• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

OpenVPN tunnelung ?

vpnusor

Newbie
Hallo,

ich habe einen OpenVPN Server auf meinen Server installiert und kann über den Windowsclient auch auf diesen connecten.

Ich würde gerne meinen kompletten Internettraffic übern den Server laufen lassen.

Sobald ich mit dem VPN verbunden bin surfe ich aber immernoch über meine Leitung und nicht über den Server (kann ich ganz einfach an der IP sehen).

Welche einstellungen muss ich noch ändern um diese tunnelung zu erreichen ?

mfg
 

noms

Member
Hi!

Welche Version von OpenVPN verwendest Du? Schau dir mal den Parameter:
Code:
--redirect-gateway
in der Doku von Version 2.1.x an: http://openvpn.net/index.php/open-source/documentation/manuals/69-openvpn-21.html

In der server.conf (Example) von Version 2.1.x findet sich dazu folgendes Beispiel:
Code:
# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# or bridge the TUN/TAP interface to the internet
# in order for this to work properly).
;push "redirect-gateway def1 bypass-dhcp"

Viele Grüße,

noms
 

framp

Moderator
Teammitglied
vpnusor schrieb:
... Welche einstellungen muss ich noch ändern um diese tunnelung zu erreichen ? ...
Dazu müssen wir erst einmal wissen was Du konfiguriert hast ;-). Poste doch mal das Ergebnis von
Code:
grep -v "^#\|^;\|^$" /etc/openvpn/server.conf
 
OP
V

vpnusor

Newbie
Super, dies ist glaub ich genau der richtige weg =)
Ich versuch selbst noch etwas die Einstellungen zu bearbeiten, aber kann ich dich vll in icq mal anschreiben, falls ich noch ein Problem habe ?


Sobald ich es hin bekommen habe, werd ich dies hier posten, falls noch jemand so ein Problem hat =)
 
OP
V

vpnusor

Newbie
port 2194
proto udp
dev tun
ca /usr/share/doc/openvpn/examples/easy-rsa/keys/ca.crt
cert /usr/share/doc/openvpn/examples/easy-rsa/keys/server.crt
key /usr/share/doc/openvpn/examples/easy-rsa/keys/server.key # This file should be kept secret
dh /usr/share/doc/openvpn/examples/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3


Meine Config, ich kann mich auch mit dem Server verbinden, anpingen geht auch, muss ich noch meine Routingtabellen ändern ?
push "redirect-gateway" ohne diesen Befehl surfte ich über meine Leitung, jetzt komme ich garnichtmehr ins Internet, also denke ich, dass mich der Server nichtmehr weiterleitet oder ?

Danke schonmal
 

noms

Member
Wie sieht denn Deine Konfiguration im serverseitigen LAN aus? Verwendest Du DHCP oder fixe IP Adressen? Kannst Du vom VPN Client, bei aufgebauter VPN Verbindung außer dem Server noch andere Endgeräte im serverseitigen LAN pingen? Damit dies funktioniert, musst Du noch einen "push route" Befehl in Deiner server.conf hinzufügen und IPV4 Forwarding aktivieren!

Viele Grüße,

Christian
 
OP
V

vpnusor

Newbie
IPV4 Forwarding versuche ich gerade zu aktiviern, habe ich gerade selbst gefunden danke =)
Ich Versuch einfach mal etwas, wird schon werden.

Super Forum, hier wird noch geholfen :D
 

noms

Member
Hi!

Hier ist ein ganz guter Wiki-Beitrag für routed OpenVPN auf Ubuntu! Finde die Anleitung ganz gut und hilfreich: http://wiki.ubuntuusers.de/OpenVPN

Viele Grüße,

Christian

[edit] Ich würde zuerst schauen, dass ich alle im serverseitigen LAN befindlichen Geräte via VPN erreiche und mir erst dann den Parameter "redirect gateway" ansehen! [/edit]
 
OP
V

vpnusor

Newbie
Code:
Sun Jan 10 21:05:37 2010 OpenVPN 2.1_rc22 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 20 2009
Sun Jan 10 21:05:37 2010 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Jan 10 21:05:37 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sun Jan 10 21:05:41 2010 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sun Jan 10 21:05:41 2010 LZO compression initialized
Sun Jan 10 21:05:41 2010 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Jan 10 21:05:41 2010 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Jan 10 21:05:41 2010 Local Options hash (VER=V4): '41690919'
Sun Jan 10 21:05:41 2010 Expected Remote Options hash (VER=V4): '530fdded'
Sun Jan 10 21:05:41 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sun Jan 10 21:05:41 2010 UDPv4 link local: [undef]
Sun Jan 10 21:05:41 2010 UDPv4 link remote: ***.215.245.***:2194
Sun Jan 10 21:05:42 2010 TLS: Initial packet from ***.215.245.***:2194, sid=4132c43c 84d751b5
Sun Jan 10 21:05:43 2010 VERIFY OK: depth=1, /C=de/ST=de/L=de/O=socks-vpn/OU=socks/CN=socks/emailAddress=socks
Sun Jan 10 21:05:43 2010 VERIFY OK: depth=0, /C=de/ST=de/O=socks-vpn/OU=socks/CN=socks/emailAddress=socks
Sun Jan 10 21:05:44 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Jan 10 21:05:44 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Jan 10 21:05:44 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Jan 10 21:05:44 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Jan 10 21:05:44 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Jan 10 21:05:44 2010 [socks] Peer Connection Initiated with ***.215.245.***:2194
Sun Jan 10 21:05:46 2010 SENT CONTROL [socks]: 'PUSH_REQUEST' (status=1)
Sun Jan 10 21:05:47 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.8.10.0 255.255.255.0,route 192.168.20.0 255.255.255.0,redirect-gateway,route 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5'
Sun Jan 10 21:05:47 2010 OPTIONS IMPORT: timers and/or timeouts modified
Sun Jan 10 21:05:47 2010 OPTIONS IMPORT: --ifconfig/up options modified
Sun Jan 10 21:05:47 2010 OPTIONS IMPORT: route options modified
Sun Jan 10 21:05:47 2010 ROUTE default_gateway=192.168.131.254
Sun Jan 10 21:05:47 2010 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{4855FF08-91F2-467A-B268-8BEF03A0E500}.tap
Sun Jan 10 21:05:47 2010 TAP-Win32 Driver Version 9.6 
Sun Jan 10 21:05:47 2010 TAP-Win32 MTU=1500
Sun Jan 10 21:05:47 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {4855FF08-91F2-467A-B268-8BEF03A0E500} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sun Jan 10 21:05:47 2010 Successful ARP Flush on interface [3] {4855FF08-91F2-467A-B268-8BEF03A0E500}
Sun Jan 10 21:05:52 2010 TEST ROUTES: 4/4 succeeded len=3 ret=1 a=0 u/d=up
Sun Jan 10 21:05:52 2010 C:\WINDOWS\system32\route.exe ADD ***.215.245.*** MASK 255.255.255.255 192.168.131.254
Sun Jan 10 21:05:52 2010 Route addition via IPAPI succeeded [adaptive]
Sun Jan 10 21:05:52 2010 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.131.254
Sun Jan 10 21:05:52 2010 Route deletion via IPAPI succeeded [adaptive]
Sun Jan 10 21:05:52 2010 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 10.8.0.5
Sun Jan 10 21:05:52 2010 Route addition via IPAPI succeeded [adaptive]
Sun Jan 10 21:05:52 2010 C:\WINDOWS\system32\route.exe ADD 10.8.10.0 MASK 255.255.255.0 10.8.0.5
Sun Jan 10 21:05:52 2010 Route addition via IPAPI succeeded [adaptive]
Sun Jan 10 21:05:52 2010 C:\WINDOWS\system32\route.exe ADD 192.168.20.0 MASK 255.255.255.0 10.8.0.5
Sun Jan 10 21:05:52 2010 Route addition via IPAPI succeeded [adaptive]
Sun Jan 10 21:05:52 2010 C:\WINDOWS\system32\route.exe ADD 10.8.0.1 MASK 255.255.255.255 10.8.0.5
Sun Jan 10 21:05:52 2010 Route addition via IPAPI succeeded [adaptive]
Sun Jan 10 21:05:52 2010 Initialization Sequence Completed

Dies ist mein Log von dem Windows Client


Code:
port 2194
proto udp
dev tun
ca /usr/share/doc/openvpn/examples/easy-rsa/keys/ca.crt
cert /usr/share/doc/openvpn/examples/easy-rsa/keys/server.crt
key /usr/share/doc/openvpn/examples/easy-rsa/keys/server.key  # This file should be kept secret
dh /usr/share/doc/openvpn/examples/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.8.10.0 255.255.255.0"
push "route 192.168.20.0 255.255.255.0"
push "redirect-gateway"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Und meine Config

net.ipv4.ip_forward=1
Mit dem Befehl, bzw in der Config habe ich hab die Forwardingfunktion aktiviert.

Wieviel muss noch getan werden :p
Sobald man einmal sowas gemacht hat geht es ja, aber so...

Vll kann mir auch kurz jemand in icq helfen : 583195621

Danke Leute
 

noms

Member
Was sagt:
Code:
route print
ipconfig /all
bei aktiver bzw. inaktiver VPN Verbindung am Windows Client?

Viele Grüße,

noms

[edit] Sieh Dir auch das mal an: http://openvpn.net/index.php/open-source/documentation/howto.html#redirect

Hast Du wirklich zwei Netze im LAN? Ich spreche konkret diese zwei Punkte in Deiner Konfig an:
Code:
push "route 10.8.10.0 255.255.255.0"
push "route 192.168.20.0 255.255.255.0"
[/edit]
 
OP
V

vpnusor

Newbie
Code:
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0  192.168.131.254  192.168.131.65       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
    192.168.131.0    255.255.255.0   192.168.131.65  192.168.131.65       20
   192.168.131.65  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.131.255  255.255.255.255   192.168.131.65  192.168.131.65       20
        224.0.0.0        240.0.0.0   192.168.131.65  192.168.131.65       20
  255.255.255.255  255.255.255.255   192.168.131.65  192.168.131.65       1
  255.255.255.255  255.255.255.255   192.168.131.65               3       1
Standardgateway:   192.168.131.254

Code:
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway   Schnittstelle  Anzahl
          0.0.0.0          0.0.0.0         10.8.0.5        10.8.0.6       1
         10.8.0.1  255.255.255.255         10.8.0.5        10.8.0.6       1
         10.8.0.4  255.255.255.252         10.8.0.6        10.8.0.6       30
         10.8.0.6  255.255.255.255        127.0.0.1       127.0.0.1       30
        10.8.10.0    255.255.255.0         10.8.0.5        10.8.0.6       1
   10.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       30
   67.215.245.186  255.255.255.255  192.168.131.254  192.168.131.65       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
    192.168.131.0    255.255.255.0   192.168.131.65  192.168.131.65       20
   192.168.131.65  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.131.255  255.255.255.255   192.168.131.65  192.168.131.65       20
        224.0.0.0        240.0.0.0         10.8.0.6        10.8.0.6       30
        224.0.0.0        240.0.0.0   192.168.131.65  192.168.131.65       20
  255.255.255.255  255.255.255.255         10.8.0.6        10.8.0.6       1
  255.255.255.255  255.255.255.255   192.168.131.65  192.168.131.65       1
Standardgateway:          10.8.0.5

Ich blick da solangsam netmehr durch...viel zuviele Zahlen...commands usw^^

Code:
IP-Adresse. . . . . . . . . . . . : 192.168.131.65
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.131.254
DHCP-Server . . . . . . . . . . . : 192.168.131.254
DNS-Server. . . . . . . . . . . . : 192.168.10.1

Code:
IP-Adresse. . . . . . . . . . . . : 10.8.0.6
Subnetzmaske. . . . . . . . . . . : 255.255.255.252
Standardgateway . . . . . . . . . : 10.8.0.5
DHCP-Server . . . . . . . . . . . : 10.8.0.5
 

noms

Member
Du solltest Deinen Clients noch den DNS Server im serverseitigen LAN mitteilen! Ergänze mal Deine server.cnf um folgende Zeile:
Code:
push "dhcp-option DNS 10.8.0.1"
(die IP Adresse des DNS Servers musst Du allerdings an Deinen des serverseitigen LAN`s anpassen!)
und poste dann nochmal:
Code:
ipconfig /all
bei aktivierter VPN Verbindung!

Viele Grüße,

noms
 
OP
V

vpnusor

Newbie
noms wollte mir über Skype helfen...aber leider kommt er nichtmehr online...

Will mir jemand anderes noch helfen, bzw es eifnach kurz einrichten, gibt auch ein Taschengeld=)
 
Oben