Putty & OpenVPN

[ppilihp]

Hallo Forum,

zunächst bitte ich um Verständnis, sollte die Frage vielleicht jegliches Grundverständnis vermissen lassen. Ich bin Anfänger mit Besserungswunsch

Ausgangslage:

Ich habe sowohl auf meinem Debian - Test-root-server als auch auf meinem Windows 8.1 - Client den OpenVPN-Dienst installiert. Verbindungen klappen wunderbar. Soweit so erfreulich.

Folgende Verständnisfrage:

Wenn ich eine bestehende SSH-Verbindung vom Client (mittels Putty) zum Server habe und dann die OpenVPN Verbindung vom Client zum Server aufbaue, sollte sich - nach meinem bisherigen Verständnis - die IP des Clients doch für alle ausgehenden Verbindungen auf die IP des OpenVPN Netzwerks ändern, oder? Das hieße doch eigentlich, dass eine bestehende Putty-Verbindung abbrechen müsste. Das passiert aber nicht. Warum nicht?

Liegt das an Windows? Internetverbindungen, im Übrigen, brechen erwartungsgemäß ab und werden nach kurzer Zeit unter der IP des Servers fortgesetzt.

Danke schon jetzt für Antworten.

Philipp

[TomL]

Moin

Ich glaube, Du bringst da ein paar Sachen durcheinander... ich versuch mal, das aufzudröseln.

Zunächst mal eine Frage: Hast Du den "erfolgreichen (?)" Verbindungstest vom Client zum Server über einen fremden ISP durchgeführt? Weil inhouse (alles innerhalb des Router-Wirkungsbereiches) sind die Ergebnisse u.U. falsch.

Also, wenn ich Dich richtig verstanden habe, hast Du einen Debian-PC als VPN-Server und einen Windows PC als VPN-Client. Der Debian-PC hängt an einem Router, der wiederum via DSL oder so mit einem ISP verbunden ist. Der Windows-Client geht irgendwo irgendwie ins Internet, via UMTS, WLAN-Hotspot, oder vielleicht sogar mit Patchkabel über einen Gastgeber-Router ... also wie auch immer. Ist das soweit richtig?

Jetzt die erste wichtige Feststellung: Sowohl das Interface (NIC=Ethernet-Netzwerkadapter) des Routers als auch das Interface des Windows-PC sind jeweils mit einem ISP verbunden. Wäre das nicht so, hätten sie keine Verbindung ins Internet. Und für diese Verbindung bekommen sie beide vom jeweiligen ISP eine IP-Adresse zugewiesen. Dieser Umstand bleibt konstant, das heissst, diese vergebenen IP-Adressen bleiben bei beiden Geräten für die Dauer der Internetverbindung (<24h) unverändert bis zu einem Re-Connect bestehen.

OpenVPN nutzt diese Gegebenheiten, um die beiden entfernten, aber zeitgleich mit dem Internet verbundenen PC's über zwei zusätzliche (!) Interfaces miteinander zu verbinden. Und zwar hier über ein virtuelles Tun-Device im Server-PC und eins im Windows-PC. Für dieses virtuelle Tun-Device ist wiederrum eine eigene Netzwerkdeklaration erforderlich, die aber abweichend vom normalen Router-Netz ist. Nehmen wir an, Dein Router-Netz heisst z.B. 192.168.0/24, dann heisst vielleicht das VPN-Netz 172.10.10/24. Also besteht neben den zwei ISP-WAN-IP noch ein lokaler LAN-IP-Range durch den Router (192.168.0.x), und ein weiterer LAN-IP-Range für das VPN (172.10.10.x). Im Grundenommen hast Du bei einer bestehenden VPN-Verbindung 4 Hosts, zweimal einen (W)ISP, einmal Deinen Router, und zuletzt Deinen VPN-Server.

Im Endeffekt bedeuetet das bei einer bestehenden VPN-Verbindung:
1. die Geräte sind mit physischen Devices (NIC = Ethernet-Netzwerkadapter) grundsätzlich mit dem Internet verbunden und erhalten dafür vom ISP eine WAN-IP
2. dein Router (Host) versorgt zuhause deine angeschlossenen Clients auf deren physischen Interfaces via DHCP mit einer IP = 192.168.0.x
3. der VPN-Server-PC ist gleichzeitig Client vom Router (192.168.0.x) und ausserdem selber Host und DHCP für die VPN-Clients (172.10.10/24)
4. mit jeweils 1 virtuellen TUN-Interace auf VPN-Server und VPN-Client wird ein Tunnel zwischen den beiden Geräte erstellt. Stell Dir das wie einen ewig langen Gartenschlauch quer durch Deutschland vor, dem es völlig egal ist, wo er hergeführt ist, wie lang er ist, was sonst auf dem Weg liegt. Du füllst am einen Ende was ein, am anderen kommt es raus. Die beiden Tun-Devices markieren den Anfang und das Ende der Leitung. Dabei werden während der ganzen Zeit immer die physischen Interfaces mit den für den Moment konstanten WAN-IP-Adressen genutzt. Würde sich da zwischendurch on-the-fly irgendwas ändern, ist sofort die VPN-Verbindung unterbrochen.
5. Die Daten werden letzten Endes also trotzdem immer über die physischen Interfaces auf die Reise durchs Internet geschickt!

Die Verbindung sieht dann in etwa so aus:

Code: Alles auswählen

                         <-WAN-IP                                  WAN-IP ->          LAN-IP ->     
Client (Interface ETH0) ----------- (W)ISP ---- Internet ---- ISP ----------- Router ----------- Server (ETH0)
Client (virt. Tun-Interface) ------------------------------------------------------------------- Server (TUN)
                                                                                  <- LAN-IP VPN

Um ins Surf-Internet zu kommen, verwendet der Client seinen örtlichen (W)ISP und Dein heimischer Router (und die Clients dahinter) verwenden den zuhause vorhandenen örtlichen ISP. Es gibt also nur eine Stelle, wo sich eine IP (anscheinend) verändert oder verändern könnte.... und zwar die Surf-IP des Clients - damit ist aber nicht die ISP-WAN-IP des Clients gemeint. Das heisst, wenn Du im Browser bei My-IP nachschaust, welche IP Dein Windows-Client bekommen hat, dann siehst Du die vom örtlichen ISP vergebenene IP, mit dem Du jetzt verbunden bist. Die bleibt auch auf diesem Interface IMMER gleich, sonst gäbs eben keinen Verbindung ins Internet.
Es gibt aber die Möglichkeit, auch den normalen Surf-Traffic über das virtuelle TUN-Device auf das VPN und damit auf den Router Zuhause umzuleiten. Und damit würde neben dem VPN-Netzwerk-Traffic auch der Surf-Traffic durch den "Gartenschlauch" geschickt werden. Und ab dem Moment würdest Du bei My-IP die WAN-IP von Deinem ISP zuhause angezeigt bekommen. Das bedeutet aber nicht, dass die WAN-IP von dem (W)ISP, wo du jetzt gerade als Gast eingeloggt bist (also die des physischen Interfaces am Client), sich ändern würde... die bleibt natürlich immer gleich.

Das war jetzt eine komplizierte Angelegenheit.... kompliziert in Worte zu fassen... wenn man sich ein Bild aufmalt, ist es leichter zu verstehen.... das habe ich selber erst vor ein paar Tagen lernen müssen.

Wenn ich jetzt blödsinn erzählt habe, sorry... dann bessern die Fachleute hoffentlich hier noch ein bisschen nach.....

Ausgangslage:
Ich habe sowohl auf meinem Debian - Test-root-server als auch auf meinem Windows 8.1 - Client den OpenVPN-Dienst installiert. Verbindungen klappen wunderbar. Soweit so erfreulich.

Folgende Verständnisfrage:
Wenn ich eine bestehende SSH-Verbindung vom Client (mittels Putty) zum Server habe und dann die OpenVPN Verbindung vom Client zum Server aufbaue, sollte sich - nach meinem bisherigen Verständnis - die IP des Clients doch für alle ausgehenden Verbindungen auf die IP des OpenVPN Netzwerks ändern, oder? Das hieße doch eigentlich, dass eine bestehende Putty-Verbindung abbrechen müsste. Das passiert aber nicht. Warum nicht?

Liegt das an Windows? Internetverbindungen, im Übrigen, brechen erwartungsgemäß ab und werden nach kurzer Zeit unter der IP des Servers fortgesetzt.

Abschließend zu den veränderten IP kann man feststellen: Die IP verändern sich während einer Verbindung nicht, Du kannst nur Deine Perspektive verändern.

ansonsten..... HTH ...

[ppilihp]

Vielen Dank schon einmal für deine ausführliche Antwort. Hier noch einmal die Ausgangslage beschrieben:

Windows-Client mit Putty (Deutschland) --- SSH-Verbindung über WLAN ---> Router (DHCP und NAT) ---> Alice-Modem (Routerfunktion aus) ---> Internet (ISP O2/Alice) ---> bei OVH gemieter root server mit Debian wheezy (Frankreich)

Bei aktiver Putty-Verbindung nach oben beschriebenen Muster, habe ich dann eine VPN Verbindung vom Windows-Client zum Server hergestellt.

-- Edit --

Nach ausführlicher Betrachtung der Client-Routingtabellen konnte ich feststellen, dass sich die Route zum VPN-Server (über den lokalen Router), nach Aufbau der VPN Verbindung, tatsächlich nicht ändert (unabhänging davon, ob eine Verbindung mit Putty besteht oder nicht).

Vielleicht macht das ja auch schon deshalb Sinn, weil sonst der im Tunneladapter erzeugte, verschlüsselte Traffic den VPN Server nicht erreichen würde?

Ist diese Vermutung plausibel?

[TomL]

Vielen Dank schon einmal für deine ausführliche Antwort. Hier noch einmal die Ausgangslage beschrieben:

Windows-Client mit Putty (Deutschland) --- SSH-Verbindung über WLAN ---> Router (DHCP und NAT) ---> Alice-Modem (Routerfunktion aus) ---> Internet (ISP O2/Alice) ---> bei OVH gemieter root server mit Debian wheezy (Frankreich)

Bei aktiver Putty-Verbindung nach oben beschriebenen Muster, habe ich dann eine VPN Verbindung vom Windows-Client zum Server hergestellt.

Ja, wobei SSH und WLAN nix miteinander zu tun haben.WLAN ist nur der Funk-Bestandteil einer langen Leitung durchs Internet unter Nutzung von physischen Komponenten.... damit ist Hardware gemeint. Und SSH ist die verschlüsselte Nutzung dieser Leitung. Für SSH gibts nur 2 relevante Punkte, 2 Interfaces, das vom Client und das vom SH-Server.... alles was dazwischen liegt, interessiert das SSH nicht. Ich vergleiche das mal mit einer Telefonverbindung.... der ist es nämlich völlig egal, in welcher Sprache über das Telefon gesprochen wird, und den beiden Gesprächsteilnehmern ist es völlig egal, wo die Leitung überall herläuft und welche Hardware verbaut ist.... hauptsache das Gequatsche kommt an..... ob das über Richtfunkstrecken passiert, über Satellit oder Tiefseekabel würde meine Frau, wenn sie mit ihrer Freundin quatscht, nicht wirklich interessieren.

Jetzt muss ich erstmal den Rest deiner Antwort studieren

Ja, mach das, wenn was unklar ist, erneut fragen.

Nachtrag, das habe ich jetzt gerade erst gesehen:

Wenn ich eine bestehende SSH-Verbindung vom Client (mittels Putty) zum Server habe und dann die OpenVPN Verbindung vom Client zum Server aufbaue, sollte sich - nach meinem bisherigen Verständnis - die IP des Clients doch für alle ausgehenden Verbindungen auf die IP des OpenVPN Netzwerks ändern, oder? Das hieße doch eigentlich, dass eine bestehende Putty-Verbindung abbrechen müsste. Das passiert aber nicht. Warum nicht?

Es ist andersrum.... Du baust zuerst eine OpenVPN-Verbindung auf und kannst dann direkt auf die Netzwerkskomponenten des VPN-Servers zugreifen. Bei mir sind das Festplatten, IP-Cams, Drucker, andere Rechner, etc. Dafür brauchst Du kein Putty, weil OpenVPN ja schon eine sichere Verbindung ist. Du könntest mit Putty auch eine sichere Leitung ohne OpenVPN erstellen, verzichtest dafür aber auf die zusätzlichen Features wie Keys und Zertifikate, und natürlich auf die Möglichkeit einer echten Integration in das entfernte Netzwerk. Ich würde Putty allenfalls für Customizingaufgaben als Konsolentool nutzen, wenn ich "drüben" unbedingt zu root werden müsste und auf eigentlich geschütze Systembereiche des Linux-Servers zugreifen müsste. Das habe ich aber noch nie gebraucht. Und wenn doch, dann würde ich das vermutlich eher via Remote-Desktop machen und kurzerhand eine "lokale" Konsole öffnen. Customizing mach ich nur, wenn ich am Netz-Schalter sitze, niemals vom Road-Warrior aus. Den von draußen benötigten normalen Rest macht man einfach mit dem Total Commander oder auch mit dem Windows-Explorer oder direkt mit einem Anwendungsprogramm (wie z.B. Libre-Office) innerhalb der erlaubten Freigaben.

[uname]

Wenn ich eine bestehende SSH-Verbindung vom Client (mittels Putty) zum Server habe und dann die OpenVPN Verbindung vom Client zum Server aufbaue, sollte sich - nach meinem bisherigen Verständnis - die IP des Clients doch für alle ausgehenden Verbindungen auf die IP des OpenVPN Netzwerks ändern, oder? Das hieße doch eigentlich, dass eine bestehende Putty-Verbindung abbrechen müsste. Das passiert aber nicht. Warum nicht?

Der Aufbau einer VPN-Verbindung führt zu ein abweichendes Routing. Für die aktiven Verbindungen hat das dann jedoch keine Auswirkung.

Zeig die Routen unter Windows an:

Code: Alles auswählen

netstat -r

VPN aufbauen

Code: Alles auswählen

netstat -r

Erst wird ganz normal über das Default-GW und durchs Internet zum Ziel geroutet.
Mit dem VPN gibt es ein neues Device (meist TUN0), wo auch die neue Default-Route durchführt.

Baust du nach dem VPN eine weitere Putty-Verbindung auf sollte der Tunnel genutzt werden. Du müsstest es daran erkennen, dass auf dem Ziel

Code: Alles auswählen

env|fgrep SSH

dann abweicht. Kannst es bei Unterschied ja mal posten.

[TomL]

Nach ausführlicher Betrachtung der Client-Routingtabellen konnte ich feststellen, dass sich die Route zum VPN-Server (über den lokalen Router), nach Aufbau der VPN Verbindung, tatsächlich nicht ändert (unabhänging davon, ob eine Verbindung mit Putty besteht oder nicht).

Im Moment wüsste ich auch nicht, welche Routen sich am Client ändern sollten.... der hat doch nur eine die Default-Route vom Interface zum Host, im Normalfall bei einem Roadwarrior zum (W)ISP.

[ppilihp]

Baust du nach dem VPN eine weitere Putty-Verbindung auf sollte der Tunnel genutzt werden. Du müsstest es daran erkennen, dass auf dem Ziel

Code: Alles auswählen

env|fgrep SSH

dann abweicht. Kannst es bei Unterschied ja mal posten.

Auch wenn ich die Putty-Verbindung zur WAN IP (5.196.XX.XX) des Servers, vor Eröffnung der VPN Verbindung, trenne und hiernach zur WAN IP des Servers wiederherstelle, ergibt

Code: Alles auswählen

env|fgrep SSH

dasselbe:

• SSH_CLIENT=77.7.XXX.XX 11400 22
  SSH_TTY=/dev/pts/0
  SSH_CONNECTION=77.7.XXX.XX 11400 5.196.XX.XX 22

Erst, wenn ich die Putty-Verbindung, nach Eröffnung des VPN, zur "lokalen" IP (10.8.0.1) des Servers aufbaue, ändert sich die Ausgabe:

• SSH_CLIENT=10.8.0.6 11346 22
  SSH_TTY=/dev/pts/0
  SSH_CONNECTION=10.8.0.6 11346 10.8.0.1 22

Mittlerweile denke ich, dass das Verhalten wohl völlig normal ist. Aber um vielleicht doch noch eine fundiertere Meinung von euch zu bekommen, hier noch der Vollständigkeit halber die

Code: Alles auswählen

netstat -r

Ausgaben des Clients:

Routingtabelle Client - ohne VPN

Code: Alles auswählen

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.102     25
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.1.0    255.255.255.0   Auf Verbindung     192.168.1.102    281
    192.168.1.102  255.255.255.255   Auf Verbindung     192.168.1.102    281
    192.168.1.255  255.255.255.255   Auf Verbindung     192.168.1.102    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.1.102    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.1.102    281
===========================================================================

Routingtabelle Client - VPN zu Server 5.196.XX.XX aktiv:

Code: Alles auswählen

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0         10.8.0.5         10.8.0.6     30
      5.196.XX.XX  255.255.255.255      192.168.1.1    192.168.1.102     25
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6     30
         10.8.0.4  255.255.255.252   Auf Verbindung          10.8.0.6    286
         10.8.0.6  255.255.255.255   Auf Verbindung          10.8.0.6    286
         10.8.0.7  255.255.255.255   Auf Verbindung          10.8.0.6    286
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.1.0    255.255.255.0   Auf Verbindung     192.168.1.102    281
    192.168.1.102  255.255.255.255   Auf Verbindung     192.168.1.102    281
    192.168.1.255  255.255.255.255   Auf Verbindung     192.168.1.102    281
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung          10.8.0.6    286
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.1.102    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung          10.8.0.6    286
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.1.102    281
===========================================================================

[uname]

Leider ist die Windows-Ausgabe etwas schlecht und gibt nicht die Devices (eth0 vs. tun0) an. Dein Server 5.196.XX.XX wird weiterhin direkt erreicht, was wohl nötig ist. Alle anderen Netzwerke des Internets (0.0.0.0) werden über den Tunnel (10.8.0.5) erreicht. Versuche einen Traceroute zum Nameserver von Google:

Code: Alles auswählen

tracert 8.8.8.8

Ich bin mir nicht sicher ob auch dein Browser mit VPN funktioniert. Teste mal http://www.utrace.de und schau ob dir als deine IP die deines Providers oder die vom Server angezeigt wird.

Aber es stimmt wohl. Auch wenn du den Rest des Internets durch den Tunnel erreichst, erreichst du deinen Server lediglich über die interne IP-Adresse des 10.8er-Netzes. Aber ehrlich wenn du sowieso SSH nutzt kannst du eigentlich auf VPN für die Server-Administration verzichten.

[ppilihp]

Aber es stimmt wohl. Auch wenn du den Rest des Internets durch den Tunnel erreichst, erreichst du deinen Server lediglich über die interne IP-Adresse des 10.8er-Netzes. Aber ehrlich wenn du sowieso SSH nutzt kannst du eigentlich auf VPN für die Server-Administration verzichten.

Das stimmt natürlich. Aber ich experimentiere interessenhalber gerade mit dem angemieteten Server und stelle dem Windows-Client bspw. einen Samba Share über das VPN zur Verfügung. Das soll in Zukunft dazu dienen, auch weniger Linux Interessierten einen vertrauenswürdigen "Cloud"-Speicher zur Verfügung zu stellen. Natürlich dann nicht bei einem anonymen Server-Drittanbieter.

Das nächste Experiment ist das Aufsetzen eines Mailservers. Nach dem ersten Überblick über die notwendigen Pakete und die dazugehörigen Sicherheitswarnungen grault es mir jetzt schon ein wenig davor. Ich will schließlich keinen Bot produzieren

[uname]

Ich würde nie auf die Idee kommen irgendjemanden Cloud-Speicher geschweige denn einen Mailserver anzubieten. Das können andere Leute besser. Und wer eine einigermaßen sichere Cloud will sollte sie besser zuhause als USB-Festplatte am WLAN-Router oder per Raspberry Pi selbst hosten. Du könntest entsprechende Konfigurationen entwickeln und dann den Anwendern bei denen selbst zuhause zur Verfügung stellen.