Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Windows 7 setzt Default-Gateway Route eigenständig neu (OpenVPN

Mitglied: RoterFruchtZwerg

RoterFruchtZwerg (Level 2) - Jetzt verbinden

22.12.2010 um 11:39 Uhr, 11351 Aufrufe, 10 Kommentare

Ich nutze OpenVPN um meinen gesamten Internet-Verkehr aus unsicheren W-LANs heraus (z.B. öffentliche Hotspots) über meinen eigenen OpenVPN Server zu leiten. Leider funktioniert dies nicht immer zuverlässig, weil Windows die von OpenVPN konfigurierten Routen teilweise eigenständig umschreibt. Zumindest vermute ich das.

Hi,
ich nutze OpenVPN serverseitig mit der Konfiguration
push "redirect-gateway"
um den gesamten Netzwerkverkehr der Clients über den VPN Server laufen zu lassen.
Das funktioniert nach Verbindungsaufbau auch und "route print" liefert mir am Client als Default-Gateway nur die VPN-IP meines Servers.
Nach einiger Zeit taucht allerdings in "route print" ein zweiter Default-Gateway auf, nämlich der der eigentlichen Netzwerkverbindung ins Internet. Da dessen Metrik in meinem Fall niedriger ist als die der VPN Verbindung (wobei ich manchmal lustige Spielchen miterlebt habe, in denen die Metrik der LAN Verbindugn alle paar Sekunden angepasst wurde und dann mal über und mal unter der der VPN Verbindung lag) geht dann der gesamte Datenverkehr wieder über das unsichere Netzwerk ins Internet, ohne dass ich etwas davon merke. OpenVPN bemerkt dies ebenfalls nicht und Verbindungen zu VPN-IPs funktionieren ja weiter, da hierfür eigene Routen existieren. Allerdings birgt das eben ein eklatantes Sicherheitsrisiko!

Im Moment behelfe ich mir dadurch, dass ich die Metrik der VPN Verbindung extrem niedrig setze. Dadurch läuft der Datenverkehr auch dann über das VPN, wenn der andere Default-Gateway existiert.

Lieber wäre es mir aber zu verstehen, woher plötzlich wieder die zweite Route zum Default-Gateway kommt und wie man dies verhindern kann.

Ich habe das Verhalten vor allem unter Windows 7 beobachtet, denke aber dass Vista ebenso betroffen ist. Weiterhin nutze ich in der Regel W-LAN als Verbindung. Ein Abbruch der W-LAN Verbindung tritt aber nicht auf, jedenfalls nicht derart, dass OpenVPN den Tunnel neu aufbauen müsste. Auch ist die W-LAN Verbindung meist sehr stabil.

Weiterhin frage ich mich, ob das auch Anderen aufgefallen ist (viel gefunden habe ich dazu im Internet leider nicht) bzw. würde ich Euch bitten, die Ihr vielleicht auch derartige VPN Konstellationen nutzt, da mal genauer darauf zu achten.

Schöne Grüße,
RFZ
Mitglied: aqui
22.12.2010 um 12:03 Uhr
Ist ein bekannter Fehler bei Winblows 7. Dr. Google hätte dir das in 3 Sekunden auch erzählt !
Ersetze in deiner client.conf einfach push "redirect-gateway" mit
push "redirect-gateway def1"
Dann tritt das nicht mehr auf !
Bitte warten ..
Mitglied: RoterFruchtZwerg
22.12.2010 um 12:32 Uhr
Du hast aber schon gelesen was ich geschrieben habe?
Das Problem ist nicht, dass Windows den Default-Gateway nicht akzeptieren würde. Der Gateway ist da und funktioniert.
Das Problem ist, dass Windows nach gewisser Zeit eigenständig einen zusätzlichen Gateway anlegt. Mit OpenVPN hat das eigentlich garnicht so viel zu tun, denn das rührt sich nach dem Verbindungsaufbau nicht mehr.
Bitte warten ..
Mitglied: RoterFruchtZwerg
22.12.2010 um 12:45 Uhr
Ah okay... du hättst ja ein wenig dazu erklären können ;)
def1 setzt statt 0.0.0.0/0 zwei Netze 0.0.0.0/1 und 128.0.0.0/1. Das behebt zwar nicht das Problem, dass Windows den Default-Gateway neu setzt, aber verhindert zumindest dass die Daten über das Default-Gateway laufen.
Mir kam das erst suspekt vor, weil die Metrik dann ja trotzdem noch höher ist - aber das ist natürlich schmarrn, eine definierte Route mit hoher Metrik wird natürlich dem Default-Gateway mit niedriger Metrik gegenüber bevorzugt.

Ist zwar eine bessere Lösung, da ich sie nicht Client-Seitig anwenden muss (wie das Ändern der Schnittstellenmetrik), aber optimal finde ich das auch nicht...

Danke trotzdem
Bitte warten ..
Mitglied: aqui
22.12.2010 um 12:50 Uhr
Wichtig ist ja das Win 7 damit das Gateway nicht mehr überrennt bzw. überrennen kann ! Bei Vista und XP passiert das nicht besser ist aber immer das def1 bei beiden mit anzuhängen.
Wenns das denn war
https://www.administrator.de/index.php?faq=32
nicht vergessen.
Bitte warten ..
Mitglied: RoterFruchtZwerg
22.12.2010 um 12:58 Uhr
Ja, im Prinzip isses das... Mir gefällt aber noch nicht so ganz, wie sich das z.B. auf Broadcast und Multicast Adressen auswirkt. Deren Routen sind dadurch überschrieben.
Aber mal sehn, ob das Probleme bereitet oder nicht.
Bitte warten ..
Mitglied: aqui
27.12.2010 um 13:16 Uhr
Hier widersprichst du dich nun aber selber oder dir sind IP Netzwerk Mechanismen schlicht unbekannt weil dir das Grundwissen fehlt...
Broadcasts werden per se wie du hoffentlich selber weisst nicht über geroutete Interfaces übertragen !
Das ist eine IP Grundlage und tieferer Sinn von gerouteten Netzen um die Broadcast Domains klein zu halten und damit das Netzwerk performant ! Wenn dann geht es nur wenn der Router sog. Relay Agents oder IP Helper supportet.
Multicast geht auch nicht so ohne weiteres über geroutete Interfaces ! Dafür muss ein Router mindestens IGMP kennen oder Multicast Routing Mechanismen wie PIM dense oder PIM sparse um mal die bekanntesten zu nennen.
So oder so hat das alles nichts mit deinem o.a. Problem zu tun und keinerlei Auswirkungen oder Beeinflussung darauf. Wo ist also genau dein Problem ??
Bitte warten ..
Mitglied: RoterFruchtZwerg
27.12.2010 um 13:25 Uhr
Sorry, ich war an dem Tag irgendwie schräg drauf. Ist alles in Ordnung so. Wunder mich selbst wie ich auf sowas komme
Bitte warten ..
Mitglied: RoterFruchtZwerg
24.01.2011 um 10:14 Uhr
Hi,
jetzt habe ich doch noch ein Problem mit dem Routing...
Wenn OpenVPN nicht den Standard-Gateway setzt, kann Windows Vista/7 das Netzwerk nicht klassifizieren. Kann man da irgendwie nachhelfen?
Bitte warten ..
Mitglied: aqui
25.01.2011 um 18:11 Uhr
Ja, mit einer statischen Route. Ist aber eigentlich Blödsinn, denn mit dem "push" Kommando setzt du das remote Subnetz inklusive Maske ja.
Der Sinn deiner Frage ist irgendwie nicht ganz klar....sorry ?!
Bitte warten ..
Mitglied: RoterFruchtZwerg
25.01.2011 um 18:20 Uhr
Das Problem war doch, dass
push "redirect-gateway"
unter Windows 7 / Vista nicht zuverlässig funktioniert, weil es den Default Gateway verändert.
Daher haben wir uns geeinigt,
push "redirect-gateway def1"
zu verwenden, was den Default Gateway nicht antastet und statt dessen zwei /1 Subnetze routet, was effektiv auch alle Ziele betrifft.

Daraus ergibt sich aber, dass der OpenVPN Adapter eben keinen Default Gateway mehr hat. Und da Windows 7 die Adapter anhand der MAC-Adresse des Gateways klassifiziert, kann es das VPN Netzwerk jetzt nicht mehr klassifizieren und stuft es daher als öffentlich ein.

Die Frage war jetzt, wie kann ich Windows 7 dabei helfen, das Netzwerk zu klassifizieren, damit ich es als privat nutzen kann?
Bitte warten ..
Ähnliche Inhalte
Router & Routing

OpenVPN Client Gateway Router Empfehlung?

Frage von Zero01Router & Routing5 Kommentare

Hallo, ich suche für das Unternehmen für das ich arbeite einen OpenVPN Router der als Client Gateway fungieren kann. ...

Linux Netzwerk

Debian verliert Route trotz default Gateway

gelöst Frage von ZigsenLinux Netzwerk10 Kommentare

Hallo zusammen, nachdem ich einige Tunnel auf IPSec umgestellt habe und die Verbindung Nachts, zwischen und 5 und 10 ...

LAN, WAN, Wireless

WLAN-Router-Für ein eigenständiges WLAN

gelöst Frage von JemanderLAN, WAN, Wireless3 Kommentare

Hallo Überlegte gerade gibt es einen WLAN-Router der zwischen 2 WLANs Routet? Die Situation: Kunde/Bekannter bekommt Internetzugang nur über ...

Windows 7

Openvpn und windows 7 prof

gelöst Frage von jensgebkenWindows 75 Kommentare

hallo gemeinschaft, möchte mich über mein w7 notebook und openvpn in einer domäne anmelden - wenn ich als administrator ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 2 TagenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 3 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 3 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement19 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android13 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing11 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...