Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Problematik Default Local Gateway wird verändert Nicht den kompletten Traffic über den VPNTunnel schicken

Mitglied: uncharted

uncharted (Level 1) - Jetzt verbinden

19.03.2014 um 01:39 Uhr, 1252 Aufrufe, 5 Kommentare

Hallo zusammen,

ich habe den folgenden Aufbau:

Lokal-Server (LS) <-> 1.VPN-Tunnel <-> RootServer1 (RS1) <-> 2.VPN-Tunnel RootServer2 (RS2)

An diesem Aufbau kann ich leider nichts ändern, dieser ist so vorgegeben.

Die VPN-Verbindung von Lokal-Server zu RootServer1 funktioniert einwandfrei.

Meine Frage bzw. mein Problem bezieht sich auf die VPN-Verbindung RootServer1 zu RootServer2.

Vorab: Ich habe keinen SSH-Zugriff (oder ähnliches) auf RootServer2 und bekomme von dort nur die OpenVPN Client-config, mehr nicht.

Das Problem ist folgendes:

1. SSH-Verbindung zu RootServer1 funktioniert einwandfrei, wenn der 1.VPN-Tunnel steht und der Server hat seine öffentliche IP (91.x.x.119), ping vom RS1 zum LS steht.
2. VPN-Verbindung (Verbindungsaufbau erfolgt über Port 1195 ausgehend und Port 1194 bei RS2) wird von RootServer1 zu RootServer2 aufgebaut
3. RootServer1 verliert seine SSH-Verbindung auf die default IP (91.x.x.119) und ist nun nur noch über die IP vom RootServer2 erreichbar (79.x.x.86), ping auf die 91.x.x.119 schlägt fehl.

Somit wird der default gateway vom RootServer1 auf den OpenVPN Server gesetzt (79.x.x.86).

Jedoch soll RootServer1 seine lokale IP (SSH soll unter 91.x.x.119 erreichbar bleiben), sowie auch den default Gateway behalten (Aufgrund der schlechten Anbindung von RS2) und nur einen gewissen Teil (nur 2 Ports) durch die VPN-Verbindung schicken.

Ich habe in der VPN Client-Config (von RS1 zu RS2) den Eintrag redirect-gateway entfernt, damit das default gateway bleibt, jedoch wird dies scheinbar ignoriert.

Gibt es eine Möglichkeit, das ich dennoch den default Gateway als prio verwenden kann, ohne den VPN-Gateway?

Ich nehme auch gerne Vorschläge zur Optimierung entgegen.

Danke im Voraus für eure Hilfe.

Gruß
uncharted



Client-Config von Openvpn (von RS1 zu RS2), leider kein Zugriff auf die Server-Config von OpenVPN:

01.
client 
02.
dev tun1 
03.
auth-user-pass /xx/xx/xxx.txt 
04.
proto udp 
05.
remote xxxx 1194 
06.
lport 1195 
07.
resolv-retry infinite 
08.
bind 
09.
persist-key 
10.
persist-tun 
11.
comp-lzo yes 
12.
ca /xx/xx/xxx.crt 
13.
verb 3
Die Routing-Tabelle ohne aktiven VPN-Tunnel (1.VPN-Tunnel ist ebenfalls aus)

01.
Kernel-IP-Routentabelle 
02.
 
03.
Ziel            Router          Genmask         Flags   MSS Fenster irtt Iface 
04.
 
05.
0.0.0.0         91.x.x.254   0.0.0.0         UG        0 0          0 eth0 
06.
 
07.
91.x.x.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0 
08.
 
Die Routing-Tabelle mit aktiven VPN-Tunnel (1.VPN-Tunnel ist ebenfalls aus)
01.
 
02.
Kernel-IP-Routentabelle 
03.
 
04.
Ziel            Router          Genmask         Flags   MSS Fenster irtt Iface 
05.
 
06.
0.0.0.0         10.x.x.69    128.0.0.0       UG        0 0          0 tun0 
07.
 
08.
0.0.0.0         91.x.x.254   0.0.0.0         UG        0 0          0 eth0 
09.
 
10.
10.x.x.1     10.x.x.69    255.255.255.255 UGH       0 0          0 tun0 
11.
 
12.
10.x.x.69    0.0.0.0         255.255.255.255 UH        0 0          0 tun0 
13.
 
14.
79.x.x.86   91.x.x.254   255.255.255.255 UGH       0 0          0 eth0 
15.
 
16.
91.x.x.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0 
17.
 
18.
128.0.0.0       10.x.x.69    128.0.0.0       UG        0 0          0 tun0 
19.
 
IP-Tables auf RootServer1

01.
# bestehende Verbindungen 
02.
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT 
03.
# Über Loopback alles erlauben 
04.
iptables -I INPUT -i lo -j ACCEPT 
05.
iptables -I OUTPUT -o lo -j ACCEPT 
06.
#VPN-Freigabe für 1.VPN-Tunnel 
07.
iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT 
08.
iptables -A FORWARD -s 10.9.8.0/24 -o eth0 -j ACCEPT  
09.
iptables -A FORWARD -j REJECT 
10.
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 91.x.x.119 
11.
iptables -A INPUT -s 10.9.8.0/24 -j ACCEPT 
12.
#VPN-Freigabe für 2.VPN-Tunnel 
13.
iptables -A FORWARD -i eth0 -o tun1 -m state --state ESTABLISHED,RELATED -j ACCEPT 
14.
iptables -A FORWARD -s 10.x.x.69/32 -o eth0 -j ACCEPT 
15.
iptables -A FORWARD -j REJECT 
16.
iptables -A INPUT -s 10.x.x.69/32 -j ACCEPT 
17.
#VPN 
18.
iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT 
19.
iptables -A OUTPUT -o tun1 -p udp --dport 1195 -j ACCEPT
Mitglied: 108012
19.03.2014 um 03:11 Uhr
Hallo,

Ich nehme auch gerne Vorschläge zur Optimierung entgegen.
Kann es sein dass Du einfach am RootServer1
nur das Routing aktivieren musst?

Gruß
Dobby
Bitte warten ..
Mitglied: uncharted
19.03.2014 um 12:12 Uhr
Meinst du forwarding?

net.ipv4.ip_forward=1

wurde schon in /etc/sysctl.conf eingetragen als Test, jedoch brachte dies keine Änderung.
Bitte warten ..
Mitglied: 108012
19.03.2014 um 17:26 Uhr
Zitat von uncharted:

Meinst du forwarding?

Nein ich dachte da eher an Routing was auf dem Root Server1 aktiviert wird!
Hier in dieser Anleitung ist es gut beschrieben worden.


Gruß
Dobby
Bitte warten ..
Mitglied: uncharted
20.03.2014 um 02:56 Uhr
also vom Verständnis habe ich es verstanden, nur unter deinem Link befindet sich leider keine Erklärung der Befehle bzw ein Howto wie man es mit Linux macht. Lediglich Webinterfaces von Firewalls und Windows Server werden dort schritt für schritt erklärt.

Ich suche mir mal eine alternative Anleitung raus, jedoch muss ich wohl nur das forwarding aktivieren, das mein interface eth0 das default gateway bleibt.

Gruß
Bitte warten ..
Mitglied: aqui
21.03.2014 um 20:00 Uhr
Wie man es bei Linux macht kannst du hier nachlesen:
https://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
oder auch hier:
https://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...
oder wenn du Dr. Google mal nach "ip forwarding linux" befragst !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
DNS Abfrage über OpenVPN schicken
Frage von trallerRouter & Routing8 Kommentare

Hallo, man kann ja die verwendeten DNS Server für das Internet auf dieser Website hier prüfen: Bei mir werden ...

Router & Routing
VPN - kompletter Traffic! - nur Intern?
Frage von ububehRouter & Routing4 Kommentare

Hallo Gemeinde nach paar Tagen Google-Recherche, weiß ich nicht mehr, nach was ich suchen soll. Ich hoffe, hier bin ...

Router & Routing
OpenVPN Client einen Gateway zuweisen
Frage von pinnacleRouter & Routing5 Kommentare

Guten Tag, ich habe ein Problem mit OpenVPN. Vielleicht ist dies auch nur ein Klax für manch einen. Ich ...

Linux Netzwerk

Raspberry openvpn local nicht mehr erreichbar

gelöst Frage von zwergenalarmLinux Netzwerk14 Kommentare

Hallo ich wieder! Habe wieder ein Problem! Habe auf einen meiner Pi's OpenVpn installiert! Der Tunnel baut sich auf ...

Neue Wissensbeiträge
Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 5 StundenInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 17 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 19 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 19 StundenMicrosoft12 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server34 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...