[solved] OpenVPN , NetworkManager: 2 default Routen Sicherheit?

[ingo2]

Ich checke gerade mal von Unterwegs das Surfen via VPN über meinen Server zuhause.
Bin hier vom Laptop per WLAN mit einem fremden Router (Speedport) verbunden. Damit habe ich folgende Routing-Tabelle:

Code: Alles auswählen

Kernel-IP-Routentabelle:
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         Speedport.ip    0.0.0.0         UG    600    0        0 wlan0
192.168.2.0     0.0.0.0         255.255.255.0   U     600    0        0 wlan0

Ok. Wenn ich jetzt darüber den VPN-Tunnel zu meinem Server aufbaue, erhalte ich diese Routingtabelle:

Code: Alles auswählen

Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
default         10.8.0.5        0.0.0.0         UG    50     0        0 tun0
default         Speedport.ip    0.0.0.0         UG    600    0        0 wlan0
10.8.0.1        10.8.0.5        255.255.255.255 UGH   50     0        0 tun0
10.8.0.5        0.0.0.0         255.255.255.255 UH    50     0        0 tun0
p4FEF1201.dip0. Speedport.ip    255.255.255.255 UGH   600    0        0 wlan0
192.168.2.0     0.0.0.0         255.255.255.0   U     600    0        0 wlan0
Speedport.ip    0.0.0.0         255.255.255.255 UH    600    0        0 wlan0

Was mich dabei stört, sind die 2 "default" Routen, eine über "10.8.0.5" - das ist mein VPN, die zweite über "Speedport.ip" - das ist der Router mit dem mein Laptop verbunden ist (IP = 192.168.2.1).

Im Prinzip klappt das ja alles und http://whatismyv6.com/ zeigt mit auch dir globale IPv4 von zuhause, aber:
DNS-Anfagen laufen nicht durch den Tunnel, sondern werden vom Speedport beantwortet.:

Code: Alles auswählen

# dig heise.de
.....
;; ANSWER SECTION:
heise.de.		55917	IN	A	193.99.144.80

;; Query time: 2 msec
;; SERVER: 192.168.2.1#53(192.168.2.1)
;; WHEN: Sun Sep 09 21:41:53 CEST 2018

Die resolv.conf ist/bleibt unverändert:

Code: Alles auswählen

$ cat /etc/resolv.conf 
# Generated by NetworkManager
nameserver fe80::1%wlan0
nameserver 192.168.2.1

IPv6 habe ich aus Sicherheitsgründen systemweit disabled.

Mir macht eigentlich die 2. Route Sorge, da könnte doch auch dann Traffic am Tunnel vorbeilaufen - Sicherheitsrisiko?
Auch sollte die DNS-Auflösung durch den Tunnel laufen und meinen DNS-Server daheim nutzen.
Kann man da was dran ändern, wenn ja, wie?
Wer ist Schuld daran, der NetworkManager, der fremde Speedport-Router, ..?

Beste Grüße,
Ingo

[user18]

Was mich dabei stört, sind die 2 "default" Routen, eine über "10.8.0.5" - das ist mein VPN, die zweite über "Speedport.ip" - das ist der Router mit dem mein Laptop verbunden ist (IP = 192.168.2.1).

Warum soll das ein Problem sein? Die Metric der beiden Routen ist ja nicht gleich sondern unterschiedlich.

Auch sollte die DNS-Auflösung durch den Tunnel laufen und meinen DNS-Server daheim nutzen.

Vielleicht ist das ein Ansatz: https://forums.openvpn.net/viewtopic.php?t=21678#p61374

[ingo2]

Ok, wegen der unterschiedlichen "metrics" bekommt die Route durch den Tunnel Vorrang (funktioniert ja eigentlich auch). Damit hängt dann aber die ganze Sicherheit daran, daß der Tunnel aktiv ist und funktioniert?
Was passiert eigentlich, wenn ein angefragter Host nicht durch den Tunnel erreichbar ist, wird dann die zweite Route mit höherer metric probiert?

Zu der DNS-Problematik:
Hab's versucht und die beiden Zeilen in der client.conf eingetragen - das ändert aber nichts, es wird nach wie vor der fremde DNS-Server (hier Speedport) befragt.
Da funkt wohl der NetworkManager dazwischen?

[user18]

Ok, wegen der unterschiedlichen "metrics" bekommt die Route durch den Tunnel Vorrang (funktioniert ja eigentlich auch). Damit hängt dann aber die ganze Sicherheit daran, daß der Tunnel aktiv ist und funktioniert?
Was passiert eigentlich, wenn ein angefragter Host nicht durch den Tunnel erreichbar ist, wird dann die zweite Route mit höherer metric probiert?

Nach meinen Kenntnisstand aus dem Gedächtnis (ohne Bezug auf OpenVPN und Linux sondern allgemein):
Bei Verwendung der Defaultroute wird die Defaultroute mit der geringsten Metric verwendet bei der das Interface "Up" ist. Ob ein Host im Tunnel erreichbar ist, ist egal, sondern es wird nur geprüft ob das Interface der Route "Up" ist.

Hab's versucht und die beiden Zeilen in der client.conf eingetragen - das ändert aber nichts, es wird nach wie vor der fremde DNS-Server (hier Speedport) befragt.

Hab das selbst noch nicht selbst umgesetzt, aber:
Ist das update-resolv-conf Script vorhanden?
Zudem steht im Sourcecode von update-resolv-conf (https://github.com/masterkorp/openvpn-u ... lv-conf.sh):

Code: Alles auswählen

foreign_option_1='dhcp-option DNS 193.43.27.132'

Ist in der OpenVPN Server Config diese Option auch vorhanden?
Weiter kann ich Dir hier bei DNS leider nicht helfen.

//Edit: nochmal korrigiert.

[ingo2]

Hab jetzt mal die VPN-verbindung im NetworkManager editiert und gefunden:

unter IPv4-Einstellungen -> Zusätzliche DNS-Server
habe ich meinen VPN-Endpunkt (der Server) "10.8.0.1" eingetragen.
Das klappt! Der NetworkManager setzt die Adresse dann als erste in die resolv.conf.
Es geht aber nicht, wenn ich dort die IPv4 des Servers im dort lokalen Subnetz (192.164.xx.yy) eintrage. Vom laptop remote aus kann ich jedoch mit der 192.164.xx.yy durchs VPN den Server ansprechen.

So, damit ist die Sache erst mal gelöst - Danke,
Ingo

EDIT:
Wer wie ich auch einen eigenen DNS-Server unbound daheim betreibt und übers VPN nutzen möchte, muß dafür sorgen, dass der DNS-Server auch das VPN-Subnetz 10.8.0.0/24 bedient!