VPN und statische Route Internet soll NICHT durch den Tunnel gehen.
#1
geschrieben 03. Oktober 2016 - 09:36
Also: In der Firma steht ein NAS, welches als VPN-Server fungiert. Der VPN-Client bei mir zu Hause ist einer meiner Rechner (Debian). Das Aufbauen des Tunnels funktioniert aber nun das Problem. In der Firma haben wir nur DSL 6000. Meine gesamter Internetverkehr geht aber durch den Tunnel und dann von der Arbeit aus ins Internet. Für den Datenaustausch mit dem Firmennetzwerk muß ich mich natürlich damit abfinden aber für das allgemeine private Surfen zu Hause muß das ja nicht sein, dass ich so gebremst werde.
Meine Recherchen haben nun ergeben, dass das durch Einrichtung einer statischen Route in meinem Router zu Hause eventuell möglich ist. In den Einstellungen der Fritzbox habe ich den nötigen Punkt auch gefunden, nur steht da sinngemäß, dass bei falschen Einstellungen möglicherweise die Fritzbox nicht mehr erreichbar ist. Deshalb möchte ich da ungern rumprobieren. In irgendwelchen Anleitungen dazu im Netz ist etwas Ähnliches beschrieben, endet aber dummerweise dann mit dem Satz »So nun läuft ihr Internetverkehr über das VPN-Netzwerk.« Ja das will ich ja gerade nicht. (Wieso müssen die Anderen statische Routen einrichten, um was zu erreichen, was offensichtlich ganz ohne Einstellungen per default geht?)
Oder muß ich vielleicht irgendwo in den Netzerkeinstellungen des Rechners nur irgendwas bei den Gateways und Konsorten ändern?
Anzeige
#2
geschrieben 03. Oktober 2016 - 10:19
Außerdem geh ich mit einer Fritzbox nicht davon aus, daß Dein VPN-Endpunkt auf eben jener Fritzbox liegt (sondern vermutlich direkt auf dem Debian-Rechner).
Um das sicherzustellen: geht NUR der Traffic vom Debianrechner (komplett) durch den Tunnel? Oder auch der von den anderen Geräten?
Ich geh erstmal davon aus, daß es Dir überhaupt nix helfen würde, wenn Du jetzt an der FB was änderst, weil DA kommt ja dann nix mehr (Ungetunneltes) an.
Ergo müßtest Du auf der Debianmaschine die Konfiguration so ändern, daß:
- Eine Route existiert mit Zielnetz: Firmennetz; Gateway: Tunnel-Einstiegs-IP-Adresse; und
- Ein Standardgateway, nämlich die IP-Adresse Deiner Fritzbox.
Dies unter der Annahme, daß Dein VPN-Client da nicht noch zwischenfunkt. Kann sein, daß dieser nach dem Motto "Netzwerkisolation" da nochmal nachhilft und innerhalb der VPN-Session den Zugriff auf Dein *eigenes* LAN blockiert; das wäre dann unter Sicherheitsaspekten ein Feature, kein Bug.
Alternativ wäre eine site-to-site Konfiguration möglich, die Du dann auf der Fritzbox einrichten würdest. Soweit das möglich ist. Eventuell mit freetz oder so. Oder natürlich einem richtigen Router.
#3
geschrieben 03. Oktober 2016 - 11:50
Dann müßte ich wohl irgendwie dem Debianrechner selbst sagen, was über den Tunnel geht und was über die Fritzbox.
Da habe ich nun drei Verbinungen:
Wired Connection
OpenVPN
tun0
Funktioniert das denn überhaupt also so grundsätzlich? Ich meine wie wird denn dann unterschieden, was wohin soll?
Parallel versuche ich der Fritzbox beizubringen, sich als Client per VPN zu verbinden (beide können neben OpenVPN auch IPsec aber darüber kriege ich nichtmal eine Verbindung hin.) Was ist denn das entfernte Netz, dass man da beim Client eingeben muß? Die 192.168.0.0 die das Netzwerk regulär hat oder die 10.2.0.0 die der VPN-Server verteilt?
Ach Mist, kann ja noch nicht gehen. Hab NAS und Router drüben neu gestartet und muß jetzt erst warten, bis dynDNS aktualisiert ist.
Dieser Beitrag wurde von Holger_N bearbeitet: 03. Oktober 2016 - 17:49
#4
geschrieben 03. Oktober 2016 - 23:25
Yeeeah - hab am Laptop hats geklappt - Puuh Gott sei Dank.
21.49 Uhr hab ich mich ausgesperrt und 1.10 Uhr hat es endlich geklappt. Nun hab ich immerhin L2TP/IPSec unter Win10 hinbekommen, sicherheitshalber meine OpenVPN Port wieder weitergeleitet, weiß nun, dass serverseitig offenbar alles stimmt und kann nun gucken, warum die Fritzbox nicht will.
Dieser Beitrag wurde von Holger_N bearbeitet: 04. Oktober 2016 - 00:21
#5
geschrieben 04. Oktober 2016 - 05:07
Bringt eh nicht viel, wenn Du eh nur aufs NAS zugreifen willst. Site-to-site verbindet halt Netzwerke statt Clients, aber wenn man nicht sagen kann "wie" (nämlich weil sich die Tunneleinstiegs- und Ausstiegs-IPs ständig ändern, dann bringt es nix und wenn man gar nicht *will*, daß das Netz insgesamt verbunden ist, eh nicht.
Ansonsten - weiß jetzt nicht, ob Deine Frage noch aktuell ist oder nicht, aber ich schreibs mal trotzdem dazu:
- Was wo hin soll, sagen eben die Einträge in der Routingtabelle. Die kann man selber hinzufügen, macht man üblicherweise (zuhaus) aber nur indirekt.
Also zB so:
192.168.20.0 255.255.255.0 192.168.178. 1 eth0 0. 0. 0.0 0. 0. 0.0 192.168.178.254 eth0
sagt Folgenndes:
- Alle IP-Adressen im selben Netz wie mein Router (an dieser Stelle 192.168.178.0/24) kann ich selber abhandeln.
- Alle Pakete an IP-Adressen aus 192.168.20.0/24 (=letztes Oktett egal) sind an den Router mit der IP-Adresse 192.168.178.1 weiterzuleiten.
- Alle anderen Pakete sind stattdessen an den Router mit der 192.168.178.254 zu schicken. Dieses "alles was ich nicht kenne"-Konfiguration heißt aus eben diesem Grund Standardgateway und ist "normal" die einzige konfigurierte Route im Heimnetz (weil man ja üblicherweise auch nur den einen Internetanschluß hat).
So, nun hast Du aber ZWEI Wege nach draußen mit Deiner Debianbox.
Also mußt Du der Kiste sagen, was jetzt wirklich wo hin soll. Das wird wieder an der Ziel-IP festgemacht. Also brauchst Du eine Route nach sagen wir 10.0.0.0/8 (wenn das Dein firmennetz ist) und solche Pakete sollen an 192.168.0.10 (wenn das Deine Tunnel-Einstiegs-IP ist) oder natürlich einfach mit tun0 (wenn das Dein Tunnel-Einstiegs-Interface ist). Damit werden Deine Firmen-IPs sozusagen dem Standardgateway weggenommen und "umgeleitet" direkt in den Tunnel.
Entsprechend müßte man andersherum Routen setzen für ein Heimnetz mit mehreren Teilnetzen, oder halt eine solche VPN-spezifische Route wegnehmen (und nur den Standardgateway lassen) wenn auch Internetadressen über den Betrieb aufgelöst werden sollen.
#6
geschrieben 04. Oktober 2016 - 07:13
Bei der Ausgangsfrage (ja die steht nach wie vor) werde ich mich dann nachher, wenn ich aufgestanden bin, mal an der Routingtabelle versuchen. Das klingt irgendwie sehr zielführend. Obwohl das schon recht viele IPs sind, die man da verteilen muß, mal gucken, ob ich soviele in meinem Netzwerk überhaupt finde.
Aber wenn ich das richtig sehe geht das ja alles über die /etc/network/interfaces und da kann ich ja rumprobieren bis es passt, solange ich mir für den Notfall die Urzustand sichere.
Hmm wie ich es mir gedacht hatte. Ich kann in Konfigurationsdateien alles nach Anleitung ändern was ich will, es ändert sich nichts. Wenn ich mir die Routingtabelle mit den aktuellen Routen angucke, ist die von all meinen Einträgen völlig unbeeindruckt.
Jetzt hat sich zwar mal was geändert und ich hab die IPs wie wild verteilt und allerhand Variationen ausprobiert, aber das ging nur so lange gut, bis das gelbe Fragezeichen im Netzwerksymbol auftauchte. Mal gucken, ob nach dem Neustart OpenVPN wenigstens wieder geht.
Nee ich glaube Netzwerken ist nicht so mein Ding. Ich werde warten müssen, bis einer mal 1:1 das gleiche Problem hat und das lösen konnte.
Dieser Beitrag wurde von Holger_N bearbeitet: 04. Oktober 2016 - 10:01
#7
geschrieben 04. Oktober 2016 - 10:19
Damit erreichst Du also alle Dienste auf dem Gerät, wo die NAS läuft. Was Du NICHT erreichst, sind andere Rechner im Firmennetz.
Möglichkeiten gibt es dieser Art:
- Point-to-Point: Hast Du grad. Ein Rechner hier tunnelt zu einem Rechner da.
- Point-to-site: Könntest Du machen, wenn Euer Firmennetz eine statische IP nach draußen hat. Ein PC (Du) wählt sich dann üblicherweise über den Router(in der Firma) im Firmen*netz* ein. Damit könntest Du also von zuhause jeden einzelnen Rechner in der Firma, soweit dieser über VPN zugelassen ist, erreichen (=> das läuft dann über das Routing in der Firma). Erfordert statische externe IP-Adresse am Firmenrouter.
- Site-to-site: Vollständiger Zugriff auf beide Netze. Transparent in der Form, daß vom Ansprechen her nicht mehr gesehen wird, welcher Rechner wo steht; das Ganze sieht aus wie "ein großes LAN" (mit zwei Subnetzen). Erfordert kompatible Router und statische IP-Adressen nach außen an beiden.
#8
geschrieben 04. Oktober 2016 - 11:03
#9
geschrieben 06. Oktober 2016 - 11:51
route add default gw 192.168.0.1 eth0
das Ganze fast so funktioniert wie gewünscht. Das ist eigentlich das was im System sowieso default ist, aber das ändert sich offensichtlich beim Aufbau der VPN-Verbindung.
Wenn ich nun eine Verbindung aufbaue geht das nicht mehr über VPN sondern wie gewollt über meinen Router. Allerdings dauert der Verbindungsaufbau dreimal so lange wie durch den Tunnel. Irgendwas bremst da.
(Vor der extra Route dauert auch das Anzeigen der Routingtabelle in der Konsole nur einen Wimpernschlag und danach etwa 12 Sekunden bis alle Einträge da sind - 6 Stück statt vorher 5)
Wenn die Verbindung dann da ist, habe ich allerdings meine volle Geschwindigkeit (Speedtest gemacht) Eventuell muß ich »nur« suchen, an welcher Stelle OpenVPN nach dem Tunnelbau, meinen Standardgateway ändert.
und ich muß noch rauskriegen, welche route ich festlegen muß damit Anfragen an 192.168.1.0 auch über VPN gehen, um die anderen Geräte im entfernten LAN anzusprechen. Dann hab ich es.
Dieser Beitrag wurde von Holger_N bearbeitet: 06. Oktober 2016 - 11:58
#10
geschrieben 06. Oktober 2016 - 13:02
Also so, daß jetzt Dein Firmen-DNS versucht, lokal bei Dir aufzulösen und das geht dann natürlich nicht.
Aber, kann natürlich auch was ganz anderes sein.
#11
geschrieben 06. Oktober 2016 - 13:18
Das wäre denkbar, denn ich habe noch etwas anderes probiert. Der neue Opera hat doch eine VPN-Funktionalität integriert (also dieses zum son bißchen Verstecken, um die beiden VPNne jetzt nicht durcheinanderzuwerfen) und wenn ich das benutze, dann geht alles richtig flink. Da denke ich mal dass der Opera für diese Funktion einen eigenen DNS-Server anspricht ohne meinen Tunnel.
Aber was ich nicht verstehe ist, dass wenn ich irgendetwas von dieser Problematik über Google suche (was ich den ganzen Tag mache) dann haben alle das Problem andersrum. Da geht nicht der ganze Verkehr durch den Tunnel und die wollen das aber. Es kann doch nicht bei allen Anderen per default so sein, wie ich es haben will und bei mir ist es per default so, wie die es haben wollen. Das ist seltsam.
Dieser Beitrag wurde von Holger_N bearbeitet: 06. Oktober 2016 - 13:24
#12
geschrieben 06. Oktober 2016 - 23:11
Aber Danke erstmal für den Tip mit den Routen. Das war ja im Prinzip die Lösung, die ja nur so kompliziert ist, weil ich mich zu dusselig anstelle.
Ergänzung: Auf dem Windows-Laptop, war es noch einfacher. Da muß nur ein Häkchen raus bei »alles übers Standardgateway« (oder so ähnlich und die zweite Route mit -p hinzufügen. fertig.
Dieser Beitrag wurde von Holger_N bearbeitet: 08. Oktober 2016 - 11:47
- ← 50Mbit - nur 10 Mbit kommen an und Verbindungsabbrüche
- Netzwerke
- Internet bricht unter Fritzbox 7170 weg →