Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Route hinter VPN-Gateway

Mitglied: FA-jka

FA-jka (Level 3) - Jetzt verbinden

06.10.2015, aktualisiert 20:24 Uhr, 980 Aufrufe, 6 Kommentare

Ich lerne gerade Netzwerktechnik und bastle ein bisschen mit OpenVPN herum.

Folgendes Szenario auf dem Client (RoadWarrior):

eth0 (Client) - DHCP

tun0 (Client) - 1.1.1.6/24 (das ist eine statische IP-Adresse, die der Client vom VPN-Server bekommen hat. Der VPN-Server kann diese anpingen. Der Server hat an seinem Tunnelende die 1.1.1.5/24).

eth1 (Client) - 2.2.2.2/24

IP-Forwarding ist auf dem Client eingeschaltet.

Jetzt möchte ich auf dem Server eine statische Route setzen um die 2.2.2.2 erreichen zu können. Mein erster Versuch:

01.
route add -net 2.2.2.0/24 gw 1.1.1.6
Ich habe gelernt, dass das nicht funktionieren kann. Der route-Befehl kann nur IP-Adressen handhaben, die an seinen Netzwerkschnittstellen hängen.

Also habe ich es über das Device versucht:

01.
route add -net 2.2.2.0/24 dev tun0
Im Nachhinein ziemlich naiv - hinter tun0 könnte schließlich "alles Mögliche" hängen. Also habe ich es mit einer Kombination der beiden Parameter versucht:

01.
route add -net 2.2.2.0/24 gw 1.1.1.6 dev tun0
Und genau das funktioniert auch nicht. Seufz!

Einen IPSec-Tunnel möchte ich vermeiden, da ich mit dem Client "friendly user" in einem Testnetz bin und nichts überstrazieren möchte, indem ich Portforwardings usw. einfordere. Die VPN-Verbindung ist natürlich "genehmigt".

Eine Netz-zu-Netz-Kopplung via VPN möchte ich vermeiden, da VPN-Server und Netzwerkkonfiguration eigentlich über eine Web-GUI und eine Paketverwaltung beeinflusst werden. Da ist halt vieles direkt mit dem tun-Device verheiratet.

Die "push route" Funktion von OpenVPN funktioniert doch eigentlich nur, wenn der Server eine Route an den Client verteilt (oder?).

Wie werde ich da am ehesten glücklich?
Mitglied: aqui
06.10.2015, aktualisiert um 20:52 Uhr
das ist eine statische IP-Adresse, die der Client vom VPN-Server bekommen hat
Das ist Blödsinn, denn die bekommt er natürlich dynamisch vom Server verteilt !
Guckst du hier:
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
Das ist das IP Netzwerk was du im Server in dessen Konfig Datei mit server 10.1.1.0 255.255.255.0 z.B. definierst.
Nicht besonders intelligent hier öffentliche IPs zu nehmen dessen Besitzer du nicht bist !
Sinnvoller ist es hier private RFC 1918 IP Adressen zu verwenden...wie immer.
Der VPN-Server kann diese anpingen.
Der Client und alle anderen auch...
Der route-Befehl kann nur IP-Adressen handhaben, die an seinen Netzwerkschnittstellen hängen.
Woher hast du diese "Weisheit". Stimmt natürlich nicht. Richtig ist das die Next Hop IP zu diesem Netz an einem Adapter dran ist am Server.
Versuchst doch mal mit push "route 2.2.2.0 255.255.255.0"
Es reicht aber auch ein ganz normales route 2.2.2.0 255.255.255.0 in der Server Konfig.
Wieder nutzt du hier keine privaten IP Netze ! Besser ist 10.2.2.0 /24 !!

Am Client dann ein route print (wenn dieser ein Winblows Client ist !) bei aktiviertem OVPN Client und du weisst ob deine Route ins 2er Netz sauber auf den Client propagiert wurde vom Server und die Pakete ins 2er Netz dann in den Tunnel geroutet werden.
Hier sind auch wieder Traceroute und Pathping deine besten Freunde...
Alles andere erklärt dir das oben zitierte OVPN Tutorial hier im Forum.
Bitte warten ..
Mitglied: FA-jka
06.10.2015 um 21:06 Uhr
Zitat von aqui:

Das ist Blödsinn, denn die bekommt er natürlich dynamisch vom Server verteilt !

Ja, aber es ist immer die Gleiche. Das habe ich im ccd in der Client-Config eingestellt:

01.
ifconfig-push 1.1.1.6 1.1.1.5
Der route-Befehl kann nur IP-Adressen handhaben, die an seinen Netzwerkschnittstellen hängen.

Woher hast du diese "Weisheit".

Aus der Dokumentation des route-Befehls (Linux!).

Alles andere erklärt dir das oben zitierte OVPN Tutorial hier im Forum.

Das beschränkt sich leider auf pfsense und dd-wrt. Da nicht immer beschrieben ist, was die einzelnen Optionen in der VPN-Konfiguration bzw. in den zugrundeliegenden Betriebssystemen bewirken, bekomme ich das irgendwie nicht auf das pure OpenVPN herunterprojeziert. Wenn ich das könnte, gäbe es wohl nichts mehr zu lernen.
Bitte warten ..
Mitglied: FA-jka
06.10.2015 um 21:13 Uhr
Nachtrag: Die hier dargestellten IP-Adressen sind lediglich "der Einfachheit halber" gewählt. Grundsätzlich benutze ich natürlich private Netze.

Auf dem Server: 10.10.10.0/24
Auf dem Client: 10.10.30.0/24
Im VPN: 10.10.31.0/24
Bitte warten ..
Mitglied: aqui
07.10.2015 um 10:02 Uhr
bekomme ich das irgendwie nicht auf das pure OpenVPN herunterprojeziert. Wenn ich das könnte, gäbe es wohl nichts mehr zu lernen.
Na ja...mit ein bischen Nachdenken und Intelligenz kann man sich das aber auch sehr einfach erschliessen. Hinter dem GUI werkelt ja nix anderes als eine einfache Konfig Datei.
Grundlage ist immer das:
https://openvpn.net/index.php/open-source/documentation/howto.html
Bitte warten ..
Mitglied: FA-jka
07.10.2015 um 10:05 Uhr
Das "Problem" ist gelöst. Und für denjenigen, der via Suchmaschine über diesen Beitrag stolpern, fasse ich gerne noch einmal meine Erkenntnisse zusammen.

Die Route muss im OpenVPN-Server an zwei Stellen konfiguriert werden:

1. In der Clientspezifischen Konfigurationsdatei (ccd) gehört - meinem Beispiel folgend - dieser Eintrag:
01.
iroute "2.2.2.0 255.255.255.0"
Damit wird dem OpenVPN-Server die IP-Adresse von dem Gateway mitgeteilt, über das er das Netz an der zweiten Schnittstelle des Clients erreichen kann.

2. In der server.conf gehört hingegen dieser Eintrag:
01.
route 2.2.2.0 255.255.255.0
Dieser Eintrag veranlasst den Kernel des Betriebssystems (also des VPN-Servers), das Gateway für das Netz auf dem Tunneldevice des OpenVPN-Serverdienstes zu suchen.

Damit sollten alle Clients, die den VPN-Server als Gateway benutzen, das Netz hinter dem Client erreichen können.


Eine Ausnahme bilden andere Clients, die sich ebenfalls mit dem OpenVPN-Server verbinden. Neben der obligatorischen client-to-client-Option wird hier (in der server.conf) der folgende Eintrag gesetzt:
01.
push "route 2.2.2.0 255.255.255.0"
Damit automatisieren wir quasi Schritt 2. auf den anderen Clients: Diese verbinden sich via VPN und bekommen vom Server die Route auf den entsprechenden Client vermittelt. Unter Windows gäbe es noch die Besonderheit, dass das OpenVPN hierfür mit administrativen Rechten gestartet werden muss.


Dass man zumindest unter Linux nur dann Routen setzen kann, wenn der Kernel die IP-Adresse vom Gateway "sieht", geht übrigens auch aus dem Handbuch des route-Befehls hervor:

NOTE: The specified gateway must be reachable first. This usually means that you have to set up a static route to the gateway beforehand.

Quelle: http://linux.die.net/man/8/route
Bitte warten ..
Mitglied: FA-jka
07.10.2015 um 10:07 Uhr

Du wirst lachen - habe die gerade vor 2 Sekunden zugeklickt Ich glaube, so langsam habe ich es verstanden^^
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN mit alternativem Gateway
Frage von niLuxxRouter & Routing5 Kommentare

Hallo zusammen, Ich möchte euch kurz eine Frage zum Thema VPN stellen. Ist es möglich bei bestehendem VPN den ...

Switche und Hubs
VPN Router, Gateway - Eure Empfehlung
gelöst Frage von mikado90Switche und Hubs3 Kommentare

Hi! Wir benötigen ein VPN Router / Gateway. Als Firewall kommt eine PaloAlto PA-500 zum Einsatz. Die VPN-Lösung sollte ...

TK-Netze & Geräte
SSL-VPN Gateway bis 500 Euro
Frage von canlotTK-Netze & Geräte9 Kommentare

Guten Tag zusammen, nachdem ich mit dem Lancom Router lange rumgekaspert habe und den VPN immer noch nicht hinkriege(mal ...

Netzwerkmanagement

VPN Verbindung wird automatisch zum Gateway

gelöst Frage von fuguNetzwerkmanagement1 Kommentar

Moin Com, ich stelle mich gerade mal wieder doof an :D Ich habe mir eine VPN-Verbindung (PPTP) von zuhause ...

Neue Wissensbeiträge
Microsoft Office

Supportlebenszyklus für Office 2010 verlängert

Information von Dani vor 1 TagMicrosoft Office4 Kommentare

Moin, Like most Microsoft products, Microsoft Office 2010 has a support lifecycle during which we provide new features, software ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 2 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 2 TagenExchange Server3 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 2 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Heiß diskutierte Inhalte
VB for Applications
Euro-Zeichen in jedem neu erstellten Brief mit Word automatisch entfernen
gelöst Frage von imebroVB for Applications23 Kommentare

Hallo, ich habe ein Problem mit Word, bzw. mit dem €-Zeichen, welches bei Erstellung eines Word-Briefes automatisch eingesetzt wird. ...

Batch & Shell
Regedit eintrad ändern als Admin
Frage von cyberworm83Batch & Shell19 Kommentare

Hallo zusammen, ich bin derzeit als Rollout Techniker unterwegs und muss täglich bei zig Rechnern einen Registry Einträg ändern ...

LAN, WAN, Wireless
Gebäude mit LWL-Anschlüssen ausstatten - VorNachteile?
Frage von staybbLAN, WAN, Wireless16 Kommentare

Hallo zusammen, es gibt ja mittlerweile viele Firmen die nicht nur ihre Backbones mit FibreChannel anbinden sondern auch direkt ...

LAN, WAN, Wireless
Wie komme ich mit WLAN um die Ecke?
Frage von Hexa09LAN, WAN, Wireless16 Kommentare

Hallo, ich habe eine Anfrage bekommen, und möchte, bevor ich dazu was beginne, erst einmal einen Rat von Profis ...