[gelöst] openvpn: Kompletter Traffic über tun0

[bumer]

Hallo,

ich habe auf einem vserver openvpn installiert und kann mich problemlos vom Heimnetzrechner verbinden. Ich kann sowohl den Server, als auch den lokalen Rechner per VPN-IP (10.8.0.1 / 10.8.0.6) anpingen.

Ich möchte, dass mein kompletter Traffic über das VPN geleitet wird. Dazu habe ich in der /etc/openvpn/server.conf die entsprechenden Optionen (push "redirect-gateway def1 bypass-dhcp" und push "dhcp-option DNS 208.67.222.222") aktiviert.

Es funktioniert aber nicht, denn FireFox reagiert z.B. gar nicht.

Ich denke es ist ein Routing-Problem. Nachdem die Verbindung zum VPN hergestellt wurde:

Code: Alles auswählen

# ip route show
0.0.0.0/1 via 10.8.0.5 dev tun0 
default via 192.168.0.1 dev wlan0 
10.8.0.1 via 10.8.0.5 dev tun0 
10.8.0.5 dev tun0  proto kernel  scope link  src 10.8.0.6 
xx.xx.xxx.xx via 192.168.0.1 dev wlan0              # (IP des Servers)
128.0.0.0/1 via 10.8.0.5 dev tun0 
192.168.0.0/24 dev wlan0  proto kernel  scope link  src 192.168.0.14
#
#
#
# ifconfig -a
tun0      Link encap:UNSPEC  Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet Adresse:10.8.0.6  P-z-P:10.8.0.5  Maske:255.255.255.255
          PUNKTZUPUNKT NOARP MULTICAST  MTU:1500  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:100 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Wenn ich versuche 10.8.0.1 als default einzurichten passiert folgendes:

Code: Alles auswählen

# route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.8.0.1 metric 99 dev tun0
SIOCADDRT: Das Netzwerk ist nicht erreichbar
# route add default gw 10.8.0.1 dev tun0
SIOCADDRT: Das Netzwerk ist nicht erreichbar
# ip route add 10.8.0.1 via 192.168.0.1
RTNETLINK answers: File exists
# ip route add 10.8.0.1 via 192.168.0.1 dev tun0
RTNETLINK answers: Network is unreachable

Wie kann ich es so einrichten, dass der komplette Traffic über tun0 geleitet wird?

Viele Grüße,
bumer

[mistersixt]

Wer hat denn jetzt genau die 10.8.0.5? Ich dachte, der openvpn-Server hätte die 10.8.0.1?

Wie auch immer, vermutlich musst Du noch dem vServer sagen, dass er den Traffic, der durch den OpenVPN-Tunnel kommt, nat-ten soll, sonst routed er den Traffic von 10.8.0.6 Richtung Internet ... und da kommt man mit der privaten Adresse nicht sehr weit .

Auf jeden Fall solltest Du mal mit traceroute schauen, wie bei Du mit den Paketen kommst, damit kann man eigentlich prima die Klamotte analysieren.

Gruss, mistersixt.

[bumer]

Wer hat denn jetzt genau die 10.8.0.5? Ich dachte, der openvpn-Server hätte die 10.8.0.1?

Die 10.8.0.5 ist einfach immer in den Einstellungen drin, wenn ich das VPN starte - ich hab' keine Ahnung von wo die kommt.

Wie auch immer, vermutlich musst Du noch dem vServer sagen, dass er den Traffic, der durch den OpenVPN-Tunnel kommt, nat-ten soll, sonst routed er den Traffic von 10.8.0.6 Richtung Internet ... und da kommt man mit der privaten Adresse nicht sehr weit .

Meinst du so?
$iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Auf jeden Fall solltest Du mal mit traceroute schauen, wie bei Du mit den Paketen kommst, damit kann man eigentlich prima die Klamotte analysieren.

Das Ergebnis:

Code: Alles auswählen

traceroute www.transfermarkt.de
traceroute to www.transfermarkt.de (5.159.57.195), 30 hops max, 60 byte packets
 1  10.8.0.1 (10.8.0.1)  33.754 ms  42.517 ms  42.518 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
...
30  * * *

Ist meine Routing-Tabelle sonst i.O.?

[mistersixt]

Anhand der ca. 40ms beim traceroute zur IP 10.8.0.1 scheinst Du auf jeden Fall schon mal den Traffic durch den Tunnel zu routen und kommst auf dem vServer an, das ist ansich also schon mal korrekt. Der iptables-Eintrag sieht eigentlich auch korrekt aus (sofern eth0 das ausgehende Interface auf dem vServer ist), fehlt vielleicht noch ein "echo 1 > /proc/sys/net/ipv4/ip_forward".

Gruss, mistersixt.

[bumer]

Anhand der ca. 40ms beim traceroute zur IP 10.8.0.1 scheinst Du auf jeden Fall schon mal den Traffic durch den Tunnel zu routen und kommst auf dem vServer an, das ist ansich also schon mal korrekt. Der iptables-Eintrag sieht eigentlich auch korrekt aus (sofern eth0 das ausgehende Interface auf dem vServer ist), fehlt vielleicht noch ein "echo 1 > /proc/sys/net/ipv4/ip_forward".

Gruss, mistersixt.

/proc/sys/net/ipv4/ip_forward war schon auf 1.
In iptables habe ich nun Folgendes drin:

Code: Alles auswählen

$iptables -A INPUT -i eth0 -p udp --dport 1194 -m state --state NEW,ESTABLISHED -j ACCEPT
$iptables -A INPUT -i tun+ -j ACCEPT
$iptables -A FORWARD -i tun+ -j ACCEPT
$iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Es bringt alles nichts, funktioniert nicht - ich kann auf der lokalen Maschine keine iNet-Verbindung herstellen.

[mistersixt]

Vielleicht fehlt noch ein:

Code: Alles auswählen

iptables -A INPUT -m state --state ESTABLISHED,RELATED         -j ACCEPT

Gruss, mistersixt.

[bumer]

Vielleicht fehlt noch ein:

Code: Alles auswählen

iptables -A INPUT -m state --state ESTABLISHED,RELATED         -j ACCEPT

Gruss, mistersixt.

Leider ist es das auch nicht, das hatte ich schon in iptables drin.

meine server.conf:

Code: Alles auswählen

port 1194
proto udp
dev tun
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
keepalive 10 120
cipher AES-256-CBC
comp-lzo
max-clients 1
user openvpn
group openvpn
persist-key
persist-tun
status openvpn-status.log
verb 3

meine client.conf:

Code: Alles auswählen

client
dev tun
proto udp
remote SERVERIP 1194
resolv-retry infinite
nobind
user openvpn
group openvpn
persist-key
persist-tun
mute-replay-warnings
ca /etc/openvpn/ca.crt
cert /etc/openvpn/user.crt
key /etc/openvpn/user.key
ns-cert-type server
cipher AES-256-CBC
comp-lzo
verb 3

Die Schlüssel habe ich wie hier beschrieben erstellt.

[mistersixt]

Uff, dann bin ich langsam raus, aus der "Ferne" wird es nun schwierig. Poste bitte nochmal zusammenfassend die Ausgaben von ...

iptables -t nat -L -n
iptables -L -n
netstat -rn
cat /proc/sys/net/ipv4/ip_forward
ifconfig -a

... vielleicht sehe ich oder Jemand anderes den Fehler (Deine offizielle IP von eth0 kannst Du ja aus-x-sen).

Gruss, mistersixt.

[bumer]

Uff, dann bin ich langsam raus, aus der "Ferne" wird es nun schwierig. Poste bitte nochmal zusammenfassend die Ausgaben von ...

iptables -t nat -L -n
iptables -L -n
netstat -rn
cat /proc/sys/net/ipv4/ip_forward
ifconfig -a

... vielleicht sehe ich oder Jemand anderes den Fehler (Deine offizielle IP von eth0 kannst Du ja aus-x-sen).

Gruss, mistersixt.

Klar:

Code: Alles auswählen

root@server# iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

MASQUERADE  all  --  10.8.0.0/24          0.0.0.0/0

Code: Alles auswählen

root@server# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:443 state NEW,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8 limit: avg 1/sec burst 5 state NEW,ESTABLISHED
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:1194 state NEW,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp spts:67:68 dpts:67:68
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW,ESTABLISHED
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8 state NEW,ESTABLISHED

Code: Alles auswählen

root@server# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         SERVERIP     0.0.0.0         UG        0 0          0 eth0
10.8.0.0        10.8.0.2        255.255.255.0   UG        0 0          0 tun0
10.8.0.2        0.0.0.0         255.255.255.255 UH        0 0          0 tun0
SERVERIP      0.0.0.0         255.255.248.0   U         0 0          0 eth0

Code: Alles auswählen

root@server# cat /proc/sys/net/ipv4/ip_forward
1

Code: Alles auswählen

root@server# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 22:32:32:ef:db:55  
          inet addr:SERVERIP  Bcast:SERVERIP.223.255  Mask:255.255.248.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:x errors:0 dropped:0 overruns:0 frame:0
          TX packets:x errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:x 
          RX bytes:x   TX bytes:x 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:215 errors:0 dropped:0 overruns:0 frame:0
          TX packets:215 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:15990 (15.6 KiB)  TX bytes:15990 (15.6 KiB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.8.0.1  P-t-P:10.8.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

[mistersixt]

Ok, eine letzte Bitte: mach nochmal die beiden iptables-Auszüge zusätzlich mit -v hintendran, für verbose, also:

iptables -t nat -L -n -v
iptables -L -n -v

Du hast da als Policy bei den Chains Forward, Input und Output ein "DROP" stehen, das versuchst Du wiederum auszuhebeln mit...

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

... bzw. Du tust das evtl. auch schon, aber genau sieht man das erst mit der erweiterten Ausgabe, weil dann auch die Netzwerkkarten angezeigt werden.

Insgesamt musst Du höllisch aufpassen, dass Du nicht ein Scheunentor im Server hast, sieh also bitte zu, dass Du - spätestens sobald alles funktioniert - die Regeln so streng wie möglich gestaltest!

Gruss, mistersixt.

[bumer]

Ok, eine letzte Bitte: mach nochmal die beiden iptables-Auszüge zusätzlich mit -v hintendran, für verbose, also:

iptables -t nat -L -n -v
iptables -L -n -v

(Habe die Firewall leicht verändert und
$iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A OUTPUT -o tun+ -j ACCEPT
für Testzwecke eingefügt)

Danke für deine Mühen, hier also der Output:

Code: Alles auswählen

root@server# iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 96 packets, 5670 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 1 packets, 42 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      eth0    10.8.0.0/24          0.0.0.0/0

Code: Alles auswählen

root@server# iptables -L -n -v
Chain INPUT (policy DROP 21 packets, 1157 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  355 33530 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:37099 state NEW,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 state NEW,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8 limit: avg 1/sec burst 5 state NEW,ESTABLISHED
    1    42 ACCEPT     udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0            udp dpt:1194 state NEW,ESTABLISHED
    0     0 ACCEPT     all  --  tun+   *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy DROP 72 packets, 4320 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  tun+   eth0    0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  eth0   tun+    0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp spts:67:68 dpts:67:68
  272 58191 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 state NEW,ESTABLISHED
    0     0 ACCEPT     udp  --  *      eth0    0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8 state NEW,ESTABLISHED
    0     0 ACCEPT     all  --  *      tun+    0.0.0.0/0            0.0.0.0/0

Du hast da als Policy bei den Chains Forward, Input und Output ein "DROP" stehen, das versuchst Du wiederum auszuhebeln mit...

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

... bzw. Du tust das evtl. auch schon, aber genau sieht man das erst mit der erweiterten Ausgabe, weil dann auch die Netzwerkkarten angezeigt werden.

Insgesamt musst Du höllisch aufpassen, dass Du nicht ein Scheunentor im Server hast, sieh also bitte zu, dass Du - spätestens sobald alles funktioniert - die Regeln so streng wie möglich gestaltest!

Gruss, mistersixt.

Naja, nicht ganz, das "ACCEPT all" gilt ja nur für tun+.

[mistersixt]

Vermutlich liegt hier der Hase im Pfeffer!

Code: Alles auswählen

Chain FORWARD (policy DROP 72 packets, 4320 bytes)

Ich würde zu Testzwecken die Policy kurz auf ACCEPT setzen, und wenn dann alles funktioniert, könnten diese Regeln helfen, nachdem die Policy wieder auf DROP steht:

Code: Alles auswählen

iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Gruss, mistersixt.

[bumer]

Vermutlich liegt hier der Hase im Pfeffer!

Code: Alles auswählen

Chain FORWARD (policy DROP 72 packets, 4320 bytes)

Ich würde zu Testzwecken die Policy kurz auf ACCEPT setzen, und wenn dann alles funktioniert, könnten diese Regeln helfen, nachdem die Policy wieder auf DROP steht:

Code: Alles auswählen

iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

Gruss, mistersixt.

Genau das war's! Nun funkts reibungslos.
Vielen vielen Dank für deine Hilfe!