Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OPEN-VPN Server als Internetgateway konfigurieren!

Frage Linux Linux Netzwerk

Mitglied: Steinpilz

Steinpilz (Level 1) - Jetzt verbinden

12.08.2014, aktualisiert 13.08.2014, 2340 Aufrufe, 33 Kommentare

Guten Morgen,
Ich bin im Bereich von Mikrocontroller Software und Hardware Entwicklung tätig!
Leider bin ich im Bereich Server Linux u.s.w. nicht gerade ein Guru, habe deshalb auch gewisse Schwierigkeiten!
Dank Dieses Forum und deren Inhalte habe ich es geschafft mir auf Hostingparadies einen Linux Server zu mieten und darauf einen OpenVpn Server zu installieren.
Habe auch erfolgreich mehrere WRT mit Openvpn im Einsatz und kann so auf verschiedene Netze zugreifen.
Da es mir immer wieder passiert das ich in Hotels unter komme in denen das Internet sehr eingeschränkt nutzbar ist möchte ich den Internet Trafic von meinem Notebook durch das Vpn jagen!
Habe dafür meinen OPENVPN Server auf TCP umgestellt und verwende den Port 443, so konnte ich bereits mein Vpn ohne Schwierigkeiten aus den Hotels erreichen.
Mein Problem ist jetzt noch denn Server so zu konfigurieren das dieser als Internet Gatway funktioniert!
Habe dazu die Anleitung dieser Seite http://wiki.nefarius.at/linux/mit_openvpn_ins_internet versucht umzusetzen aber leider ohne Erfolg.
Sobald ich in der Client Config den redirect Befehl aktiviere kann ich auf keine Seite mehr zugreifen!
Wäre sehr froh wenn mir jemand helfen könnte !

Das Betriebssystem meines Servers ist Ubuntu!

Vielen Dank für Eure Hilfe

33 Antworten
Mitglied: Chonta
12.08.2014, aktualisiert um 08:36 Uhr
Hallo,

auf die Schnelle um zu sehen ob dein VPN -Server überhaupt das macht was DU willst folgendes.
Da ich nicht genau weiß welches OS Du benutzt.
-Im Hotell oder wo auch immer die IP vom Gateway rausbekommen. (DHCP)
-Eine Route zur IP deines OpenVPN Servers über das Gateway einrichten.
- verbinden
- dein Defaultgateway auf die IP vom OpenVPN Server stellen.

Damit der OpenVPN-Server für dich aber jetzt das Internet bereitstellt, muss er ggf noch so eingestellt werden, das er das VPN-Netz Natet.
Sonst versucht der zu routen und das kann nicht gehen, außer Du hast für das VPN öffentliche IPs verwendet, die Rootbar sind.

Wenn es mehrere Netze gibt die an diesem VPN-Server hängen und verbunden sind, konnen die sich untereinander unterhalten?

Gruß

Chonta
Bitte warten ..
Mitglied: Steinpilz
12.08.2014 um 08:45 Uhr
Zitat von Chonta:

Hallo,

auf die Schnelle um zu sehen ob dein VPN -Server überhaupt das macht was DU willst folgendes.
Da ich nicht genau weiß welches OS Du benutzt.
Guten Morgen,
ich verwende auf meinem Laptop WIN7!
-Im Hotell oder wo auch immer die IP vom Gateway rausbekommen. (DHCP)
-Eine Route zur IP deines OpenVPN Servers über das Gateway einrichten.
- verbinden
- dein Defaultgateway auf die IP vom OpenVPN Server stellen.

Sollte dies nicht Automatisch passieren wenn in der Server Config push "redirect-gateway" steht!
Damit der OpenVPN-Server für dich aber jetzt das Internet bereitstellt, muss er ggf noch so eingestellt werden, das er das
VPN-Netz Natet.

Ich vermute genau da liegt mein Problem!

Sonst versucht der zu routen und das kann nicht gehen, außer Du hast für das VPN öffentliche IPs verwendet, die
Rootbar sind.

Wenn es mehrere Netze gibt die an diesem VPN-Server hängen und verbunden sind, konnen die sich untereinander unterhalten?

Ja ich kann von jeden Beliebigen Standort auf Andere Standorte zugreifen!
Danke
LG

Gruß

Chonta
Bitte warten ..
Mitglied: colinardo
12.08.2014, aktualisiert um 09:01 Uhr
Moin,
hast du denn deiner OpenVPN-Server Firewall die benötigten Source-NAT-Regeln hinzugefügt und IPForwarding aktiviert ?:
http://wiki.openvpn.eu/index.php/Konfiguration_eines_Internetgateways#F ...
Dort der Abschnitt Forwarding und NAT

Grüße Uwe
Bitte warten ..
Mitglied: Steinpilz
12.08.2014, aktualisiert um 09:09 Uhr
Zitat von colinardo:

Moin,
hast du denn deiner OpenVPN-Server Firewall die benötigten Source-NAT-Regeln hinzugefügt und IPForwarding aktiviert ?:
http://wiki.openvpn.eu/index.php/Konfiguration_eines_Internetgateways#F ...
Dort der Abschnitt Forwarding und NAT

Grüße Uwe

welches Netzwerkinterface soll ich in iptables -t nat -A POSTROUTING -o ethX -s 10.8.0.0/24 -j SNAT --to 1.1.1.1 eintragen

ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.98.1.1 P-t-P:10.98.1.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.99.10.1 P-t-P:10.99.10.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun2 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.198.1.1 P-t-P:10.198.1.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

tun3 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.2 P-t-P:127.0.0.2 Bcast:0.0.0.0 Mask:255.255.255.255
inet6 addr: 2a00:6480:2:1:0:1:c7f2:7b32/128 Scope:Global
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:1994 errors:0 dropped:0 overruns:0 frame:0
TX packets:1985 errors:0 dropped:2 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:252552 (252.5 KB) TX bytes:182798 (182.7 KB)

venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:213.218.XXX.XXX P-t-P:213.218.XXX.XXX Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1


Danke
Lg
Bitte warten ..
Mitglied: colinardo
12.08.2014, aktualisiert um 09:30 Uhr
auf venet0 wenn das das Interface ist was direkt im Internet hängt. Aber die verwendeten IPs musst du im Befehl natürlich an deinen Gegebenheiten anpassen !
Für das eine Netz 10.8.0.0/24 Netz sieht die Regel bei dir dann so aus (externe feste IP natürlich anpassen)
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 213.218.XXX.XXX
Diese Regel musst du für jedes deiner OpenVPN-Netze wiederholen das genattet werden soll.

Und nicht vergessen die Regeln zu speichern, sonst sind sie nach einem Neustart des Servers weg!
je nach Linux.Version geht dies mit: service iptables save
Bitte warten ..
Mitglied: Steinpilz
12.08.2014 um 09:55 Uhr
Zitat von colinardo:

auf venet0 wenn das das Interface ist was direkt im Internet hängt. Aber die verwendeten IPs musst du im Befehl
natürlich an deinen Gegebenheiten anpassen !
Für das eine Netz 10.8.0.0/24 Netz sieht die Regel bei dir dann so aus (externe feste IP natürlich anpassen)
> iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 213.218.XXX.XXX 
> 
Diese Regel musst du für jedes deiner OpenVPN-Netze wiederholen das genattet werden soll.

Und nicht vergessen die Regeln zu speichern, sonst sind sie nach einem Neustart des Servers weg!
je nach Linux.Version geht dies mit: service iptables save


Habe jetzt alles so wie beschreiben gemacht aber leider funktioniert es nicht!
Wenn ich den Tunnel aufbaue und den Browser öffne und auf der seite wie ist meine Ip kontrolliere habe ich immer noch nicht die Ip vom Server!
Wie kann ich den Fehler den ich mache lokalisieren?
Vielen Dank für Deine Hilfe
Bitte warten ..
Mitglied: colinardo
12.08.2014, aktualisiert um 10:05 Uhr
Zitat von Steinpilz:
Wie kann ich den Fehler den ich mache lokalisieren?
mach mal ein route print auf deinem Client und ein tracert google.de.

wurde der OpenVPN-Client mit Admin-Rechten gestartet ?
Bitte warten ..
Mitglied: Steinpilz
12.08.2014 um 10:11 Uhr
Bitte schön

IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.99.99.10 10.99.99.205 25
0.0.0.0 0.0.0.0 10.99.1.2 10.8.0.6 286
0.0.0.0 0.0.0.0 10.8.0.1 10.8.0.6 286
10.8.0.4 255.255.255.252 Auf Verbindung 10.8.0.6 286
10.8.0.6 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.8.0.7 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.99.99.0 255.255.255.0 Auf Verbindung 10.99.99.205 281
10.99.99.205 255.255.255.255 Auf Verbindung 10.99.99.205 281
10.99.99.255 255.255.255.255 Auf Verbindung 10.99.99.205 281
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.56.0 255.255.255.0 Auf Verbindung 192.168.56.1 276
192.168.56.1 255.255.255.255 Auf Verbindung 192.168.56.1 276
192.168.56.255 255.255.255.255 Auf Verbindung 192.168.56.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.56.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 10.99.99.205 281
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.6 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.56.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 10.99.99.205 281
255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.6 286
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 10.99.1.2 Standard
0.0.0.0 0.0.0.0 10.8.0.1 Standard

Routenverfolgung zu google.de [74.125.136.94] über maximal 30 Abschnitte:

1 1 ms 1 ms 1 ms 10.99.99.10
2 1 ms 1 ms 1 ms 192.168.10.1
3 * * * Zeitüberschreitung der Anforderung.
4 67 ms 67 ms 67 ms host21-158-static.36-88-b.business.telecomitalia
.it [88.36.158.21]
5 70 ms 71 ms 67 ms 217.141.106.141
6 82 ms 79 ms 83 ms 172.17.9.109
7 77 ms 79 ms 79 ms 172.17.6.81
8 78 ms 79 ms 79 ms pos1-13-0-0.milano50.mil.seabone.net [93.186.128
.97]
9 74 ms 75 ms 91 ms 74.125.51.12
10 74 ms 75 ms 75 ms 209.85.241.94
11 86 ms 99 ms 88 ms 72.14.232.76
12 95 ms 103 ms 95 ms 209.85.241.228
13 98 ms 99 ms 99 ms 216.239.48.143
14 98 ms 99 ms 99 ms 216.239.49.30
15 * * * Zeitüberschreitung der Anforderung.
16 106 ms 99 ms 99 ms ea-in-f94.1e100.net [74.125.136.94]

Ablaufverfolgung beendet.

So noch eine Info am Rande habe server 10.8.0.0 255.255.255.0 als IP vergeben!

Vielen Dank
Bitte warten ..
Mitglied: colinardo
12.08.2014, aktualisiert um 10:19 Uhr
So noch eine Info am Rande habe server 10.8.0.0 255.255.255.0 als IP vergeben!
hä?? das ist ein Netz und keine IP

Bist du gleichzeitig noch mit einem anderen (OpenVPN) Netz verbunden ? (10.99.99.10) Diese Route hat bei dir nämlich Vorrang vor der OpenVPN Route ( 10.8.0.0) !! und deswegen geht der Traffic nicht über das 10.8.0.0 Netz.

Wie oben bereits gesagt musst du dann für alle verwendeten Netze (bzw. 10.99.xx) das Natting auf dem Server aktivieren.
Bitte warten ..
Mitglied: Steinpilz
12.08.2014 um 10:20 Uhr
Bist du gleichzeitig noch mit einem anderen (OpenVPN) Netz verbunden ? (10.99.99.10) Diese Route hat bei dir nämlich Vorrang
vor der OpenVPN Route ( 10.8.0.0) !! und deswegen geht der Traffic nicht über das 10.8.0.0 Netz.

Nein mein Router mit dem ich per Wlan verbunden bin hat die Adresse 10.99.99.10

Danke LG
Bitte warten ..
Mitglied: colinardo
12.08.2014, aktualisiert um 10:42 Uhr
Zitat von Steinpilz:
Nein mein Router mit dem ich per Wlan verbunden bin hat die Adresse 10.99.99.10
und ein weiteres OpenVPN Netz hat die 10.99.1.2 um welche Masken reden wir hier ?
Dein Router-Gateway hat auf jeden Fall eine niedrigere Metrik, hat also Vorrang vor dem OpenVPN Gateway, deswegen geht der Traffic über deinen eigenen Router. Warum das bei dir jetzt so ist ?
Eventuell Metrik mit übergeben : http://unix.stackexchange.com/questions/91071/openvpn-push-a-route-to-c ...
Oder die Metrik des WLAN-Adapters in den TCP-Eigenschaften manuell höher als 268 setzen.

Wurde der OpenVPN-Client als Admin gestartet?
Bitte warten ..
Mitglied: Steinpilz
12.08.2014 um 10:42 Uhr
Vielen Dank für deine Aufopfernde Hilfe!

und ein weiteres OpenVPN Netz hat die 10.99.1.2 um welche Masken reden wir hier ?
Entschuldige das war ein -überbleibsel von einer alten Config habe diese entfernt und habe noch mal ein route print angehängt!

IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.99.99.10 10.99.99.205 25
10.8.0.4 255.255.255.252 Auf Verbindung 10.8.0.6 286
10.8.0.6 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.8.0.7 255.255.255.255 Auf Verbindung 10.8.0.6 286
10.99.99.0 255.255.255.0 Auf Verbindung 10.99.99.205 281
10.99.99.205 255.255.255.255 Auf Verbindung 10.99.99.205 281
10.99.99.255 255.255.255.255 Auf Verbindung 10.99.99.205 281
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.56.0 255.255.255.0 Auf Verbindung 192.168.56.1 276
192.168.56.1 255.255.255.255 Auf Verbindung 192.168.56.1 276
192.168.56.255 255.255.255.255 Auf Verbindung 192.168.56.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.56.1 276
224.0.0.0 240.0.0.0 Auf Verbindung 10.99.99.205 281
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.6 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.56.1 276
255.255.255.255 255.255.255.255 Auf Verbindung 10.99.99.205 281
255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.6 286

Dein Router-Gateway hat auf jeden Fall eine niedrigere Metrik, hat also Vorrang vor dem OpenVPN Gateway, deswegen geht der Traffic
über deinen eigenen Router. Warum das bei dir jetzt so ist ?

Wie kann ich das raus finden?

Eventuell Metrik mit übergeben :
http://unix.stackexchange.com/questions/91071/openvpn-push-a-route-to-c ...

Wurde der Client als Admin gestartet?

Ja der Client wurde als Admin gestartet!

Danke für Deine Hilfe
Bitte warten ..
Mitglied: colinardo
12.08.2014, aktualisiert um 10:54 Uhr
Zitat von Steinpilz:
Wie kann ich das raus finden?
das galt für den vorherigen alten Schnippsel, im aktuellen ist nur dein eigener Router das einzige Gateway, wie du hier siehst.

IPv4-Routentabelle
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.99.99.10 10.99.99.205 25


D.h. in einer deiner Open-VPN-Configs ist noch ein Fehler, da hier das Gateway nicht gepusht wird.
Poste also mal deine Server- und Client-OpenVPN-Config-Files.
Bitte warten ..
Mitglied: Steinpilz
12.08.2014 um 11:01 Uhr
Poste also mal deine Server- und Client-OpenVPN-Config-Files.

Hier die Server Conf

port 443
proto tcp-server
dev tun3
ca keys/gateway/ca.crt
cert keys/gateway/gateway_server.crt
key keys/gateway/gateway_server.key
dh keys/gateway/dh2048.pem
server 10.8.0.0 255.255.255.0
crl-verify keys/gateway/crl.pem
cipher BF-CBC
user nobody
group nogroup
status servers/Gateway_my/logs/openvpn-status.log
log-append servers/Gateway_my/logs/openvpn.log
verb 2
mute 20
max-clients 100
management 127.0.0.1 2200
keepalive 10 120
client-config-dir /etc/openvpn/servers/Gateway_my/ccd
comp-lzo
persist-key
persist-tun
ccd-exclusive
push "redirect-gateway def1" # leitet den Internettraffic am Client zum Server um
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)

Hier die ClientConfig

client
proto tcp-client
dev tun
ca ca.crt
dh dh2048.pem
cert peter_gateway.crt
key peter_gateway.key
remote xxxxxxxxx 443
cipher BF-CBC
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind

Vielen Dank
Bitte warten ..
Mitglied: colinardo
12.08.2014, aktualisiert um 11:09 Uhr
trag mal in die Server-Config anstatt
push "redirect-gateway def1"
an dieser Stelle folgendes ein:
01.
push "redirect-gateway" 
02.
push "route 0.0.0.0 0.0.0.0" 
03.
push "route 10.8.0.0 255.255.255.0"
Bitte warten ..
Mitglied: Steinpilz
12.08.2014 um 11:15 Uhr
Geil es funktioniert!

Kannst Du mir bitte noch erklären warum?
Und noch zum besseren verständnis wenn ich jetzt will das nur mein Notebook den weg ins internet über den Tunnel nimmt wie stelle ich das an?

Vielen Vielen Dank
hast mir echt sehr geholfen!
Bitte warten ..
Mitglied: aqui
12.08.2014, aktualisiert um 11:24 Uhr
Nochwas nebenbei:
Habe dafür meinen OPENVPN Server auf TCP umgestellt
Das sollte man generell nicht machen und OpenVPN rät auch dringenst davon ab, da es zu massiven Performance Problemen kommen kann. Es ist erheblich sinnvoller immer eine UDP Encapsulation zu verwenden und niemals TCP wenn man es nicht muss. Besser also du stellst auf UDP 443 um, denn das wird so gut wie immer auch durchgeleitet da die meisten Hotels generell den Port 443 öffnen und aus Unwissen dann immer für beide Protokolle.
Zum Rest ist ja schon alles gesagt. Am Client ist nichts einzustellen. Lediglich in der Server konfig muss rein:
push "redirect-gateway def1"
Siehe dazu auch hier:
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Das ist alles.... Zum Rest hat Kollege colinardo ja schon alles gesagt !
Grundlagen auch hier:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...

Wenns das denn war bitte
http://www.administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: colinardo
12.08.2014, aktualisiert um 11:35 Uhr
Zitat von Steinpilz:
Kannst Du mir bitte noch erklären warum?
steht so in den gängigen Anleitungen...s. @aqui
Die MANPAGE steht da auch immer zu Diensten: http://openvpn.net/index.php/open-source/documentation/manuals/65-openv ...

Und noch zum besseren verständnis wenn ich jetzt will das nur mein Notebook den weg ins internet über den Tunnel nimmt
wie stelle ich das an?
Entweder mit Override an den Clients:
https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

oder du lässt das pushing des Gateway aus der Server-Config weg und trägst in die Client-Config ein:
route 0.0.0.0 0.0.0.0 vpn_gateway 10
Bitte warten ..
Mitglied: Steinpilz
12.08.2014 um 12:00 Uhr

oder du lässt das pushing des Gateway aus der Server-Config weg und trägst in die Client-Config ein:
> route 0.0.0.0 0.0.0.0 vpn_gateway 10 
> 

Das heißt ich lasse aus der Server conf

push "redirect-gateway def1" # leitet den Internettraffic am Client zum Server um 
push "route 0.0.0.0 0.0.0.0" 
push "route 10.8.0.0 255.255.255.0" 
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1 
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)
und ich trage
ins ccd file des client

 route 0.0.0.0 0.0.0.0 vpn_gateway 10
ein!
Stimmt das so?

Vielen Herzlichen Dank!
Bitte warten ..
Mitglied: colinardo
12.08.2014, aktualisiert um 12:16 Uhr
Zitat von Steinpilz:
Stimmt das so?
nicht ganz:

in der Server Config kommt das hier weg:
01.
push "redirect-gateway def1" # leitet den Internettraffic am Client zum Server um  
02.
push "route 0.0.0.0 0.0.0.0"  
03.
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1  
04.
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden)
das push "route 10.8.0.0 255.255.255.0" verbleibt darin, so dass den Clients ja zumindest das VPN Netz kenntlich gemacht wird. Der Rest ist OK.

Viel Erfolg
Grüße Uwe

Wenns das dann war, den Beitrag bitte noch auf gelöst setzen. Merci.
Bitte warten ..
Mitglied: Steinpilz
12.08.2014 um 13:09 Uhr
Das CCD Fiele sieht jetzt so aus
01.
ifconfig-push 10.99.1.1 10.99.1.2 #toshiba 
02.
#ad hier neue Befehle  
03.
route 0.0.0.0 0.0.0.0 vpn_gateway 10 
04.
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1  
05.
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden) 
06.
 
Für das Nat habe ich diesen Befehl abgesetzt!
01.
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o venet0 -j SNAT --to-source 213.218.XXX.XXX 
02.
 
Und die Server Config sieht so aus

01.
port 443 
02.
proto tcp-server 
03.
dev tun0 
04.
ca keys/test/ca.crt 
05.
cert keys/test/servertest.crt 
06.
key keys/test/servertest.key 
07.
dh keys/test/dh2048.pem 
08.
server 10.98.1.0 255.255.255.0 
09.
crl-verify keys/test/crl.pem 
10.
cipher BF-CBC 
11.
user nobody 
12.
group nogroup 
13.
status servers/serverMy/logs/openvpn-status.log 
14.
log-append servers/serverMy/logs/openvpn.log 
15.
verb 6 
16.
mute 20 
17.
max-clients 100 
18.
management 127.0.0.1 2000 
19.
keepalive 10 120 
20.
client-config-dir /etc/openvpn/servers/serverMy/ccd 
21.
client-to-client 
22.
comp-lzo 
23.
persist-key 
24.
persist-tun 
25.
ccd-exclusive 
26.
#up servers/serverMy/bin/serverMy.up 
27.
script-security 3 
28.
 
29.
push "route 10.98.1.0 255.255.255.0" 
30.
 
Die Client Conf so
01.
client 
02.
proto tcp-client 
03.
dev tun 
04.
ca ca.crt 
05.
dh dh2048.pem 
06.
cert pier.crt 
07.
key pier.key 
08.
remote 213.218.178.233 443 
09.
verb 2 
10.
mute 20 
11.
keepalive 10 120 
12.
comp-lzo 
13.
persist-key 
14.
persist-tun 
15.
float 
16.
resolv-retry infinite 
17.
nobind 
18.
script-security 2
Leider Funktioniert es aber so wieder nicht!

Vielen Dank für deine Hilfe
Bitte warten ..
Mitglied: colinardo
12.08.2014, aktualisiert um 14:07 Uhr
Ich hatte oben geschrieben das du für jedes VPN Netz eine NAT-Rule erstellen musst:
Da das hier jetzt schon wieder ein anderes Netz ist 10.98.1.0 musst du natürlich auch die passende NAT-Rule erstellen:
iptables -t nat -A POSTROUTING -s 10.98.1.0/24 -o venet0 -j SNAT --to-source 213.218.XXX.XXX 
und das xxx.xxx natürlich an die externe IP des Servers anpassen.
Bitte warten ..
Mitglied: Steinpilz
12.08.2014 um 14:29 Uhr
Sorry Habe denn obigen Befehl durcheinander gebracht Entschuldige Bitte!
Leider fehlt in der route Tabelle die route durch den Tunnel

01.
=========================================================================== 
02.
 
03.
IPv4-Routentabelle 
04.
=========================================================================== 
05.
Aktive Routen: 
06.
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik 
07.
          0.0.0.0          0.0.0.0      10.99.99.10     10.99.99.205     25 
08.
        10.99.1.0  255.255.255.252   Auf Verbindung         10.99.1.1    286 
09.
        10.99.1.1  255.255.255.255   Auf Verbindung         10.99.1.1    286 
10.
        10.99.1.3  255.255.255.255   Auf Verbindung         10.99.1.1    286 
11.
       10.99.99.0    255.255.255.0   Auf Verbindung      10.99.99.205    281 
12.
     10.99.99.205  255.255.255.255   Auf Verbindung      10.99.99.205    281 
13.
     10.99.99.255  255.255.255.255   Auf Verbindung      10.99.99.205    281 
14.
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306 
15.
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306 
16.
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306 
17.
     192.168.56.0    255.255.255.0   Auf Verbindung      192.168.56.1    276 
18.
     192.168.56.1  255.255.255.255   Auf Verbindung      192.168.56.1    276 
19.
   192.168.56.255  255.255.255.255   Auf Verbindung      192.168.56.1    276 
20.
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306 
21.
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.56.1    276 
22.
        224.0.0.0        240.0.0.0   Auf Verbindung         10.99.1.1    286 
23.
        224.0.0.0        240.0.0.0   Auf Verbindung      10.99.99.205    281 
24.
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306 
25.
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.56.1    276 
26.
  255.255.255.255  255.255.255.255   Auf Verbindung         10.99.1.1    286 
27.
  255.255.255.255  255.255.255.255   Auf Verbindung      10.99.99.205    281 
28.
=========================================================================== 
29.
Ständige Routen: 
30.
  Keine 
31.
 
32.
IPv6-Routentabelle
Bitte warten ..
Mitglied: aqui
12.08.2014, aktualisiert um 16:49 Uhr
In der Server config fehlt wieder:
push "redirect-gateway def1"
Wie soll denn jetzt jeglicher Traffic des Clients in den Tunnel geroutet werden ???
push "route 10.98.1.0 255.255.255.0" routet ja einzig und allein nur noch Traffic für das 10.98.1.0er Netz in den VPN Tunnel ??! Alles andere geht lokal ins Internet.
Bitte warten ..
Mitglied: Steinpilz
12.08.2014 um 17:29 Uhr
Ich möchte doch nur das gewisse clients den gesammten Trafic durch den Tunnel routen!
Geht das trozdem?
Danke
Bitte warten ..
Mitglied: Chonta
12.08.2014 um 17:38 Uhr
Hallo,

wenn das NAT eingestellt ist, kannst Du wenn Adminrechte auf dem Client vorhanden sind, die Ruten wie ich oben beschrieben habe umbiegen.
Einstellungen auf dem Server gelten immer für alle.
Das man nur in der Clientconfig das umbiegen kann ist mir nicht bekannt.

Gruß

Chonta
Bitte warten ..
Mitglied: Steinpilz
13.08.2014 um 12:20 Uhr
Hallo nochmal!
Entschuldigt bitte meine Doofheit aber ich bekomme es einfach nicht zum laufen!
Das Problem ist ich möchte das nur ausgewählte Clients ihren Internet Traffic durch den Tunnel tätigen!
Aber aus irgendeinen Grund Tätigen Alle den Traffic durch den Tunnel!
Nochmal die Server Config
01.
port 443 
02.
proto tcp-server 
03.
dev tun0 
04.
ca keys/test/ca.crt 
05.
cert keys/test/servertest.crt 
06.
key keys/test/servertest.key 
07.
dh keys/test/dh2048.pem 
08.
server 10.98.1.0 255.255.255.0 
09.
crl-verify keys/test/crl.pem 
10.
cipher BF-CBC 
11.
user nobody 
12.
group nogroup 
13.
status servers/serverMy/logs/openvpn-status.log 
14.
log-append servers/serverMy/logs/openvpn.log 
15.
verb 6 
16.
mute 20 
17.
max-clients 100 
18.
management 127.0.0.1 2000 
19.
keepalive 10 120 
20.
client-config-dir /etc/openvpn/servers/serverMy/ccd 
21.
client-to-client 
22.
comp-lzo 
23.
persist-key 
24.
persist-tun 
25.
ccd-exclusive 
26.
script-security 3 
27.
 
28.
route 10.99.10.0 255.255.255.0 #wrt_B 
29.
push "route 192.168.20.0 255.255.255.0" 
30.
route 10.99.11.0 255.255.255.0 #WRT A 
31.
push "route 10.99.99.0 255.255.255.0" 
32.
route 10.99.1.0 255.255.255.0 #Susi 
33.
route 10.99.2.0 255.255.255.0 #Xpiria 
34.
route 10.99.3.0 255.255.255.0 #Acer 
35.
 
36.
 
37.
push "redirect-gateway def1"  
38.
 
39.
push "route 10.98.1.0 255.255.255.0"
Client Config
01.
client 
02.
proto tcp-client 
03.
dev tun 
04.
ca ca.crt 
05.
dh dh2048.pem 
06.
cert pier.crt 
07.
key pier.key 
08.
remote 213.218.178.XXX.XXX 
09.
verb 2 
10.
mute 20 
11.
keepalive 10 120 
12.
comp-lzo 
13.
persist-key 
14.
persist-tun 
15.
float 
16.
resolv-retry infinite 
17.
nobind 
18.
script-security 2
das CCD File
01.
ifconfig-push 10.99.1.1 10.99.1.2 #Susi 
02.
push "route 10.99.10.0 255.255.255.0" #wrt_A 
03.
push "route 192.168.20.0 255.255.255.0" 
04.
push "route 10.99.11.0 255.255.255.0" #wrt_B 
05.
push "route 10.99.99.0 255.255.255.0" 
06.
push "route 10.199.9.0 255.255.255.0" #wrt_C 
07.
push "route 192.168.21.0 255.255.255.0" 
08.
push "route 10.99.3.0 255.255.255.0" 
09.
 
10.
route 0.0.0.0 0.0.0.0 vpn_gateway 10 
11.
 
12.
 
Bitte seit so nett und seht Euch das nochmal an!
Vielen Herzlichen Dank!
Bitte warten ..
Mitglied: Chonta
13.08.2014 um 12:38 Uhr
Hallo,

Du machst das Redirect auf dem Server und dann gilt das neue Defaultgateway auch für alle.
Wenn Du den VPN-Server schon soweit hast, das er mit der Option erfolgreich das Internet zur Verfügung stellt, dann nim die Option raus und passe auf deinen Clients die Routen an.
Die Route zum VPN-server immer über das Hotel Netzwerk und alles andere über den Tunnel.

Gruß

Chonta
Bitte warten ..
Mitglied: Steinpilz
13.08.2014 um 13:13 Uhr
So jetzt habe ich einen Versuch gestartet und es funktioniert!
Habe nun
Folgendes ins CCD File eingetragen
01.
ifconfig-push 10.99.1.1 10.99.1.2 #susi toshiba 
02.
push "route 10.99.10.0 255.255.255.0" #wrt_A 
03.
push "route 192.168.20.0 255.255.255.0" 
04.
push "route 10.99.11.0 255.255.255.0" #wrt_B 
05.
push "route 10.99.99.0 255.255.255.0" 
06.
push "route 10.199.9.0 255.255.255.0" #wrt_C 
07.
push "route 192.168.21.0 255.255.255.0" 
08.
push "route 10.99.3.0 255.255.255.0" 
09.
 
10.
push "redirect-gateway def1"   
11.
push "dhcp-option DNS 8.8.8.8" # DNS-Server 1   
12.
push "dhcp-option DNS 8.8.4.4" # DNS-Server 2 (falls vorhanden) 
Die Server Config sieht so aus
01.
port 443 
02.
proto tcp-server 
03.
dev tun0 
04.
ca keys/test/ca.crt 
05.
cert keys/test/servertest.crt 
06.
key keys/test/servertest.key 
07.
dh keys/test/dh2048.pem 
08.
server 10.98.1.0 255.255.255.0 
09.
crl-verify keys/test/crl.pem 
10.
cipher BF-CBC 
11.
user nobody 
12.
group nogroup 
13.
status servers/serverMy/logs/openvpn-status.log 
14.
log-append servers/serverMy/logs/openvpn.log 
15.
verb 6 
16.
mute 20 
17.
max-clients 100 
18.
management 127.0.0.1 2000 
19.
keepalive 10 120 
20.
client-config-dir /etc/openvpn/servers/serverMy/ccd 
21.
client-to-client 
22.
comp-lzo 
23.
persist-key 
24.
persist-tun 
25.
ccd-exclusive 
26.
 
27.
 
28.
route 10.99.10.0 255.255.255.0 #wrt_A 
29.
push "route 192.168.20.0 255.255.255.0" 
30.
route 10.99.11.0 255.255.255.0 #WRT B 
31.
push "route 10.99.99.0 255.255.255.0" 
32.
route 10.99.1.0 255.255.255.0 #Susi 
33.
route 10.99.2.0 255.255.255.0 #Xpiria 
34.
route 10.99.3.0 255.255.255.0 #Acer
Funktioniert es nur Zufällig oder mach ich es jetzt richtig?
Vielen Dank für Eure Aufopfernde Hilfe
Bitte warten ..
Mitglied: colinardo
13.08.2014, aktualisiert um 13:17 Uhr
Meine Option route 0.0.0.0 0.0.0.0 vpn_gateway 10 funktioniert nur wenn man sie direkt in die Config auf dem Client einträgt und nicht ins CCD ...ins CCD kommen ja nur Serverseitige Optionen die zum Client gepusht werden, und das obige route gehört nur auf Client-Seite.
Bitte warten ..
Mitglied: Steinpilz
13.08.2014 um 13:19 Uhr
Zitat von colinardo:

Meine Option route 0.0.0.0 0.0.0.0 vpn_gateway 10 funktioniert nur wenn man sie direkt in die Config auf dem Client
einträgt und nicht ins CCD ...ins CCD kommen ja nur Serverseitige Optionen die zum Client gepusht werden, und das obige
route gehört nur auf Client-Seite.

Ja wäre aber besser wenn ich die Clients vom Server aus Steuern könnte!
was hältst du vom obigen CCD file

Danke
LG
Bitte warten ..
Mitglied: colinardo
LÖSUNG 13.08.2014, aktualisiert um 13:24 Uhr
wenns das tut was es soll ist es doch OK.
Bitte warten ..
Mitglied: Steinpilz
13.08.2014 um 13:24 Uhr
Ja hoffe eigentlich funktioniert es so wie es soll!
Danke
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
OpenWRT als Open VPN Server im Heimnetz verwenden? (36)

Frage von Mr.Heisenberg zum Thema Router & Routing ...

Netzwerke
Open VPN Server am LINKSYS LRT214 korrekt einrichten (1)

Frage von Thomas866 zum Thema Netzwerke ...

Ubuntu
Open VPN auf Raspberry PI 2 (4)

Frage von Hector-User zum Thema Ubuntu ...

Linux Netzwerk
VPN Server mit Drosselung Linux Debian basiert (4)

Frage von Niklas434 zum Thema Linux Netzwerk ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...