OpenVPN und internes Netzwerk

[Rac00n]

Hallo alle zusammen.

Ich gestehe ein wenig faul gewesen zu sein und mich nur durch die ersten 5 Seiten der Suche gearbeitet zu haben.
Leider fand ich dort ähnliche Beiträge aber keine wirkliche Hilfestellung zu meinem Problem.

Ich habe auf meinen Debian Squeeze einen OpenVPN Server aufgesetzt der via TCP und Port 443 angesprochen werden kann.
Die Verbindung vom Client zum Server funktioniert wunderbar - Internet ist auch vorhanden über den VPN Tunnel.
Das Problem nun - die Verbindungen die vorher über LAN 1 gingen (internes Netzwerk) sind alle abgebrochen, dh. kein Email, kein Internet (über Proxy), keine Netzwerklaufwerke, usw

Mit anderen Worte übernimmt LAN 2 (VPN Verbindung) sämtliche Kommunikation.
Ich gehe stark davon aus das ich den Server als Gateway nutze, allerdings sollte LAN 1 übergeordnet sein und nur auf LAN 2 als Gateway genutzt werden.

Hier meine configs:

Code: Alles auswählen

rac00n@server:~$ sudo cat /proc/sys/net/ipv4/ip_forward
1

server.conf

Code: Alles auswählen

rac00n@server:~$ sudo cat /etc/openvpn/server.conf
local xxx.xxx.xxx.xxx
port 443
port-share 127.0.0.1 443
proto tcp
mode server

log-append  /var/log/openvpn.log
verb 3

dev tun0

ca      /etc/openvpn/easy-rsa/keys/ca.crt    # generated keys
cert    /etc/openvpn/easy-rsa/keys/server.crt
key     /etc/openvpn/easy-rsa/keys/server.key  # keep secret
dh      /etc/openvpn/easy-rsa/keys/dh1024.pem

server  10.66.66.0 255.255.255.0
ifconfig-pool-persist ipp.txt

push "redirect-gateway"

client-to-client
keepalive 10 120

comp-lzo

persist-tun
persist-key

# pam-auth
plugin  /usr/lib/openvpn/openvpn-auth-pam.so common-auth
client-cert-not-required

client.ovpn

Code: Alles auswählen

client
dev     tun
proto   tcp
remote  SERVERNAME 443
resolv-retry infinite
nobind
persist-key
persist-tun
auth-user-pass
ca ca.crt
comp-lzo
verb 3

Vielen dank im Voraus

[slu]

[quote="Rac00n"]

Code: Alles auswählen

push "redirect-gateway"

http://openvpn.net/index.php/open-sourc ... l#redirect
An dem push "redirect-gateway" dürfte es liegen.

[Rac00n]

Danke für deine Antwort.
Ja dem bin ich auch schon auf die Schlichte gekommen leider benötige ich das.

Beispiel Konfiguration:
Internet Explorer & Outlook nutzen das intere Netzwerk uns benutzen dafür den Proxy der angegeben ist.
Firefox läuft ohne Proxy indem der Browser das Gateway des VPN nutzt.

Ich habe nun auch schon einiges rum gespielt indem ich das Ganze auf tap (brigding) gewechselt habe anstelle von tun (routing).
Das Problem am Ganzen ist, das sämtlicher Netzwerkverkehr über den VPN Tunnel läuft was nicht sein soll.

[slu]

Verstehe ich das richtig das Server und Clients im gleichen Subnetz liegen?
Wenn ja wie will man das dann unterscheiden?

[Rac00n]

Verstehe ich das richtig das Server und Clients im gleichen Subnetz liegen?
Wenn ja wie will man das dann unterscheiden?

Nein das ist nicht richtig.

Subnetz Server: 255.255.255.252
Subnetz Client: 255.255.252.0

Es geht mir nicht darum das ich etwas unterscheiden möchte, ich möchte lediglich dem VPN Tunnel "verbieten" alles zu routen.

[unitra]

Ich gestehe ein Wenig faul zu sein. Das Problem wird die Default Route sein.

Code: Alles auswählen

0.0.0.0/0

Wie eine Routing Tabelle gelesen wird und wie sie sortiert wird steht hier:
http://en.wikipedia.org/wiki/Longest_prefix_match

Wie eine zusätzliche Route in hinzugefügt wird steht hier:
http://wiki.gentoo.org/wiki/Static_Routing

Nichts anderes macht des OpenVPN Program, mit diesen Informationen solltest du das Problem lösen können.

[uname]

Subnetz Server: 255.255.255.252
Subnetz Client: 255.255.252.0

Das widerspricht scheinbar den Werten von oben. Zudem enthält das untere Subnetz das obere Subnetz, so dass bei gleichem IP-Adress-Bereich es weiterhin zu Überschneidungen kommen kann. Mal doch mal ein Bild mit Subnetzen, Subnetzmasken, Routen usw. damit man das Problem auch verstehen kann. ASCII-Bild sollte reichen. Schau auch gleich ob "route" entsprechend korrekt ist und poste evtl. Abweichungen. Dann kann dir vielleicht geholfen werden.

[unitra]

Subnetz Server: 255.255.255.252
Subnetz Client: 255.255.252.0

Zu dem auch der Server in einem Transfernetz ist /30. Und ja IP Adressen und Netze habe ich in dem Beitrag auch vermisst.

[Rac00n]

Sorry für die fehlenden Informationen.

Internes Netzwerk:
IP Adressen: 172.28.10x.xxx
Subnet Mask: 255.255.252.0

Externes Netzwerk:
IP Adressen: 178.63.xxx.xxx
Subnet Mask: 255.255.255.192

OpenVPN TUN:
IP Adressen: 10.66.66.0
Subnet Mask 255.255.255.255

Ich habe auch schon an die Routen gedacht und damit ein wenig rum gespielt, allerdings auch hier ohne Erfolg.
Es werden 2 Default Routen eingetragen wovon die für das interne Routing die Metric 319 hat während die, die von OpenVPN angelegt wird die Metric 20 hat.
Meines Wissens nach wird die Route genutzt bei der der Metric Wert am Höchsten ist - in diesem Falle wäre das die Route für das interne Netzwerk.

Hier mal eine grafische Ansicht wie ich mir das vorgestellt habe:

[Cae]

Für all die anderen, die das bescheuerte und überflüssige Bild da oben nicht brauchen:

Code: Alles auswählen

 .~~~~~~~~~~~.
 |  Internes |                               .~~~~~~~~~~~.
 |  Netzwerk |                               |  Internet |
 '~~~~~~~~~~~'                               '~~~~~~~~~~~'
       ^                                           ^ 
       |                                           |
 .-----------.                                     |
 |   Proxy   |                                     |
 '-----------'           _________                 |
       ^                /         \                |
       |                |  VPN-   |                |
       |          .-----+  Tunnel +-----.          |
 .-----------.   /      \_________/      \         |
 |  Outlook  +<-+            ^            |        |
 '-----.-----'  |            |            |        |
 .-----'-----.  |       -----+----.       |        |
 | Internet  +<-'       | Client- |       |  .-----+-----.
 | Exploiter |          |   PC    |       '->+  Firefox  |
 '-----------'          '---------'          '-----------'

Bei deiner Darstellung bleibt vollkommen schleierhaft, wo der Tunnel nun entlang tunnelt. Die grundlegende Eigenschaft eines Tunnels besteht in seinen zwei Enden. Der hier hat nur eines.
Soll man das so interpretieren, dass der Client auch den Tunnelclient hat und die Anwendungen aber bei ihm lokal laufen? Die MS-Dinger sollen geproxiet werden und der FF nicht. Problem ist gerade, dass der Proxy im öffentlichen Netz vermutet wird. Abhilfe wäre da imho eine statische Route auf den Proxy, insbesondere, damit das korrekte Interface genommen wird.

Gruß Cae

P.S.: Wie bekommt man Pfeil nach oben gescheit in ASCII-Art hin? ^ ist doch nicht mehr ASCII, oder?

--Edit: s/\/|\\/^/g

[uname]

^ ist doch nicht mehr ASCII, oder?

Natürlich ist es ASCII. Es ist das Zeichen "5E" (HEX) bzw. "94" (DEZ). Kannst ja mal per "Alt 94" (Alt gedrückt halten) eingeben.

http://de.wikipedia.org/wiki/American_S ... nterchange
http://de.wikipedia.org/wiki/Zirkumflex

[Cae]

^ ist doch nicht mehr ASCII, oder?

Natürlich ist es ASCII.

Ah! Das ist ja auch auf der amerikanischen Tasta drauf, 6^. Das deutsche Layout hat ja ^° neben der eins, und das ° ist *nicht* ASCII. Ich habe die beiden Belegungen verwechselt.

Gruß Cae

[FANA]

Meines Wissens nach wird die Route genutzt bei der der Metric Wert am Höchsten ist

Andersrum.

[unitra]

[...]

Internes Netzwerk:
IP Adressen: 172.28.10x.xxx
Subnet Mask: 255.255.252.0

Externes Netzwerk:
IP Adressen: 178.63.xxx.xxx
Subnet Mask: 255.255.255.192

OpenVPN TUN:
IP Adressen: 10.66.66.0
Subnet Mask 255.255.255.255

Ich habe auch schon an die Routen gedacht und damit ein wenig rum gespielt, allerdings auch hier ohne Erfolg.
Es werden 2 Default Routen eingetragen ...

2 default routen, das ist ein Fehler. Es sollte immer nur eine Default Route geben
http://en.wikipedia.org/wiki/Default_route.
Die Default Route ist die Route die als letzte benutzt wird wenn der Routing Prozess keinen speziellen Routing Eintrag in der Routing Table findet.

Du hast es vermutlich schon richtig im initialen Eintrag erkannt, nachdem der Tunnel aufgebaut wurde, werden ALLE IP Pakete in Richtung Tunnel geschickt.

Du willst aber dass deine Default Route 0.0.0.0/0 unagetastet bleibt, und dass nachdem der Tunnel aufgebaut wurde, eine zusätzliche "spezielle" Route in der Routing Tabelle installiert wird die das Externe Netz in Richtung Tunnel routet. So viel zur Theorie.

Wie du das im OpenVPN machst, kann ich nicht beantworten, da ich OpenVPN nicht kenne. Ich kann Dir nur erklären wie das Routing der IP Pakete funktioniert, und wie der Router entscheidet (Ja dein PC ist dann ein Router) und woher er weiss wo er welches IP Packet schicken soll, nachdem der Tunnel aufgebaut wurde.

http://en.wikipedia.org/wiki/Default_route
http://en.wikipedia.org/wiki/Longest_prefix_match