Windows 7 setzt Default-Gateway Route eigenständig neu (OpenVPN
Ich nutze OpenVPN um meinen gesamten Internet-Verkehr aus unsicheren W-LANs heraus (z.B. öffentliche Hotspots) über meinen eigenen OpenVPN Server zu leiten. Leider funktioniert dies nicht immer zuverlässig, weil Windows die von OpenVPN konfigurierten Routen teilweise eigenständig umschreibt. Zumindest vermute ich das.
Hi,
ich nutze OpenVPN serverseitig mit der Konfiguration
push "redirect-gateway"
um den gesamten Netzwerkverkehr der Clients über den VPN Server laufen zu lassen.
Das funktioniert nach Verbindungsaufbau auch und "route print" liefert mir am Client als Default-Gateway nur die VPN-IP meines Servers.
Nach einiger Zeit taucht allerdings in "route print" ein zweiter Default-Gateway auf, nämlich der der eigentlichen Netzwerkverbindung ins Internet. Da dessen Metrik in meinem Fall niedriger ist als die der VPN Verbindung (wobei ich manchmal lustige Spielchen miterlebt habe, in denen die Metrik der LAN Verbindugn alle paar Sekunden angepasst wurde und dann mal über und mal unter der der VPN Verbindung lag) geht dann der gesamte Datenverkehr wieder über das unsichere Netzwerk ins Internet, ohne dass ich etwas davon merke. OpenVPN bemerkt dies ebenfalls nicht und Verbindungen zu VPN-IPs funktionieren ja weiter, da hierfür eigene Routen existieren. Allerdings birgt das eben ein eklatantes Sicherheitsrisiko!
Im Moment behelfe ich mir dadurch, dass ich die Metrik der VPN Verbindung extrem niedrig setze. Dadurch läuft der Datenverkehr auch dann über das VPN, wenn der andere Default-Gateway existiert.
Lieber wäre es mir aber zu verstehen, woher plötzlich wieder die zweite Route zum Default-Gateway kommt und wie man dies verhindern kann.
Ich habe das Verhalten vor allem unter Windows 7 beobachtet, denke aber dass Vista ebenso betroffen ist. Weiterhin nutze ich in der Regel W-LAN als Verbindung. Ein Abbruch der W-LAN Verbindung tritt aber nicht auf, jedenfalls nicht derart, dass OpenVPN den Tunnel neu aufbauen müsste. Auch ist die W-LAN Verbindung meist sehr stabil.
Weiterhin frage ich mich, ob das auch Anderen aufgefallen ist (viel gefunden habe ich dazu im Internet leider nicht) bzw. würde ich Euch bitten, die Ihr vielleicht auch derartige VPN Konstellationen nutzt, da mal genauer darauf zu achten.
Schöne Grüße,
RFZ
Hi,
ich nutze OpenVPN serverseitig mit der Konfiguration
push "redirect-gateway"
um den gesamten Netzwerkverkehr der Clients über den VPN Server laufen zu lassen.
Das funktioniert nach Verbindungsaufbau auch und "route print" liefert mir am Client als Default-Gateway nur die VPN-IP meines Servers.
Nach einiger Zeit taucht allerdings in "route print" ein zweiter Default-Gateway auf, nämlich der der eigentlichen Netzwerkverbindung ins Internet. Da dessen Metrik in meinem Fall niedriger ist als die der VPN Verbindung (wobei ich manchmal lustige Spielchen miterlebt habe, in denen die Metrik der LAN Verbindugn alle paar Sekunden angepasst wurde und dann mal über und mal unter der der VPN Verbindung lag) geht dann der gesamte Datenverkehr wieder über das unsichere Netzwerk ins Internet, ohne dass ich etwas davon merke. OpenVPN bemerkt dies ebenfalls nicht und Verbindungen zu VPN-IPs funktionieren ja weiter, da hierfür eigene Routen existieren. Allerdings birgt das eben ein eklatantes Sicherheitsrisiko!
Im Moment behelfe ich mir dadurch, dass ich die Metrik der VPN Verbindung extrem niedrig setze. Dadurch läuft der Datenverkehr auch dann über das VPN, wenn der andere Default-Gateway existiert.
Lieber wäre es mir aber zu verstehen, woher plötzlich wieder die zweite Route zum Default-Gateway kommt und wie man dies verhindern kann.
Ich habe das Verhalten vor allem unter Windows 7 beobachtet, denke aber dass Vista ebenso betroffen ist. Weiterhin nutze ich in der Regel W-LAN als Verbindung. Ein Abbruch der W-LAN Verbindung tritt aber nicht auf, jedenfalls nicht derart, dass OpenVPN den Tunnel neu aufbauen müsste. Auch ist die W-LAN Verbindung meist sehr stabil.
Weiterhin frage ich mich, ob das auch Anderen aufgefallen ist (viel gefunden habe ich dazu im Internet leider nicht) bzw. würde ich Euch bitten, die Ihr vielleicht auch derartige VPN Konstellationen nutzt, da mal genauer darauf zu achten.
Schöne Grüße,
RFZ
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 157426
Url: https://administrator.de/forum/windows-7-setzt-default-gateway-route-eigenstaendig-neu-openvpn-157426.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
10 Kommentare
Neuester Kommentar
Ist ein bekannter Fehler bei Winblows 7. Dr. Google hätte dir das in 3 Sekunden auch erzählt !
Ersetze in deiner client.conf einfach push "redirect-gateway" mit
push "redirect-gateway def1"
Dann tritt das nicht mehr auf !
Ersetze in deiner client.conf einfach push "redirect-gateway" mit
push "redirect-gateway def1"
Dann tritt das nicht mehr auf !
Wichtig ist ja das Win 7 damit das Gateway nicht mehr überrennt bzw. überrennen kann ! Bei Vista und XP passiert das nicht besser ist aber immer das def1 bei beiden mit anzuhängen.
Wenns das denn war
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
Wenns das denn war
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
Hier widersprichst du dich nun aber selber oder dir sind IP Netzwerk Mechanismen schlicht unbekannt weil dir das Grundwissen fehlt...
Broadcasts werden per se wie du hoffentlich selber weisst nicht über geroutete Interfaces übertragen !
Das ist eine IP Grundlage und tieferer Sinn von gerouteten Netzen um die Broadcast Domains klein zu halten und damit das Netzwerk performant ! Wenn dann geht es nur wenn der Router sog. Relay Agents oder IP Helper supportet.
Multicast geht auch nicht so ohne weiteres über geroutete Interfaces ! Dafür muss ein Router mindestens IGMP kennen oder Multicast Routing Mechanismen wie PIM dense oder PIM sparse um mal die bekanntesten zu nennen.
So oder so hat das alles nichts mit deinem o.a. Problem zu tun und keinerlei Auswirkungen oder Beeinflussung darauf. Wo ist also genau dein Problem ??
Broadcasts werden per se wie du hoffentlich selber weisst nicht über geroutete Interfaces übertragen !
Das ist eine IP Grundlage und tieferer Sinn von gerouteten Netzen um die Broadcast Domains klein zu halten und damit das Netzwerk performant ! Wenn dann geht es nur wenn der Router sog. Relay Agents oder IP Helper supportet.
Multicast geht auch nicht so ohne weiteres über geroutete Interfaces ! Dafür muss ein Router mindestens IGMP kennen oder Multicast Routing Mechanismen wie PIM dense oder PIM sparse um mal die bekanntesten zu nennen.
So oder so hat das alles nichts mit deinem o.a. Problem zu tun und keinerlei Auswirkungen oder Beeinflussung darauf. Wo ist also genau dein Problem ??