Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN Problematik Default Local Gateway wird verändert Nicht den kompletten Traffic über den VPNTunnel schicken

Frage Netzwerke

Mitglied: uncharted

uncharted (Level 1) - Jetzt verbinden

19.03.2014 um 01:39 Uhr, 1221 Aufrufe, 5 Kommentare

Hallo zusammen,

ich habe den folgenden Aufbau:

Lokal-Server (LS) <-> 1.VPN-Tunnel <-> RootServer1 (RS1) <-> 2.VPN-Tunnel RootServer2 (RS2)

An diesem Aufbau kann ich leider nichts ändern, dieser ist so vorgegeben.

Die VPN-Verbindung von Lokal-Server zu RootServer1 funktioniert einwandfrei.

Meine Frage bzw. mein Problem bezieht sich auf die VPN-Verbindung RootServer1 zu RootServer2.

Vorab: Ich habe keinen SSH-Zugriff (oder ähnliches) auf RootServer2 und bekomme von dort nur die OpenVPN Client-config, mehr nicht.

Das Problem ist folgendes:

1. SSH-Verbindung zu RootServer1 funktioniert einwandfrei, wenn der 1.VPN-Tunnel steht und der Server hat seine öffentliche IP (91.x.x.119), ping vom RS1 zum LS steht.
2. VPN-Verbindung (Verbindungsaufbau erfolgt über Port 1195 ausgehend und Port 1194 bei RS2) wird von RootServer1 zu RootServer2 aufgebaut
3. RootServer1 verliert seine SSH-Verbindung auf die default IP (91.x.x.119) und ist nun nur noch über die IP vom RootServer2 erreichbar (79.x.x.86), ping auf die 91.x.x.119 schlägt fehl.

Somit wird der default gateway vom RootServer1 auf den OpenVPN Server gesetzt (79.x.x.86).

Jedoch soll RootServer1 seine lokale IP (SSH soll unter 91.x.x.119 erreichbar bleiben), sowie auch den default Gateway behalten (Aufgrund der schlechten Anbindung von RS2) und nur einen gewissen Teil (nur 2 Ports) durch die VPN-Verbindung schicken.

Ich habe in der VPN Client-Config (von RS1 zu RS2) den Eintrag redirect-gateway entfernt, damit das default gateway bleibt, jedoch wird dies scheinbar ignoriert.

Gibt es eine Möglichkeit, das ich dennoch den default Gateway als prio verwenden kann, ohne den VPN-Gateway?

Ich nehme auch gerne Vorschläge zur Optimierung entgegen.

Danke im Voraus für eure Hilfe.

Gruß
uncharted



Client-Config von Openvpn (von RS1 zu RS2), leider kein Zugriff auf die Server-Config von OpenVPN:

01.
client 
02.
dev tun1 
03.
auth-user-pass /xx/xx/xxx.txt 
04.
proto udp 
05.
remote xxxx 1194 
06.
lport 1195 
07.
resolv-retry infinite 
08.
bind 
09.
persist-key 
10.
persist-tun 
11.
comp-lzo yes 
12.
ca /xx/xx/xxx.crt 
13.
verb 3
Die Routing-Tabelle ohne aktiven VPN-Tunnel (1.VPN-Tunnel ist ebenfalls aus)

01.
Kernel-IP-Routentabelle 
02.
 
03.
Ziel            Router          Genmask         Flags   MSS Fenster irtt Iface 
04.
 
05.
0.0.0.0         91.x.x.254   0.0.0.0         UG        0 0          0 eth0 
06.
 
07.
91.x.x.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0 
08.
 
Die Routing-Tabelle mit aktiven VPN-Tunnel (1.VPN-Tunnel ist ebenfalls aus)
01.
 
02.
Kernel-IP-Routentabelle 
03.
 
04.
Ziel            Router          Genmask         Flags   MSS Fenster irtt Iface 
05.
 
06.
0.0.0.0         10.x.x.69    128.0.0.0       UG        0 0          0 tun0 
07.
 
08.
0.0.0.0         91.x.x.254   0.0.0.0         UG        0 0          0 eth0 
09.
 
10.
10.x.x.1     10.x.x.69    255.255.255.255 UGH       0 0          0 tun0 
11.
 
12.
10.x.x.69    0.0.0.0         255.255.255.255 UH        0 0          0 tun0 
13.
 
14.
79.x.x.86   91.x.x.254   255.255.255.255 UGH       0 0          0 eth0 
15.
 
16.
91.x.x.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0 
17.
 
18.
128.0.0.0       10.x.x.69    128.0.0.0       UG        0 0          0 tun0 
19.
 
IP-Tables auf RootServer1

01.
# bestehende Verbindungen 
02.
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT 
03.
# Über Loopback alles erlauben 
04.
iptables -I INPUT -i lo -j ACCEPT 
05.
iptables -I OUTPUT -o lo -j ACCEPT 
06.
#VPN-Freigabe für 1.VPN-Tunnel 
07.
iptables -A FORWARD -i eth0 -o tun0 -m state --state ESTABLISHED,RELATED -j ACCEPT 
08.
iptables -A FORWARD -s 10.9.8.0/24 -o eth0 -j ACCEPT  
09.
iptables -A FORWARD -j REJECT 
10.
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 91.x.x.119 
11.
iptables -A INPUT -s 10.9.8.0/24 -j ACCEPT 
12.
#VPN-Freigabe für 2.VPN-Tunnel 
13.
iptables -A FORWARD -i eth0 -o tun1 -m state --state ESTABLISHED,RELATED -j ACCEPT 
14.
iptables -A FORWARD -s 10.x.x.69/32 -o eth0 -j ACCEPT 
15.
iptables -A FORWARD -j REJECT 
16.
iptables -A INPUT -s 10.x.x.69/32 -j ACCEPT 
17.
#VPN 
18.
iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT 
19.
iptables -A OUTPUT -o tun1 -p udp --dport 1195 -j ACCEPT
Mitglied: Dobby
19.03.2014 um 03:11 Uhr
Hallo,

Ich nehme auch gerne Vorschläge zur Optimierung entgegen.
Kann es sein dass Du einfach am RootServer1
nur das Routing aktivieren musst?

Gruß
Dobby
Bitte warten ..
Mitglied: uncharted
19.03.2014 um 12:12 Uhr
Meinst du forwarding?

net.ipv4.ip_forward=1

wurde schon in /etc/sysctl.conf eingetragen als Test, jedoch brachte dies keine Änderung.
Bitte warten ..
Mitglied: Dobby
19.03.2014 um 17:26 Uhr
Zitat von uncharted:

Meinst du forwarding?

Nein ich dachte da eher an Routing was auf dem Root Server1 aktiviert wird!
Hier in dieser Anleitung ist es gut beschrieben worden.


Gruß
Dobby
Bitte warten ..
Mitglied: uncharted
20.03.2014 um 02:56 Uhr
also vom Verständnis habe ich es verstanden, nur unter deinem Link befindet sich leider keine Erklärung der Befehle bzw ein Howto wie man es mit Linux macht. Lediglich Webinterfaces von Firewalls und Windows Server werden dort schritt für schritt erklärt.

Ich suche mir mal eine alternative Anleitung raus, jedoch muss ich wohl nur das forwarding aktivieren, das mein interface eth0 das default gateway bleibt.

Gruß
Bitte warten ..
Mitglied: aqui
21.03.2014 um 20:00 Uhr
Wie man es bei Linux macht kannst du hier nachlesen:
http://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
oder auch hier:
http://www.administrator.de/wissen/netzwerk-management-server-mit-raspb ...
oder wenn du Dr. Google mal nach "ip forwarding linux" befragst !
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(2)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
OpenVPN Client einen Gateway zuweisen (5)

Frage von pinnacle zum Thema Router & Routing ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Netzwerkgrundlagen
gelöst Heimnetzwerk über Server im Internet und OpenVPN erreichbar machen (16)

Frage von byt0xm zum Thema Netzwerkgrundlagen ...

UMTS, EDGE & GPRS
gelöst PC als Gateway mit zentralem Internetanschluss via Mobilfunk (6)

Frage von donnyS73lb zum Thema UMTS, EDGE & GPRS ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...