8
Frage zu Openvpn und Netzwerkverkehr
Hallo Member ich hab mal wieder eine Frage zur konfiguration des Openvpn Server und Client.
Ich habe auf meinen Debian Server ein Vpn via Openvpn eingerichtet, dass funktioniert soweit auch ganz gut.
Was muss ich in der Server.conf bzw. in der Client.conf von Openvpn ändern, wenn ich den gesamten Netzwerkverkehr des Client über die Vpn-Verbindung leiten möchte?
Was muss ich in der Server.conf bzw. in der Client.conf von Openvpn ändern, wenn ich den gesamten Netzwerkverkehr des Client über die Vpn-Verbindung leiten möchte?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 181941
Url: https://administrator.de/contentid/181941
Printed on: April 19, 2024 at 21:04 o'clock
8 Comments
Latest comment
Hallo,
damit sollte es funktionieren in der server.conf:
wobei nur Win Clients den gepushten DNS standardmäßig annehmen.
Bei nicht Windows Clients brauchst du ein Script dazu.
Siehe: hier 1 unter dem Punkt Pushing DHCP Options to clients
Bei den Clients brauchst du nichts zu ändern.
damit sollte es funktionieren in der server.conf:
push "route-gateway XXX.XXX.XXX.XXX" # push default gateway
push "dhcp-option DNS XXX.XXX.XXX.XXX" # push DNS entries to openvpn client wobei nur Win Clients den gepushten DNS standardmäßig annehmen.
Bei nicht Windows Clients brauchst du ein Script dazu.
Siehe: hier 1 unter dem Punkt Pushing DHCP Options to clients
Bei den Clients brauchst du nichts zu ändern.
Ok muss ich mal versuchen aber es gibt doch in der Server.conf die TAP und TUN Adapter würde es nicht auch darüber gehen?
Bei Tun (aktuelle Einstellung) Ip Tunnel und bei TAP Ethernet Tunnel. Was muss ich da alles erstellen, einen extra TAP-adapter?
Was muss dann in der Client.conf geändert werden?
Ich möchte das die Clients nur physisch in einen Fremdnetz sind wenn VPN aktiv ist, der eigentliche Verkehr soll komplett verschlüsselt sein.
Als Beispiel MA ist auf Dienstreise und soll im Hotel über Hotspot ins Firmennetz und auf alle Server zugreifen können.
Das geht zwar auch so, aber ich möchte das er dann nicht in dem Hotel WLAN noch zusätzlich rumgeistert sondern nur das WLAN Physisch nutzt.
Bei Tun (aktuelle Einstellung) Ip Tunnel und bei TAP Ethernet Tunnel. Was muss ich da alles erstellen, einen extra TAP-adapter?
Was muss dann in der Client.conf geändert werden?
Ich möchte das die Clients nur physisch in einen Fremdnetz sind wenn VPN aktiv ist, der eigentliche Verkehr soll komplett verschlüsselt sein.
Als Beispiel MA ist auf Dienstreise und soll im Hotel über Hotspot ins Firmennetz und auf alle Server zugreifen können.
Das geht zwar auch so, aber ich möchte das er dann nicht in dem Hotel WLAN noch zusätzlich rumgeistert sondern nur das WLAN Physisch nutzt.
Sieh dir die Threads zu diesem Tutorial an:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dort ist das erwähnt unter der Installation ! (Gesamten Traffic ins VPN routen...)
Es ist nur ein Eintrag in die server.conf Datei die oben schon erwähnt wurde.
Hättest du auch die Doku zu OpenVPN mal genau gelesen wäre dir sicher DAS:
http://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
auch nicht entgangen was dieses server.conf Kommando beschreibt um das von dir gewünschte zu erreichen !
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Dort ist das erwähnt unter der Installation ! (Gesamten Traffic ins VPN routen...)
Es ist nur ein Eintrag in die server.conf Datei die oben schon erwähnt wurde.
Hättest du auch die Doku zu OpenVPN mal genau gelesen wäre dir sicher DAS:
http://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
auch nicht entgangen was dieses server.conf Kommando beschreibt um das von dir gewünschte zu erreichen !
Danke euch das funktioniert aber ich kann keinen externen dns nutzen. Z.B. der von Google ist für den client unerreichbar da mein interner ja nicht so unfangreich ist.
Also die clients kommen zwar in und hinter den Server aber wie bewerkstelle ich das Sie trotzdem im Inet weiter recherchieren können?
Du musst sicher sein das sie auch einen DNS Server der Internet Adressen auflösen kann und natürlich ein Internet Gateway über den VPN Tunnel erreichen können. Also salopp gesagt "hinter" dem VPN Tunnel muss sich logischerwesie ein Internet Zugang befinden !!
Alle Client Daten gehen nun durch den Tunnel und dann müssen sie am Ende des Tunnels ja auch irgendwo auch wieder raus ins Internet !
Sieh dir mit ipconfig -all in der Eingabeaufforderung an welchen DNS und default Gateway du eingestellt hast bei aktiver Tunnel Verbindung !
Zusätzlich musst du mit Traceroute (tracert) oder Pathping checken wie deine Wegeführung ist. Und zwar erstmal mit nackten IP Adressen um ggf. bestehende DNS Probleme zu umgehen.
Traceroute oder pathpinge also einfach mal Internet IP Adressen wie 8.8.8.8 (Google) oder 193.99.144.85 (heise.de) vom Client mit aktivem VPN und sehe dir an WIE die Pakete durch dein VPN zum Ziel gehen.
Dort wo sie hängenbleiben fehlen dir dann einfach ein Zugang zum Internet oder du hast dort, wie so oft hier, falsche oder fehlende Routen instaliert.
Das ist ein banales und einfaches Standardszeario was dir jeder Schüler in 10 Minuten zum laufen bringt....
Alle Client Daten gehen nun durch den Tunnel und dann müssen sie am Ende des Tunnels ja auch irgendwo auch wieder raus ins Internet !
Sieh dir mit ipconfig -all in der Eingabeaufforderung an welchen DNS und default Gateway du eingestellt hast bei aktiver Tunnel Verbindung !
Zusätzlich musst du mit Traceroute (tracert) oder Pathping checken wie deine Wegeführung ist. Und zwar erstmal mit nackten IP Adressen um ggf. bestehende DNS Probleme zu umgehen.
Traceroute oder pathpinge also einfach mal Internet IP Adressen wie 8.8.8.8 (Google) oder 193.99.144.85 (heise.de) vom Client mit aktivem VPN und sehe dir an WIE die Pakete durch dein VPN zum Ziel gehen.
Dort wo sie hängenbleiben fehlen dir dann einfach ein Zugang zum Internet oder du hast dort, wie so oft hier, falsche oder fehlende Routen instaliert.
Das ist ein banales und einfaches Standardszeario was dir jeder Schüler in 10 Minuten zum laufen bringt....
Lol ich kenne Fisi´s die das nich hinbekommen 
Und damit mein ich nicht mich.
Ok auf trace hät ich auch selber kommen können das Problem ist nicht der DNS sonder das die Verbindung ins Internet nicht gefunden wird.
Aber bevor ich noch SO!!! ein Beitrag bekomme schließe ich den Beitrag und geh nochmal in die Grundschule!!!
Bye
Und damit mein ich nicht mich.Ok auf trace hät ich auch selber kommen können das Problem ist nicht der DNS sonder das die Verbindung ins Internet nicht gefunden wird.
Aber bevor ich noch SO!!! ein Beitrag bekomme schließe ich den Beitrag und geh nochmal in die Grundschule!!!
Bye
So Problem war das meine Maschiene ein V-Server ist und mit Masquerade nichts anfangen kann weil es nicht im Kernel ist.
also kann
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
oder
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE
nicht funktionieren.
Lösung:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to <ServerIP>
Funktioniert auch Super also entgültig gelöst!
also kann
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
oder
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j MASQUERADE
nicht funktionieren.
Lösung:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j SNAT --to <ServerIP>
Funktioniert auch Super
also entgültig gelöst!
