[GELÖST] openvpn: route-push unterdrücken

Mictlan · Beitrag von **Mictlan** » 28.01.2008 08:59:48

Hi!

ich verbinde mich von zuhause zu einem openvpn Server der ein route-push macht. aber nachdem der auch den Standartgateway verändert ergeben sich wenn auf dem vpn-client auch öffenltiche Dienste laufen diverse Probleme (Anfrage geht an ip A und Antwort kommt von IP B des vpn Servers). Die meisten Dienste stört dies.

Ich machs derzeit so dass ich die routingtabelle ausles, die VPN Verbindung aufbau und dann die alte Routingtabelle wiederherstelle und um die neuen relevanten Einträge erweitere und somit die Downtime von meinem Rechner sich auf ein paar Sekunden beschränkt. wenn aber mal die VPN Verbindung zusammenbricht und dann automatisch die Verbindung wieder aufgebaut wird geht der Spass nochmal los und da weiß ich das dann meistens nicht sofort dh die downtime is länger wie ein paar min.

So nebenbei brechen auch alle vorhanden Verbindungen ab weil eben auf einmal die Pakete die falsche öffentiliche IP haben. (der openvpn Server betreibt fürs vpn Netz masquarding)

Fällt euch eine andere Idee ein? ich würde gerne die Routen trotz push unterdrücken...

Gruß,
Mictlan

daFreak · Beitrag von **daFreak** » 28.01.2008 09:18:49

entweder du nimmst den pull-eintrag aus der client.conf oder den push-eintrag aus der server.conf

am besten du postest einmal die configs.

Mictlan · Beitrag von **Mictlan** » 28.01.2008 09:40:23

die serverconfig kenn ich nicht aber in der client config find ich nix was darauf hindeuten würde.....

Code: Alles auswählen

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server.     #
#                                            #
# This configuration can be used by multiple #
# clients, however each client should have   #
# its own cert and key files.                #
#                                            #
# On Windows, you might want to rename this  #
# file so it has a .ovpn extension           #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tunsds

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one.  On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server?  Use the same setting as
# on the server.
;proto tcp
proto tcp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote 1.2.3.4 443
;remote my-server-2 1194

# Distinguished Name of server
# Retrieve by: openssl x509 -subject -noout -in server.crt
tls-remote "xxxxxxx"

# Choose a random host from the remote
# list for load-balancing.  Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server.  Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here.  See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets.  Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
ca 1.2.3.4.ca.crt
cert 1.2.3.4.user.crt
key 1.2.3.4.user.key

# Force username and password

auth-user-pass

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server".  This is an
# important precaution to protect against
# a potential attack discussed here:
#  http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server".  The build-key-server
# script in the easy-rsa folder will do this.
;ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
;cipher x
cipher AES-192-CBC
auth MD5

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

# Silence repeating messages
;mute 20

# Let the server decide when to renegotiate keys
reneg-sec 0

vllt als hinweis: die Server-Seite is eine Astaro Firewall....

daFreak · Beitrag von **daFreak** » 28.01.2008 10:00:32

Code: Alles auswählen

client

besteht aus

Code: Alles auswählen

tls-client
pull

siehe

Code: Alles auswählen

man openvpn

einfach

Code: Alles auswählen

client

durch

Code: Alles auswählen

tls-client

ersetzen, dann sollten die routen nicht mehr ge*pullt* werden

ansonsten kannst du durch

Code: Alles auswählen

route

bzw.

Code: Alles auswählen

route-gateway

manuell die routen setzen falls du das brauchst.
für solche spässe empfehle ich dir die manpage

Mictlan · Beitrag von **Mictlan** » 28.01.2008 14:41:19

passt, danke... auch wenns jetzt noch nen fehelr gibt

Code: Alles auswählen

Options error: --auth-user-pass requires --pull

das war wohl nix....
ich werd mich weiter mit den infos auf der man spieln und dann mein ergebnis hier posten

daFreak · Beitrag von **daFreak** » 28.01.2008 17:52:33

ich weiß der thread ist schon gelöst

meine idee wär noch, ein skript zu schreiben welche dir die alte routingtabelle wiederherstellt und dieses mit up in der config unter zu bringen
dazu müsstest du client natürlich wieder aktivieren

Code: Alles auswählen

up /pfad/zum/skript

Mictlan · Beitrag von **Mictlan** » 29.01.2008 08:48:30

nix is so gut wie ein voreilig als gelöst markierter Thread

genau das hab ich auch vor..... obs funktioniert werd ma sehn......

bisherige Erkenntnisse:
tls-client funktioniert nicht in Kombination mit auth-user-pass und Verschlüsselung

ein route-noexec bringt den vpn client alle routen unangetastet zu lassen. mit dem up /pfad/zum/skript werd ich versuchen ihn dann die Routen beizubringen.

Ergebnis wird heut Abend gepostet