WinFuture-Forum.de: VPN und statische Route - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Netzwerk
Seite 1 von 1

VPN und statische Route Internet soll NICHT durch den Tunnel gehen.

#1 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.213
  • Beigetreten: 11. September 10
  • Reputation: 199

geschrieben 03. Oktober 2016 - 09:36

Moin, ich beschreibe mal kurz das Problem, weil es wenn man die Suche bemüht, offenbar bei vielen Anderen genau andersrum ist.

Also: In der Firma steht ein NAS, welches als VPN-Server fungiert. Der VPN-Client bei mir zu Hause ist einer meiner Rechner (Debian). Das Aufbauen des Tunnels funktioniert aber nun das Problem. In der Firma haben wir nur DSL 6000. Meine gesamter Internetverkehr geht aber durch den Tunnel und dann von der Arbeit aus ins Internet. Für den Datenaustausch mit dem Firmennetzwerk muß ich mich natürlich damit abfinden aber für das allgemeine private Surfen zu Hause muß das ja nicht sein, dass ich so gebremst werde.

Meine Recherchen haben nun ergeben, dass das durch Einrichtung einer statischen Route in meinem Router zu Hause eventuell möglich ist. In den Einstellungen der Fritzbox habe ich den nötigen Punkt auch gefunden, nur steht da sinngemäß, dass bei falschen Einstellungen möglicherweise die Fritzbox nicht mehr erreichbar ist. Deshalb möchte ich da ungern rumprobieren. In irgendwelchen Anleitungen dazu im Netz ist etwas Ähnliches beschrieben, endet aber dummerweise dann mit dem Satz »So nun läuft ihr Internetverkehr über das VPN-Netzwerk.« Ja das will ich ja gerade nicht. (Wieso müssen die Anderen statische Routen einrichten, um was zu erreichen, was offensichtlich ganz ohne Einstellungen per default geht?)

Oder muß ich vielleicht irgendwo in den Netzerkeinstellungen des Rechners nur irgendwas bei den Gateways und Konsorten ändern?
Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

Anzeige

#2 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.768
  • Beigetreten: 20. Juli 07
  • Reputation: 860

geschrieben 03. Oktober 2016 - 10:19

Wenn ich das richtig bei Dir rauslese, hast Du das "Problem", daß Dein Tunnelendpunkt sozusagen Standardgateway ist und "alles was ich nicht kenne" da reingestopft wird.

Außerdem geh ich mit einer Fritzbox nicht davon aus, daß Dein VPN-Endpunkt auf eben jener Fritzbox liegt (sondern vermutlich direkt auf dem Debian-Rechner).

Um das sicherzustellen: geht NUR der Traffic vom Debianrechner (komplett) durch den Tunnel? Oder auch der von den anderen Geräten?

Ich geh erstmal davon aus, daß es Dir überhaupt nix helfen würde, wenn Du jetzt an der FB was änderst, weil DA kommt ja dann nix mehr (Ungetunneltes) an.

Ergo müßtest Du auf der Debianmaschine die Konfiguration so ändern, daß:

- Eine Route existiert mit Zielnetz: Firmennetz; Gateway: Tunnel-Einstiegs-IP-Adresse; und
- Ein Standardgateway, nämlich die IP-Adresse Deiner Fritzbox.

Dies unter der Annahme, daß Dein VPN-Client da nicht noch zwischenfunkt. Kann sein, daß dieser nach dem Motto "Netzwerkisolation" da nochmal nachhilft und innerhalb der VPN-Session den Zugriff auf Dein *eigenes* LAN blockiert; das wäre dann unter Sicherheitsaspekten ein Feature, kein Bug.

Alternativ wäre eine site-to-site Konfiguration möglich, die Du dann auf der Fritzbox einrichten würdest. Soweit das möglich ist. Eventuell mit freetz oder so. Oder natürlich einem richtigen Router. :ph34r:
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#3 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.213
  • Beigetreten: 11. September 10
  • Reputation: 199

geschrieben 03. Oktober 2016 - 11:50

Andere Geräte in meinem Lokalen Netz gehen nicht über den Tunnel. Nur der Debienrechner, der auch der VPN-Client ist. Im Prinzip ist also dieser eine Rechner aus meinem LAN mit dem entfernten LAN verbunden und nutzt den Router im dortigen LAN für den Internetzugang. VPN-Server im entfernten LAN ist wie gesagt ein NAS. Beide Router haben also mit dem VPN so erstmal nichts zu tun.

Dann müßte ich wohl irgendwie dem Debianrechner selbst sagen, was über den Tunnel geht und was über die Fritzbox.

Da habe ich nun drei Verbinungen:

Wired Connection
OpenVPN
tun0

Funktioniert das denn überhaupt also so grundsätzlich? Ich meine wie wird denn dann unterschieden, was wohin soll?

Parallel versuche ich der Fritzbox beizubringen, sich als Client per VPN zu verbinden (beide können neben OpenVPN auch IPsec aber darüber kriege ich nichtmal eine Verbindung hin.) Was ist denn das entfernte Netz, dass man da beim Client eingeben muß? Die 192.168.0.0 die das Netzwerk regulär hat oder die 10.2.0.0 die der VPN-Server verteilt?

Ach Mist, kann ja noch nicht gehen. Hab NAS und Router drüben neu gestartet und muß jetzt erst warten, bis dynDNS aktualisiert ist.

Dieser Beitrag wurde von Holger_N bearbeitet: 03. Oktober 2016 - 17:49

Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

#4 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.213
  • Beigetreten: 11. September 10
  • Reputation: 199

geschrieben 03. Oktober 2016 - 23:25

Jetzt habe ich mir den größten Klopps erlaubt. Also ich bin verbunden per OpenVPN und prüfe für meine IPSec VPN-Variante die Portweiterleitungen, und wie ich die so auf dem entfernten Router »optimieren« will, packe ich die 1194 zu den Ports für IPSec schön ordentlich in eine Reihe. Speichern ging nicht, wegen eines Konfliktes – ja klar - die 1194 wäre ja dann doppelt, also die überflüssige löschen und wie ich noch beim Klicken bin fällt mir ein »über den Port bist du gerade in dem System« – da war es schon zu spät. Schön wäre es, wenn ich IPsec jetzt hinbrächte. Portweiterleitungen sind dafür eingerichtet und der Server läuft, nur meine Clienten wollen nicht. Das Windowsphone meldet es hätte kein WLAN (hat es aber) Laptop Win 10 versucht eifrig zu verbinden, meldet aber das Passwort wäre falsch (ist es aber nicht), Debian fehlt ein VPN-Modul welches es aber nirgends zu geben scheint und von der Fritzbox kriege keine Fehlermeldung.

Yeeeah - hab am Laptop hats geklappt - Puuh Gott sei Dank.

21.49 Uhr hab ich mich ausgesperrt und 1.10 Uhr hat es endlich geklappt. Nun hab ich immerhin L2TP/IPSec unter Win10 hinbekommen, sicherheitshalber meine OpenVPN Port wieder weitergeleitet, weiß nun, dass serverseitig offenbar alles stimmt und kann nun gucken, warum die Fritzbox nicht will.

Dieser Beitrag wurde von Holger_N bearbeitet: 04. Oktober 2016 - 00:21

Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

#5 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.768
  • Beigetreten: 20. Juli 07
  • Reputation: 860

geschrieben 04. Oktober 2016 - 05:07

Für site-to-site braucht man statische externe Adressen. Sorry, da hab ich gepennt. :blush:

Bringt eh nicht viel, wenn Du eh nur aufs NAS zugreifen willst. Site-to-site verbindet halt Netzwerke statt Clients, aber wenn man nicht sagen kann "wie" (nämlich weil sich die Tunneleinstiegs- und Ausstiegs-IPs ständig ändern, dann bringt es nix und wenn man gar nicht *will*, daß das Netz insgesamt verbunden ist, eh nicht.

Ansonsten - weiß jetzt nicht, ob Deine Frage noch aktuell ist oder nicht, aber ich schreibs mal trotzdem dazu:

- Was wo hin soll, sagen eben die Einträge in der Routingtabelle. Die kann man selber hinzufügen, macht man üblicherweise (zuhaus) aber nur indirekt.

Also zB so:
192.168.20.0 255.255.255.0 192.168.178.  1 eth0
  0.  0. 0.0   0.  0.  0.0 192.168.178.254 eth0



sagt Folgenndes:
- Alle IP-Adressen im selben Netz wie mein Router (an dieser Stelle 192.168.178.0/24) kann ich selber abhandeln.
- Alle Pakete an IP-Adressen aus 192.168.20.0/24 (=letztes Oktett egal) sind an den Router mit der IP-Adresse 192.168.178.1 weiterzuleiten.
- Alle anderen Pakete sind stattdessen an den Router mit der 192.168.178.254 zu schicken. Dieses "alles was ich nicht kenne"-Konfiguration heißt aus eben diesem Grund Standardgateway und ist "normal" die einzige konfigurierte Route im Heimnetz (weil man ja üblicherweise auch nur den einen Internetanschluß hat).


So, nun hast Du aber ZWEI Wege nach draußen mit Deiner Debianbox.

Also mußt Du der Kiste sagen, was jetzt wirklich wo hin soll. Das wird wieder an der Ziel-IP festgemacht. Also brauchst Du eine Route nach sagen wir 10.0.0.0/8 (wenn das Dein firmennetz ist) und solche Pakete sollen an 192.168.0.10 (wenn das Deine Tunnel-Einstiegs-IP ist) oder natürlich einfach mit tun0 (wenn das Dein Tunnel-Einstiegs-Interface ist). Damit werden Deine Firmen-IPs sozusagen dem Standardgateway weggenommen und "umgeleitet" direkt in den Tunnel.

Entsprechend müßte man andersherum Routen setzen für ein Heimnetz mit mehreren Teilnetzen, oder halt eine solche VPN-spezifische Route wegnehmen (und nur den Standardgateway lassen) wenn auch Internetadressen über den Betrieb aufgelöst werden sollen.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#6 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.213
  • Beigetreten: 11. September 10
  • Reputation: 199

geschrieben 04. Oktober 2016 - 07:13

Nee nee, ich will nicht nur auf das NAS zugreifen. Zumindest nicht nur auf dessen Weboberfläche. Ich habe auch Datenordner auf meinem Rechner gemountet und benutze gelegentlich auch andere Geräte im entfernten Netz, zum Beispiel Drucker und Scanner. Bei der Sache mit IPsec hatte ich gedacht, wenn die Fritzbox den Tunnel aufbaut, schickt die nur Anfragen an die entfernte LAN-IP durch den Tunnel und dann wäre es ja das, was ich will. Und mit dem Win10-Rechner als Client funktioniert der IPsec-Tunnelbau ja inzwischen problemlos, also an irgendwelchen statischen oder nichtstatischen IPs sollte das nicht liegen.

Bei der Ausgangsfrage (ja die steht nach wie vor) werde ich mich dann nachher, wenn ich aufgestanden bin, mal an der Routingtabelle versuchen. Das klingt irgendwie sehr zielführend. Obwohl das schon recht viele IPs sind, die man da verteilen muß, mal gucken, ob ich soviele in meinem Netzwerk überhaupt finde.
Aber wenn ich das richtig sehe geht das ja alles über die /etc/network/interfaces und da kann ich ja rumprobieren bis es passt, solange ich mir für den Notfall die Urzustand sichere.

Hmm wie ich es mir gedacht hatte. Ich kann in Konfigurationsdateien alles nach Anleitung ändern was ich will, es ändert sich nichts. Wenn ich mir die Routingtabelle mit den aktuellen Routen angucke, ist die von all meinen Einträgen völlig unbeeindruckt.
Jetzt hat sich zwar mal was geändert und ich hab die IPs wie wild verteilt und allerhand Variationen ausprobiert, aber das ging nur so lange gut, bis das gelbe Fragezeichen im Netzwerksymbol auftauchte. Mal gucken, ob nach dem Neustart OpenVPN wenigstens wieder geht.

Nee ich glaube Netzwerken ist nicht so mein Ding. Ich werde warten müssen, bis einer mal 1:1 das gleiche Problem hat und das lösen konnte.

Dieser Beitrag wurde von Holger_N bearbeitet: 04. Oktober 2016 - 10:01

Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

#7 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.768
  • Beigetreten: 20. Juli 07
  • Reputation: 860

geschrieben 04. Oktober 2016 - 10:19

Nene, nicht irgendwelche Dienste. IP - und hier läuft VPN -- spricht die Netzwerkkarte an, damit also den Rechner als Ganzes.

Damit erreichst Du also alle Dienste auf dem Gerät, wo die NAS läuft. Was Du NICHT erreichst, sind andere Rechner im Firmennetz.

Möglichkeiten gibt es dieser Art:

- Point-to-Point: Hast Du grad. Ein Rechner hier tunnelt zu einem Rechner da.
- Point-to-site: Könntest Du machen, wenn Euer Firmennetz eine statische IP nach draußen hat. Ein PC (Du) wählt sich dann üblicherweise über den Router(in der Firma) im Firmen*netz* ein. Damit könntest Du also von zuhause jeden einzelnen Rechner in der Firma, soweit dieser über VPN zugelassen ist, erreichen (=> das läuft dann über das Routing in der Firma). Erfordert statische externe IP-Adresse am Firmenrouter.
- Site-to-site: Vollständiger Zugriff auf beide Netze. Transparent in der Form, daß vom Ansprechen her nicht mehr gesehen wird, welcher Rechner wo steht; das Ganze sieht aus wie "ein großes LAN" (mit zwei Subnetzen). Erfordert kompatible Router und statische IP-Adressen nach außen an beiden.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#8 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.213
  • Beigetreten: 11. September 10
  • Reputation: 199

geschrieben 04. Oktober 2016 - 11:03

Na das wird mir dann zu hoch. Für mich wäre der Router dann auch nur ein »Point«, weil der ja technisch auch nur ein kleiner Rechner ist. Aber egal, VPN-technisch funktioniert ja alles so wie ich es brauche. Nur schade, dass das mit den Routingtabellen bei mir mal wieder anders ist als bei den Anderen. Ich werde da mal nebenbei immer wieder probieren aber es sind natürlich sehr viele Variationen möglich mit 6 IP Adressen, das wird ne Weile dauern.
Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

#9 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.213
  • Beigetreten: 11. September 10
  • Reputation: 199

geschrieben 06. Oktober 2016 - 11:51

Ich meckere ja dann gerne vor mich, wenn es nicht klappt, aber da gebe ich ja noch nicht auf. Ich bin jetzt schonmal soweit, dass durch Hinzufügen der Route:

route add default gw 192.168.0.1 eth0

das Ganze fast so funktioniert wie gewünscht. Das ist eigentlich das was im System sowieso default ist, aber das ändert sich offensichtlich beim Aufbau der VPN-Verbindung.

Wenn ich nun eine Verbindung aufbaue geht das nicht mehr über VPN sondern wie gewollt über meinen Router. Allerdings dauert der Verbindungsaufbau dreimal so lange wie durch den Tunnel. Irgendwas bremst da.
(Vor der extra Route dauert auch das Anzeigen der Routingtabelle in der Konsole nur einen Wimpernschlag und danach etwa 12 Sekunden bis alle Einträge da sind - 6 Stück statt vorher 5)

Wenn die Verbindung dann da ist, habe ich allerdings meine volle Geschwindigkeit (Speedtest gemacht) Eventuell muß ich »nur« suchen, an welcher Stelle OpenVPN nach dem Tunnelbau, meinen Standardgateway ändert.

und ich muß noch rauskriegen, welche route ich festlegen muß damit Anfragen an 192.168.1.0 auch über VPN gehen, um die anderen Geräte im entfernten LAN anzusprechen. Dann hab ich es.

Dieser Beitrag wurde von Holger_N bearbeitet: 06. Oktober 2016 - 11:58

Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

#10 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.768
  • Beigetreten: 20. Juli 07
  • Reputation: 860

geschrieben 06. Oktober 2016 - 13:02

Dies nur als Vermutung, aber es *könnte* durchaus sein, daß sich da Routing und DNS in die Quere kommen.

Also so, daß jetzt Dein Firmen-DNS versucht, lokal bei Dir aufzulösen und das geht dann natürlich nicht.

Aber, kann natürlich auch was ganz anderes sein.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#11 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.213
  • Beigetreten: 11. September 10
  • Reputation: 199

geschrieben 06. Oktober 2016 - 13:18

Also der Tunnel zur Firma funktioniert wie gehabt. Es ist nur der Verbindungsaufbau zu einer Seite, der jetzt wie gewollt, über meinen Router statt durch den Tunnel geht. Ist die Verbindung dann erstmal da, funktioniert auch das alles vorbildlich. Oder meinst du, dass die Verbindung zwar richtig ist und nur die reine Namensauflösung über den Tunnel geht und von dem DNS-Server gemacht wird, der im Firmennetzwerk Standard ist? (falls das technisch ginge, also das Verhalten spricht ja dafür).

Das wäre denkbar, denn ich habe noch etwas anderes probiert. Der neue Opera hat doch eine VPN-Funktionalität integriert (also dieses zum son bißchen Verstecken, um die beiden VPNne jetzt nicht durcheinanderzuwerfen) und wenn ich das benutze, dann geht alles richtig flink. Da denke ich mal dass der Opera für diese Funktion einen eigenen DNS-Server anspricht ohne meinen Tunnel.

Aber was ich nicht verstehe ist, dass wenn ich irgendetwas von dieser Problematik über Google suche (was ich den ganzen Tag mache) dann haben alle das Problem andersrum. Da geht nicht der ganze Verkehr durch den Tunnel und die wollen das aber. Es kann doch nicht bei allen Anderen per default so sein, wie ich es haben will und bei mir ist es per default so, wie die es haben wollen. Das ist seltsam.

Dieser Beitrag wurde von Holger_N bearbeitet: 06. Oktober 2016 - 13:24

Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

#12 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.213
  • Beigetreten: 11. September 10
  • Reputation: 199

geschrieben 06. Oktober 2016 - 23:11

Wie ich im Schmalgespräch ja schon schrieb, habe ich das Problem jetzt weitestgehend gelöst. Nachdem ich die zweite Route rausgekriegt und hinzugefügt hatte, gabs auch keine DNS-Probleme mehr. Alle drei möglichen Zielanfragen, gehen nun blitzschnell in die gewollte Richtung. Nun muß ich nur noch eine Möglichkeit der Automatisierung suchen. Die reguläre Konfiguration geht nicht, weil die /etc/network/interfaces ignoriert wird, wenn man den Network-Manager verwendet. Ich habe mir aber zwei Scripte geschrieben, die die Routen hinzufügen und trennen. Auf Knopfdruck sozusagen, wobei ich mir ja eigentlich das Abbauen der Route sparen kann, die ist ja von alleine wieder weg, wenn die Verbindung zu Ende ist. Na im Notfall gucke ich mal wo der das VPN gestartet und beendet wird und rufe meine Scripte dort einfach mit auf.

Aber Danke erstmal für den Tip mit den Routen. Das war ja im Prinzip die Lösung, die ja nur so kompliziert ist, weil ich mich zu dusselig anstelle.


Ergänzung: Auf dem Windows-Laptop, war es noch einfacher. Da muß nur ein Häkchen raus bei »alles übers Standardgateway« (oder so ähnlich und die zweite Route mit -p hinzufügen. fertig.

Dieser Beitrag wurde von Holger_N bearbeitet: 08. Oktober 2016 - 11:47

Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0