6
OpenVPN Server leitet die Internet Verbindung nicht weiter
Hallo,
ich habe einen Windows Server 2008 bei OVH und haben auf diesem OpenVPN installiert. Der Server und die Clients haben bereits eine Verbindung und es ist eine route konfiguriert, die youtube.com auf den Clients auf das VPN Network routet. Wenn ich nun ein tracert youtube.com auf den Clients ausführe, dann geht der erste hop auch auf das VPN Netzwerk, von dort aber nicht weiter. Ich habe auf dem Server IP routing eingeschalten und das hilft auch nicht. Eine Brücke zwischen den Verbindungen kann ich nicht anlegen, da sobald ich die Brücke anlege, der Server im Internet nicht mehr erreichbar ist und mir nur noch eine Neuinstallation übrig bleibt.
Wie kriege ich es nun hin das die eine Netzwerkschnittstelle Zugriff auf das Internet der anderen kriegt?
Infos:
Server:
Schnitstelle 1 (Internet):
IP: 188.165.195.21
Gateway: 188.165.195.254
Schnitstelle 2 (OpenVPN):
IP: 10.8.0.1
Client:
IP: 10.8.0.1-10
Gateway: 10.8.0.1
Gruß
Niels
ich habe einen Windows Server 2008 bei OVH und haben auf diesem OpenVPN installiert. Der Server und die Clients haben bereits eine Verbindung und es ist eine route konfiguriert, die youtube.com auf den Clients auf das VPN Network routet. Wenn ich nun ein tracert youtube.com auf den Clients ausführe, dann geht der erste hop auch auf das VPN Netzwerk, von dort aber nicht weiter. Ich habe auf dem Server IP routing eingeschalten und das hilft auch nicht. Eine Brücke zwischen den Verbindungen kann ich nicht anlegen, da sobald ich die Brücke anlege, der Server im Internet nicht mehr erreichbar ist und mir nur noch eine Neuinstallation übrig bleibt.
Wie kriege ich es nun hin das die eine Netzwerkschnittstelle Zugriff auf das Internet der anderen kriegt?
Infos:
Server:
Schnitstelle 1 (Internet):
IP: 188.165.195.21
Gateway: 188.165.195.254
Schnitstelle 2 (OpenVPN):
IP: 10.8.0.1
Client:
IP: 10.8.0.1-10
Gateway: 10.8.0.1
Gruß
Niels
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 191817
Url: https://administrator.de/contentid/191817
Printed on: April 25, 2024 at 00:04 o'clock
6 Comments
Latest comment
Ich habe nun ein
route add 10.8.0.0 188.165.195.254
beim Server gemacht.
Netzwerkadresse Netzmaske Gatewayadresse Metrik
18.8.0.0 255.255.255.255 188.165.195.254 1
Sollte das nicht eigentlich genau den gewünschten Effekt bringen?
tracert youtube.com beim Ccient sieht immernoch wie folgt aus:
C:\Users\Gamewalker>tracert youtube.com
Routenverfolgung zu youtube.com [173.194.70.136]
über maximal 30 Hops:
1 54 ms 37 ms 38 ms Kino-PC [10.8.0.1]
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * ^C
route add 10.8.0.0 188.165.195.254
beim Server gemacht.
Netzwerkadresse Netzmaske Gatewayadresse Metrik
18.8.0.0 255.255.255.255 188.165.195.254 1
Sollte das nicht eigentlich genau den gewünschten Effekt bringen?
tracert youtube.com beim Ccient sieht immernoch wie folgt aus:
C:\Users\Gamewalker>tracert youtube.com
Routenverfolgung zu youtube.com [173.194.70.136]
über maximal 30 Hops:
1 54 ms 37 ms 38 ms Kino-PC [10.8.0.1]
2 * * * Zeitüberschreitung der Anforderung.
3 * * * Zeitüberschreitung der Anforderung.
4 * ^C
Die Konfig ist falsch und auch die Route ist Unsinn, deshalb klappt es nicht. Besser also löschen.
Wenn du sämtlichen Interne Traffic in den VPN Tunnel routen willst, dann musst du in der Server Konfig Datei einfach
redirect-gateway
konfigurieren...fertisch !
Mit einem route print auf dem Client kannst du immer die Routen sehen am Client ! Mit redirect-gateway wird jeglicher Traffic vom Client in den Tunnel geroutet. Siehe:
http://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Weitere Tips auch hier im Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die Plattform ist für die Installation egal..das ist immer gleich bei OVPN !
Wenn du sämtlichen Interne Traffic in den VPN Tunnel routen willst, dann musst du in der Server Konfig Datei einfach
redirect-gateway
konfigurieren...fertisch !
Mit einem route print auf dem Client kannst du immer die Routen sehen am Client ! Mit redirect-gateway wird jeglicher Traffic vom Client in den Tunnel geroutet. Siehe:
http://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Weitere Tips auch hier im Tutorial:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die Plattform ist für die Installation egal..das ist immer gleich bei OVPN !
redirect-gateway geht ja nur auf den Clients und ich will ja nicht das alles über den Server geroutet wird, nur bestimmte Sachen, darum sieht meine Config so aus:
## client.ovpn ##
client
proto udp
dev tun
remote xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert kinopc.crt
key kinopc.key
comp-lzo
verb 3
allow-pull-fqdn
## server.ovpn ##
port 1194
proto udp
dev tun
ca ca.crt
cert widget.crt
key widget.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
keepalive 10 120
comp-lzo
max-clients 4
persist-key
persist-tun
status openvpn-status.log
verb 3
;push "redirect-gateway"
push "route youtube.com"
push "route youtube.de"
die youtube Adresse wird ja dann auch auf 10.8.0.1 geroutet nur weiß dann nicht weiter
## client.ovpn ##
client
proto udp
dev tun
remote xxx 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert kinopc.crt
key kinopc.key
comp-lzo
verb 3
allow-pull-fqdn
## server.ovpn ##
port 1194
proto udp
dev tun
ca ca.crt
cert widget.crt
key widget.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
keepalive 10 120
comp-lzo
max-clients 4
persist-key
persist-tun
status openvpn-status.log
verb 3
;push "redirect-gateway"
push "route youtube.com"
push "route youtube.de"
die youtube Adresse wird ja dann auch auf 10.8.0.1 geroutet nur weiß dann nicht weiter
OK, dann musst du alle diese Routen mit dem "push route..." Kommando an den Client announcen !
Damit gehen dann diese Routen in den Tunnel.
Mach immer ein route print auf dem Client bei aktiver VPN Session,dann weisst du genau WO alles hingeht !!
Es ist übrigens Blödsinn das YouTube auf 10.8.0.1 geroutet wird...jedenfalls nicht wirklich.
die 10er Adresse ist eine RFC 1918 Private IP Adresse
http://de.wikipedia.org/wiki/Private_IP-Adresse
diese werden im Internet gar nicht geroutet. Als next Hop siehst du die Tunnel IP deines OVPN Servers an den das dann geroutet wird.
DER wiederum muss dann ein Default Gateway oder eine entsprechende Route zum Ziel haben.
Bedenke das YouTube ein DNS LOad Balancing macht da die logischerweise eine Serverfarm betreiben. Die physsiche YouTube IP ist also immer eine wechselnde !
Damit gehen dann diese Routen in den Tunnel.
Mach immer ein route print auf dem Client bei aktiver VPN Session,dann weisst du genau WO alles hingeht !!
Es ist übrigens Blödsinn das YouTube auf 10.8.0.1 geroutet wird...jedenfalls nicht wirklich.
die 10er Adresse ist eine RFC 1918 Private IP Adresse
http://de.wikipedia.org/wiki/Private_IP-Adresse
diese werden im Internet gar nicht geroutet. Als next Hop siehst du die Tunnel IP deines OVPN Servers an den das dann geroutet wird.
DER wiederum muss dann ein Default Gateway oder eine entsprechende Route zum Ziel haben.
Bedenke das YouTube ein DNS LOad Balancing macht da die logischerweise eine Serverfarm betreiben. Die physsiche YouTube IP ist also immer eine wechselnde !
Hallo,
durch das allow-pull-fqdn kann man ja domains routen lassen, im Falle von youtube routet er dann direkt 4 IP Adressen um, was für eine gewisse Zeit erstmal reichen sollte denke ich, sonst sollte ja ein neu einwählen ins VPN reichen um die neuen DNS Einträge zu kriegen und wieder zu routen. Ich hab das so verstanden das wenn ich das tracert ansehe die erste Anlaufstelle von youtube.com auf die Schnittstelle 10.8.0.1 geht was ja mein VPN ist nur dann kann er nicht weiter Auflösen. Das wiederum ist für mich nur zu erklären weil die VPN Schnitstelle nicht auf die Internet Schnittstelle zugreifen kann. Dafür müsste ich ja theoretisch eine Netzwekbrücke einrichten, was wiederrum nicht geht weil sobald ich diese erstellen lasse der Server nicht mehr erreichbar ist. Bin langsam so weit das ich einfach einen Proxy Server einrichte, nur nervt mich dort die Authentifizierung, die nicht jeder Browser speichert.
durch das allow-pull-fqdn kann man ja domains routen lassen, im Falle von youtube routet er dann direkt 4 IP Adressen um, was für eine gewisse Zeit erstmal reichen sollte denke ich, sonst sollte ja ein neu einwählen ins VPN reichen um die neuen DNS Einträge zu kriegen und wieder zu routen. Ich hab das so verstanden das wenn ich das tracert ansehe die erste Anlaufstelle von youtube.com auf die Schnittstelle 10.8.0.1 geht was ja mein VPN ist nur dann kann er nicht weiter Auflösen. Das wiederum ist für mich nur zu erklären weil die VPN Schnitstelle nicht auf die Internet Schnittstelle zugreifen kann. Dafür müsste ich ja theoretisch eine Netzwekbrücke einrichten, was wiederrum nicht geht weil sobald ich diese erstellen lasse der Server nicht mehr erreichbar ist. Bin langsam so weit das ich einfach einen Proxy Server einrichte, nur nervt mich dort die Authentifizierung, die nicht jeder Browser speichert.
Nein, eine Netzwerkbrücke wäre Blödsinn, denn das wäre ein Bridging. Technisch ginge das auch nicht weil du so im Layer 2 ein 10er IP Netz in ein anderes IP Netz bridgest was zwingend geroutet werden müsste.
Dein Problem ist vermutlich der Winblows Server, der im Default KEIN IP Forwarding macht, sprich Routing !!
Das musst du erst aktivieren, damit er zwischen seinen IP Interfaces, egal welcher Couleur, routen kann.
Hier steht wie man das bewerkstelligt:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Damit klappt das Routing im Server dann problemlos....sofern der Server dann natürlich eine Route zu YouTube hat...logisch ?! Sollte er aber mit einem Default Gateway...
Dein Problem ist vermutlich der Winblows Server, der im Default KEIN IP Forwarding macht, sprich Routing !!
Das musst du erst aktivieren, damit er zwischen seinen IP Interfaces, egal welcher Couleur, routen kann.
Hier steht wie man das bewerkstelligt:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Damit klappt das Routing im Server dann problemlos....sofern der Server dann natürlich eine Route zu YouTube hat...logisch ?! Sollte er aber mit einem Default Gateway...
