ein Problem wo ich wohl eine Idee habe wie man das lösen könnte, aber noch nicht ...

Router & Routing

VPN-Server-Gateway in einem Rechenzentrum

gelöst Frage von medikopterRouter & Routing10 Kommentare

Hallo zusammen, in der Hoffnung hier nicht die Freitags frage los zu treten, würde ich gerne nach ein paar ...

TK-Netze & Geräte

SSL-VPN Gateway bis 500 Euro

Frage von canlotTK-Netze & Geräte9 Kommentare

Guten Tag zusammen, nachdem ich mit dem Lancom Router lange rumgekaspert habe und den VPN immer noch nicht hinkriege(mal ...

Router & Routing

Neues Gateway, VPN klappt nicht mehr

gelöst Frage von tototobRouter & Routing6 Kommentare

Hi, erstmals frohes Ostern. Ich hatte vor ein paar Wochen eine Umstellung von ISDN auf ALLIP Telekom. Ich wollte ...

Router & Routing

SRX320 als VPN-Gateway an be.ip Plus, Routing?

gelöst Frage von liquidbaseRouter & Routing5 Kommentare

Hallo alle miteinander :) Aktuell habe ich ein Problem im Netzwerk wo ich langsam aber sicher an meinem Verstand ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
Regelmäßige Änderungen der Passwörter erhöhen wirklich die Sicherheit?
Frage von AbstrackterSystemimperatorSicherheitsgrundlagen23 Kommentare

Guten Abend zusammen, genau die Frage stelle ich mir. Erhöht es tatsächlich den Sicherheitsfaktor, wenn die Passwörter regelmäßig geändert ...

Exchange Server
Exchange News and Announcements - Microsoft Ignite 2020
Ticker von DaniExchange Server10 Kommentare

Today we are announcing that the next versions of Exchange Server, SharePoint Server, Skype for Business Server and Project ...

LAN, WAN, Wireless
EC Geräte kommen nicht durch Firewall
gelöst Frage von newit1LAN, WAN, Wireless10 Kommentare

Hallo, habe eine Sophos Firewall im Einsatz. Dort wurde eine Regel erstellt, dass die EC Geräte auf bestimmten Ports ...

Windows Server
Server 2019 Remote Desktop Session Host zeigt Windows Server 2016 an
Frage von StickhausenerWindows Server7 Kommentare

Hallo Zusammen, ich habe das Problem das bei einem frisch installierten Server 2019 Terminalserver Probleme bei der Lizensierung auftauchen. ...

Windows Server
Bücher zu Thema Windows Server
Frage von simpsonettiWindows Server7 Kommentare

Moin, wie der Betreff schon sagt suche ich Bücher zum Thema Windows Server 2016/19 wo es speziell um das ...

Windows Server
Netzlaufwerk für RemoteApps
Frage von TheUnrealWindows Server6 Kommentare

Hallo zusammen, da ich ja aktuell noch mit dem Server spiele und ausprobiere, was ich am besten mache, kam ...

Administrator Magazin
10 | 2020 Nicht erst durch die Corona-Krise sahen sich viele Firmen damit konfrontiert, dass sich Mitarbeiter von unterschiedlichen Geräten und verschiedensten Lokationen aus anmelden. Daher sind hier neue Konzepte für das Berechtigungs- und Identitätsmanagement gefragt, die einerseits die Sicherheit erhöhen und andererseits Nutzern die nötige Flexibilität ...
Best VPN