Aug 12, 2014, updated at Aug 13, 2014 (UTC)

4202

OPEN-VPN Server als Internetgateway konfigurieren!

Guten Morgen,
Ich bin im Bereich von Mikrocontroller Software und Hardware Entwicklung tätig!
Leider bin ich im Bereich Server Linux u.s.w. nicht gerade ein Guru, habe deshalb auch gewisse Schwierigkeiten!
Dank Dieses Forum und deren Inhalte habe ich es geschafft mir auf Hostingparadies einen Linux Server zu mieten und darauf einen OpenVpn Server zu installieren.
Habe auch erfolgreich mehrere WRT mit Openvpn im Einsatz und kann so auf verschiedene Netze zugreifen.
Da es mir immer wieder passiert das ich in Hotels unter komme in denen das Internet sehr eingeschränkt nutzbar ist möchte ich den Internet Trafic von meinem Notebook durch das Vpn jagen!
Habe dafür meinen OPENVPN Server auf TCP umgestellt und verwende den Port 443, so konnte ich bereits mein Vpn ohne Schwierigkeiten aus den Hotels erreichen.
Mein Problem ist jetzt noch denn Server so zu konfigurieren das dieser als Internet Gatway funktioniert!
Habe dazu die Anleitung dieser Seite http://wiki.nefarius.at/linux/mit_openvpn_ins_internet versucht umzusetzen aber leider ohne Erfolg.
Sobald ich in der Client Config den redirect Befehl aktiviere kann ich auf keine Seite mehr zugreifen!
Wäre sehr froh wenn mir jemand helfen könnte !

Das Betriebssystem meines Servers ist Ubuntu!

Vielen Dank für Eure Hilfe

Please also mark the comments that contributed to the solution of the article

Content-Key: 246259

Url: https://administrator.de/contentid/246259

Printed on: April 24, 2024 at 00:04 o'clock

33 Comments

Latest comment

Hallo,

auf die Schnelle um zu sehen ob dein VPN -Server überhaupt das macht was DU willst folgendes.
Da ich nicht genau weiß welches OS Du benutzt.
-Im Hotell oder wo auch immer die IP vom Gateway rausbekommen. (DHCP)
-Eine Route zur IP deines OpenVPN Servers über das Gateway einrichten.
- verbinden
- dein Defaultgateway auf die IP vom OpenVPN Server stellen.

Damit der OpenVPN-Server für dich aber jetzt das Internet bereitstellt, muss er ggf noch so eingestellt werden, das er das VPN-Netz Natet.
Sonst versucht der zu routen und das kann nicht gehen, außer Du hast für das VPN öffentliche IPs verwendet, die Rootbar sind.

Wenn es mehrere Netze gibt die an diesem VPN-Server hängen und verbunden sind, konnen die sich untereinander unterhalten?

Gruß

Chonta

Zitat von @Chonta:

Hallo,

auf die Schnelle um zu sehen ob dein VPN -Server überhaupt das macht was DU willst folgendes.
Da ich nicht genau weiß welches OS Du benutzt.

Guten Morgen,
ich verwende auf meinem Laptop WIN7!

-Im Hotell oder wo auch immer die IP vom Gateway rausbekommen. (DHCP)
-Eine Route zur IP deines OpenVPN Servers über das Gateway einrichten.
- verbinden
- dein Defaultgateway auf die IP vom OpenVPN Server stellen.

Sollte dies nicht Automatisch passieren wenn in der Server Config push "redirect-gateway" steht!

Damit der OpenVPN-Server für dich aber jetzt das Internet bereitstellt, muss er ggf noch so eingestellt werden, das er das
VPN-Netz Natet.

Ich vermute genau da liegt mein Problem!

Sonst versucht der zu routen und das kann nicht gehen, außer Du hast für das VPN öffentliche IPs verwendet, die
Rootbar sind.

Wenn es mehrere Netze gibt die an diesem VPN-Server hängen und verbunden sind, konnen die sich untereinander unterhalten?

Ja ich kann von jeden Beliebigen Standort auf Andere Standorte zugreifen!
Danke
LG

Gruß

Chonta

Moin,
hast du denn deiner OpenVPN-Server Firewall die benötigten Source-NAT-Regeln hinzugefügt und IPForwarding aktiviert ?:
http://wiki.openvpn.eu/index.php/Konfiguration_eines_Internetgateways#F ...
Dort der Abschnitt Forwarding und NAT

Grüße Uwe

Zitat von @colinardo:

Moin,
hast du denn deiner OpenVPN-Server Firewall die benötigten Source-NAT-Regeln hinzugefügt und IPForwarding aktiviert ?:
http://wiki.openvpn.eu/index.php/Konfiguration_eines_Internetgateways#F ...
Dort der Abschnitt Forwarding und NAT

Grüße Uwe

welches Netzwerkinterface soll ich in iptables -t nat -A POSTROUTING -o ethX -s 10.8.0.0/24 -j SNAT --to 1.1.1.1 eintragen

ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.98.1.1 P-t-P:10.98.1.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.99.10.1 P-t-P:10.99.10.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun2 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.198.1.1 P-t-P:10.198.1.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun3 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.2 P-t-P:127.0.0.2 Bcast:0.0.0.0 Mask:255.255.255.255
inet6 addr: 2a00:6480:2:1:0:1:c7f2:7b32/128 Scope:Global
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:1994 errors:0 dropped:0 overruns:0 frame:0
TX packets:1985 errors:0 dropped:2 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:252552 (252.5 KB) TX bytes:182798 (182.7 KB)

venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:213.218.XXX.XXX P-t-P:213.218.XXX.XXX Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1

Danke
Lg

auf venet0 wenn das das Interface ist was direkt im Internet hängt. Aber die verwendeten IPs musst du im Befehl natürlich an deinen Gegebenheiten anpassen !
Für das eine Netz 10.8.0.0/24 Netz sieht die Regel bei dir dann so aus (externe feste IP natürlich anpassen)

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 213.218.XXX.XXX

Diese Regel musst du für jedes deiner OpenVPN-Netze wiederholen das genattet werden soll.

Und nicht vergessen die Regeln zu speichern, sonst sind sie nach einem Neustart des Servers weg!
je nach Linux.Version geht dies mit: service iptables save

Zitat von @colinardo:

auf venet0 wenn das das Interface ist was direkt im Internet hängt. Aber die verwendeten IPs musst du im Befehl
natürlich an deinen Gegebenheiten anpassen !
Für das eine Netz 10.8.0.0/24 Netz sieht die Regel bei dir dann so aus (externe feste IP natürlich anpassen)

> iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 213.218.XXX.XXX
> 

Habe jetzt alles so wie beschreiben gemacht aber leider funktioniert es nicht!
Wenn ich den Tunnel aufbaue und den Browser öffne und auf der seite wie ist meine Ip kontrolliere habe ich immer noch nicht die Ip vom Server!
Wie kann ich den Fehler den ich mache lokalisieren?
Vielen Dank für Deine Hilfe

Zitat von @Steinpilz:
Wie kann ich den Fehler den ich mache lokalisieren?

mach mal ein route print auf deinem Client und ein tracert google.de.

wurde der OpenVPN-Client mit Admin-Rechten gestartet ?

Bitte schön

IPv4-Routentabelle

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.99.99.10 10.99.99.205 25
0.0.0.0 0.0.0.0 10.99.1.2 10.8.0.6 286
0.0.0.0 0.0.0.0 10.8.0.1 10.8.0.6 286
10.8.0.4 255.255.255.252 Auf Verbindung 10.8.0.6 286
10.8.0.6 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.8.0.7 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.99.99.0 255.255.255.0 Auf Verbindung 10.99.99.205 281
10.99.99.205 255.255.255.255 Auf Verbindung 10.99.99.205 281
10.99.99.255 255.255.255.255 Auf Verbindung 10.99.99.205 281
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.56.0 255.255.255.0 Auf Verbindung 192.168.56.1 276
192.168.56.1 255.255.255.255 Auf Verbindung 192.168.56.1 276
192.168.56.255 255.255.255.255 Auf Verbindung 192.168.56.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.56.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 10.99.99.205 281
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.6 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.56.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 10.99.99.205 281
255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.6 286

Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 10.99.1.2 Standard
0.0.0.0 0.0.0.0 10.8.0.1 Standard

Routenverfolgung zu google.de [74.125.136.94] über maximal 30 Abschnitte:

1 1 ms 1 ms 1 ms 10.99.99.10
2 1 ms 1 ms 1 ms 192.168.10.1
3 * * * Zeitüberschreitung der Anforderung.
4 67 ms 67 ms 67 ms host21-158-static.36-88-b.business.telecomitalia
.it [88.36.158.21]
5 70 ms 71 ms 67 ms 217.141.106.141
6 82 ms 79 ms 83 ms 172.17.9.109
7 77 ms 79 ms 79 ms 172.17.6.81
8 78 ms 79 ms 79 ms pos1-13-0-0.milano50.mil.seabone.net [93.186.128
.97]
9 74 ms 75 ms 91 ms 74.125.51.12
10 74 ms 75 ms 75 ms 209.85.241.94
11 86 ms 99 ms 88 ms 72.14.232.76
12 95 ms 103 ms 95 ms 209.85.241.228
13 98 ms 99 ms 99 ms 216.239.48.143
14 98 ms 99 ms 99 ms 216.239.49.30
15 * * * Zeitüberschreitung der Anforderung.
16 106 ms 99 ms 99 ms ea-in-f94.1e100.net [74.125.136.94]

Ablaufverfolgung beendet.

So noch eine Info am Rande habe server 10.8.0.0 255.255.255.0 als IP vergeben!

Vielen Dank

So noch eine Info am Rande habe server 10.8.0.0 255.255.255.0 als IP vergeben!

hä?? das ist ein Netz und keine IP

Bist du gleichzeitig noch mit einem anderen (OpenVPN) Netz verbunden ? (10.99.99.10) Diese Route hat bei dir nämlich Vorrang vor der OpenVPN Route ( 10.8.0.0) !! und deswegen geht der Traffic nicht über das 10.8.0.0 Netz.

Wie oben bereits gesagt musst du dann für alle verwendeten Netze (bzw. 10.99.xx) das Natting auf dem Server aktivieren.

Bist du gleichzeitig noch mit einem anderen (OpenVPN) Netz verbunden ? (10.99.99.10) Diese Route hat bei dir nämlich Vorrang
vor der OpenVPN Route ( 10.8.0.0) !! und deswegen geht der Traffic nicht über das 10.8.0.0 Netz.

Nein mein Router mit dem ich per Wlan verbunden bin hat die Adresse 10.99.99.10

Danke LG

Zitat von @Steinpilz:
Nein mein Router mit dem ich per Wlan verbunden bin hat die Adresse 10.99.99.10

und ein weiteres OpenVPN Netz hat die 10.99.1.2 um welche Masken reden wir hier ?
Dein Router-Gateway hat auf jeden Fall eine niedrigere Metrik, hat also Vorrang vor dem OpenVPN Gateway, deswegen geht der Traffic über deinen eigenen Router. Warum das bei dir jetzt so ist ?
Eventuell Metrik mit übergeben : http://unix.stackexchange.com/questions/91071/openvpn-push-a-route-to-c ...
Oder die Metrik des WLAN-Adapters in den TCP-Eigenschaften manuell höher als 268 setzen.

Wurde der OpenVPN-Client als Admin gestartet?

Vielen Dank für deine Aufopfernde Hilfe!

und ein weiteres OpenVPN Netz hat die 10.99.1.2 um welche Masken reden wir hier ?

Entschuldige das war ein -überbleibsel von einer alten Config habe diese entfernt und habe noch mal ein route print angehängt!

IPv4-Routentabelle

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.99.99.10 10.99.99.205 25
10.8.0.4 255.255.255.252 Auf Verbindung 10.8.0.6 286
10.8.0.6 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.8.0.7 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.99.99.0 255.255.255.0 Auf Verbindung 10.99.99.205 281
10.99.99.205 255.255.255.255 Auf Verbindung 10.99.99.205 281
10.99.99.255 255.255.255.255 Auf Verbindung 10.99.99.205 281
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.56.0 255.255.255.0 Auf Verbindung 192.168.56.1 276
192.168.56.1 255.255.255.255 Auf Verbindung 192.168.56.1 276
192.168.56.255 255.255.255.255 Auf Verbindung 192.168.56.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.56.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 10.99.99.205 281
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.6 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.56.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 10.99.99.205 281
255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.6 286

Dein Router-Gateway hat auf jeden Fall eine niedrigere Metrik, hat also Vorrang vor dem OpenVPN Gateway, deswegen geht der Traffic
über deinen eigenen Router. Warum das bei dir jetzt so ist ?

Wie kann ich das raus finden?

Eventuell Metrik mit übergeben :
http://unix.stackexchange.com/questions/91071/openvpn-push-a-route-to-c ...

Wurde der Client als Admin gestartet?

Ja der Client wurde als Admin gestartet!

Danke für Deine Hilfe

Zitat von @Steinpilz:
Wie kann ich das raus finden?

das galt für den vorherigen alten Schnippsel, im aktuellen ist nur dein eigener Router das einzige Gateway, wie du hier siehst.

IPv4-Routentabelle

Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.99.99.10 10.99.99.205 25

D.h. in einer deiner Open-VPN-Configs ist noch ein Fehler, da hier das Gateway nicht gepusht wird.
Poste also mal deine Server- und Client-OpenVPN-Config-Files.

Poste also mal deine Server- und Client-OpenVPN-Config-Files.

Hier die Server Conf

port 443
proto tcp-server
dev tun3
ca keys/gateway/ca.crt
cert keys/gateway/gateway_server.crt
key keys/gateway/gateway_server.key
dh keys/gateway/dh2048.pem
server 10.8.0.0 255.255.255.0
crl-verify keys/gateway/crl.pem
cipher BF-CBC
user nobody
group nogroup
status servers/Gateway_my/logs/openvpn-status.log
log-append servers/Gateway_my/logs/openvpn.log
verb 2
mute 20
max-clients 100
management 127.0.0.1 2200
keepalive 10 120
client-config-dir /etc/openvpn/servers/Gateway_my/ccd
comp-lzo
persist-key
persist-tun
ccd-exclusive
push "redirect-gateway def1" # leitet den Internettraffic am Client zum Server um
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)

Hier die ClientConfig

client
proto tcp-client
dev tun
ca ca.crt
dh dh2048.pem
cert peter_gateway.crt
key peter_gateway.key
remote xxxxxxxxx 443
cipher BF-CBC
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

Vielen Dank

trag mal in die Server-Config anstatt
push "redirect-gateway def1"
an dieser Stelle folgendes ein:

push "redirect-gateway"  
push "route 0.0.0.0 0.0.0.0"  
push "route 10.8.0.0 255.255.255.0"  

Geil es funktioniert!

Kannst Du mir bitte noch erklären warum?
Und noch zum besseren verständnis wenn ich jetzt will das nur mein Notebook den weg ins internet über den Tunnel nimmt wie stelle ich das an?

Vielen Vielen Dank
hast mir echt sehr geholfen!

Nochwas nebenbei:

Habe dafür meinen OPENVPN Server auf TCP umgestellt

Das sollte man generell nicht machen und OpenVPN rät auch dringenst davon ab, da es zu massiven Performance Problemen kommen kann. Es ist erheblich sinnvoller immer eine UDP Encapsulation zu verwenden und niemals TCP wenn man es nicht muss. Besser also du stellst auf UDP 443 um, denn das wird so gut wie immer auch durchgeleitet da die meisten Hotels generell den Port 443 öffnen und aus Unwissen dann immer für beide Protokolle.
Zum Rest ist ja schon alles gesagt. Am Client ist nichts einzustellen. Lediglich in der Server konfig muss rein:
push "redirect-gateway def1"
Siehe dazu auch hier:
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Das ist alles.... Zum Rest hat Kollege colinardo ja schon alles gesagt !
Grundlagen auch hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen.

Zitat von @Steinpilz:
Kannst Du mir bitte noch erklären warum?

steht so in den gängigen Anleitungen...s. @aqui
Die MANPAGE steht da auch immer zu Diensten: http://openvpn.net/index.php/open-source/documentation/manuals/65-openv ...

Und noch zum besseren verständnis wenn ich jetzt will das nur mein Notebook den weg ins internet über den Tunnel nimmt
wie stelle ich das an?

Entweder mit Override an den Clients:
https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

oder du lässt das pushing des Gateway aus der Server-Config weg und trägst in die Client-Config ein:

route 0.0.0.0 0.0.0.0 vpn_gateway 10

oder du lässt das pushing des Gateway aus der Server-Config weg und trägst in die Client-Config ein:

> route 0.0.0.0 0.0.0.0 vpn_gateway 10
> 

Das heißt ich lasse aus der Server conf

push "redirect-gateway def1" # leitet den Internettraffic am Client zum Server um
push "route 0.0.0.0 0.0.0.0"
push "route 10.8.0.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)

und ich trage
ins ccd file des client

 route 0.0.0.0 0.0.0.0 vpn_gateway 10

ein!
Stimmt das so?

Vielen Herzlichen Dank!

Zitat von @Steinpilz:
Stimmt das so?

nicht ganz:

in der Server Config kommt das hier weg:

push "redirect-gateway def1" # leitet den Internettraffic am Client zum Server um   
push "route 0.0.0.0 0.0.0.0"   
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1   
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)  

das push "route 10.8.0.0 255.255.255.0" verbleibt darin, so dass den Clients ja zumindest das VPN Netz kenntlich gemacht wird. Der Rest ist OK.

Viel Erfolg
Grüße Uwe

Wenns das dann war, den Beitrag bitte noch aufgelöst setzen. Merci.

Das CCD Fiele sieht jetzt so aus

ifconfig-push 10.99.1.1 10.99.1.2 #toshiba
#ad hier neue Befehle 
route 0.0.0.0 0.0.0.0 vpn_gateway 10
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1   
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)  
 

Für das Nat habe ich diesen Befehl abgesetzt!

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 213.218.XXX.XXX
 

Und die Server Config sieht so aus

port 443
proto tcp-server
dev tun0
ca keys/test/ca.crt
cert keys/test/servertest.crt
key keys/test/servertest.key
dh keys/test/dh2048.pem
server 10.98.1.0 255.255.255.0
crl-verify keys/test/crl.pem
cipher BF-CBC
user nobody
group nogroup
status servers/serverMy/logs/openvpn-status.log
log-append servers/serverMy/logs/openvpn.log
verb 6
mute 20
max-clients 100
management 127.0.0.1 2000
keepalive 10 120
client-config-dir /etc/openvpn/servers/serverMy/ccd
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive
#up servers/serverMy/bin/serverMy.up
script-security 3

push "route 10.98.1.0 255.255.255.0"  

Die Client Conf so

client
proto tcp-client
dev tun
ca ca.crt
dh dh2048.pem
cert pier.crt
key pier.key
remote 213.218.178.233 443
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
script-security 2

Leider Funktioniert es aber so wieder nicht!

Vielen Dank für deine Hilfe

Ich hatte oben geschrieben das du für jedes VPN Netz eine NAT-Rule erstellen musst:
Da das hier jetzt schon wieder ein anderes Netz ist 10.98.1.0 musst du natürlich auch die passende NAT-Rule erstellen:

iptables -t nat -A POSTROUTING -s 10.98.1.0/24 -o venet0 -j SNAT --to-source 213.218.XXX.XXX 

und das xxx.xxx natürlich an die externe IP des Servers anpassen.

Sorry Habe denn obigen Befehl durcheinander gebracht Entschuldige Bitte!
Leider fehlt in der route Tabelle die route durch den Tunnel

===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      10.99.99.10     10.99.99.205     25
        10.99.1.0  255.255.255.252   Auf Verbindung         10.99.1.1    286
        10.99.1.1  255.255.255.255   Auf Verbindung         10.99.1.1    286
        10.99.1.3  255.255.255.255   Auf Verbindung         10.99.1.1    286
       10.99.99.0    255.255.255.0   Auf Verbindung      10.99.99.205    281
     10.99.99.205  255.255.255.255   Auf Verbindung      10.99.99.205    281
     10.99.99.255  255.255.255.255   Auf Verbindung      10.99.99.205    281
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
     192.168.56.0    255.255.255.0   Auf Verbindung      192.168.56.1    276
     192.168.56.1  255.255.255.255   Auf Verbindung      192.168.56.1    276
   192.168.56.255  255.255.255.255   Auf Verbindung      192.168.56.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.56.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung         10.99.1.1    286
        224.0.0.0        240.0.0.0   Auf Verbindung      10.99.99.205    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.56.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung         10.99.1.1    286
  255.255.255.255  255.255.255.255   Auf Verbindung      10.99.99.205    281
===========================================================================
Ständige Routen:
  Keine

IPv6-Routentabelle

In der Server config fehlt wieder:
push "redirect-gateway def1"
Wie soll denn jetzt jeglicher Traffic des Clients in den Tunnel geroutet werden ???
push "route 10.98.1.0 255.255.255.0" routet ja einzig und allein nur noch Traffic für das 10.98.1.0er Netz in den VPN Tunnel ??! Alles andere geht lokal ins Internet.

Ich möchte doch nur das gewisse clients den gesammten Trafic durch den Tunnel routen!
Geht das trozdem?
Danke

Hallo,

wenn das NAT eingestellt ist, kannst Du wenn Adminrechte auf dem Client vorhanden sind, die Ruten wie ich oben beschrieben habe umbiegen.
Einstellungen auf dem Server gelten immer für alle.
Das man nur in der Clientconfig das umbiegen kann ist mir nicht bekannt.

Gruß

Chonta

Hallo nochmal!
Entschuldigt bitte meine Doofheit aber ich bekomme es einfach nicht zum laufen!
Das Problem ist ich möchte das nur ausgewählte Clients ihren Internet Traffic durch den Tunnel tätigen!
Aber aus irgendeinen Grund Tätigen Alle den Traffic durch den Tunnel!
Nochmal die Server Config

port 443
proto tcp-server
dev tun0
ca keys/test/ca.crt
cert keys/test/servertest.crt
key keys/test/servertest.key
dh keys/test/dh2048.pem
server 10.98.1.0 255.255.255.0
crl-verify keys/test/crl.pem
cipher BF-CBC
user nobody
group nogroup
status servers/serverMy/logs/openvpn-status.log
log-append servers/serverMy/logs/openvpn.log
verb 6
mute 20
max-clients 100
management 127.0.0.1 2000
keepalive 10 120
client-config-dir /etc/openvpn/servers/serverMy/ccd
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive
script-security 3

route 10.99.10.0 255.255.255.0 #wrt_B
push "route 192.168.20.0 255.255.255.0"  
route 10.99.11.0 255.255.255.0 #WRT A
push "route 10.99.99.0 255.255.255.0"  
route 10.99.1.0 255.255.255.0 #Susi
route 10.99.2.0 255.255.255.0 #Xpiria
route 10.99.3.0 255.255.255.0 #Acer


push "redirect-gateway def1"   

push "route 10.98.1.0 255.255.255.0"  

Client Config

client
proto tcp-client
dev tun
ca ca.crt
dh dh2048.pem
cert pier.crt
key pier.key
remote 213.218.178.XXX.XXX
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
script-security 2

das CCD File

ifconfig-push 10.99.1.1 10.99.1.2 #Susi
push "route 10.99.10.0 255.255.255.0" #wrt_A  
push "route 192.168.20.0 255.255.255.0"  
push "route 10.99.11.0 255.255.255.0" #wrt_B  
push "route 10.99.99.0 255.255.255.0"  
push "route 10.199.9.0 255.255.255.0" #wrt_C  
push "route 192.168.21.0 255.255.255.0"  
push "route 10.99.3.0 255.255.255.0"  

route 0.0.0.0 0.0.0.0 vpn_gateway 10

Bitte seit so nett und seht Euch das nochmal an!
Vielen Herzlichen Dank!

Hallo,

Du machst das Redirect auf dem Server und dann gilt das neue Defaultgateway auch für alle.
Wenn Du den VPN-Server schon soweit hast, das er mit der Option erfolgreich das Internet zur Verfügung stellt, dann nim die Option raus und passe auf deinen Clients die Routen an.
Die Route zum VPN-server immer über das Hotel Netzwerk und alles andere über den Tunnel.

Gruß

Chonta

So jetzt habe ich einen Versuch gestartet und es funktioniert!
Habe nun
Folgendes ins CCD File eingetragen

ifconfig-push 10.99.1.1 10.99.1.2 #susi toshiba
push "route 10.99.10.0 255.255.255.0" #wrt_A  
push "route 192.168.20.0 255.255.255.0"  
push "route 10.99.11.0 255.255.255.0" #wrt_B  
push "route 10.99.99.0 255.255.255.0"  
push "route 10.199.9.0 255.255.255.0" #wrt_C  
push "route 192.168.21.0 255.255.255.0"  
push "route 10.99.3.0 255.255.255.0"  

push "redirect-gateway def1"    
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1    
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)   

Die Server Config sieht so aus

port 443
proto tcp-server
dev tun0
ca keys/test/ca.crt
cert keys/test/servertest.crt
key keys/test/servertest.key
dh keys/test/dh2048.pem
server 10.98.1.0 255.255.255.0
crl-verify keys/test/crl.pem
cipher BF-CBC
user nobody
group nogroup
status servers/serverMy/logs/openvpn-status.log
log-append servers/serverMy/logs/openvpn.log
verb 6
mute 20
max-clients 100
management 127.0.0.1 2000
keepalive 10 120
client-config-dir /etc/openvpn/servers/serverMy/ccd
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive


route 10.99.10.0 255.255.255.0 #wrt_A
push "route 192.168.20.0 255.255.255.0"  
route 10.99.11.0 255.255.255.0 #WRT B
push "route 10.99.99.0 255.255.255.0"  
route 10.99.1.0 255.255.255.0 #Susi
route 10.99.2.0 255.255.255.0 #Xpiria
route 10.99.3.0 255.255.255.0 #Acer

Funktioniert es nur Zufällig oder mach ich es jetzt richtig?
Vielen Dank für Eure Aufopfernde Hilfe

Meine Option route 0.0.0.0 0.0.0.0 vpn_gateway 10 funktioniert nur wenn man sie direkt in die Config auf dem Client einträgt und nicht ins CCD ...ins CCD kommen ja nur Serverseitige Optionen die zum Client gepusht werden, und das obige route gehört nur auf Client-Seite.

Zitat von @colinardo:

Meine Option route 0.0.0.0 0.0.0.0 vpn_gateway 10 funktioniert nur wenn man sie direkt in die Config auf dem Client
einträgt und nicht ins CCD ...ins CCD kommen ja nur Serverseitige Optionen die zum Client gepusht werden, und das obige
route gehört nur auf Client-Seite.

Ja wäre aber besser wenn ich die Clients vom Server aus Steuern könnte!
was hältst du vom obigen CCD file

Danke
LG

wenns das tut was es soll ist es doch OK.

Ja hoffe eigentlich funktioniert es so wie es soll!
Danke

German solved Question Linux Network Linux

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments