Surfen via openVPN in einem Fremdnetz

[rseidewi]

Hallo,

Ich würde gerne via openvpn in irgendeinem Fremdnetz (Hotel-WLAN, Unizugang etc.) im Internet surfen.

Eins vorne Weg per PPTP funtioniert es einwandfrei. Ich bekomme auch per openvpn einen Tunnel hin, so dass ich im Heimnetz machen kann was auch immer ich möchte. Aber ich "komme nicht mehr raus" .

Bestimmt gibt es schon Anleitungen aber meine Suche war bis jetzt ergebnislos.

Danke für eure hilfe.
René

 

[fpo4711]

Bin mir nicht ganz sicher wie Du das meinst. Aber wenn Du möchtest das aller Verkehr über die OpenVPN-Verbindung geht, dann das Doppelkreuz vor #redirect-gateway entfernen.

redirect-gateway

Ansonsten soll nur der Traffic für das Servernetz über die VPN-Verbindung gehen dann

#redirect-gateway

Dieser Parameter sollte in deiner openvpn.conf des Clienten stehen.

Gruß Frank

 

[rseidewi]

Vielen Dank!

Das wars schon

 

[fpo4711]

Bitte, gern geschehen und noch ein nachträgliches Willkommen im Forum.

Gruß Frank

 

[ottosykora]

ich habe auch den Gartenhaag vor dem redirect gateway entfernt, dann Verbindung aufgebaut, dann noch den routig abgesetzt.
Komme nun zwar in das Netzwerk rein, aber weiter nicht.
Also nach draussen von dort geht nichts.

Woran kann das liegen?

 

[fpo4711]

dann noch den routig abgesetzt.
....
Woran kann das liegen?

Was für ein Routing abgesetzt. OpenVPN setzt die Routen automatisch.
Standardgateway auf dem Server eingetragen?

Und natürlich der Klassiker: Subnetz Client ungleich Subnetz Tunnel ungleich Subnetz Server

Gruß Frank

 

[ottosykora]

Was für ein Routing abgesetzt. OpenVPN setzt die Routen automatisch.
Standardgateway auf dem Server eingetragen?

Und natürlich der Klassiker: Subnetz Client ungleich Subnetz Tunnel ungleich Subnetz Server

Gruß Frank

na ja, bei mir, aus welchem Grund auch immer, wird die Route nicht automatisch gesetzt. Ich muss immer zuerst den Route manual extra abgeben, sonst geht nichts.

Netze sind ungleich

Gateway im Server? Hmm, wo genau ?
In dem Control Panel , Network, steht als default Gateway 192.168.110.1, und das ist die Adr des Routers.
Als DNS1: 192.168.110.1 DNS2: 8.8.8.8

 

[ottosykora]

habe es geschafft!
sorry, klar ein kleiner Fehler bei mir: den VPN client und den route add Befehl muss ich beides als Admin unter w7 ausführen, sonst klappt nur die Hälfte.
Ich kann wohl den VPN als restricted user starten, aber dann den route add nicht dazu geben.

Wenn ich beides als Admin starte, dann surfe ich mit der IP des Anschlusses mit dem DS drin.
Da geht dann auch Skype etc, welches in vielen Ländern gesperrt ist etc.

 

[fpo4711]

den VPN client und den route add Befehl muss ich beides als Admin unter w7 ausführen, sonst klappt nur die Hälfte.

Wenn Du den VPN-Clienten als Administrator ausführst, werden die Routen automatisch gesetzt. Hier werden diese von OpenVPN an den Clienten "gepusht". Auch nur als Administrator funktioniert redirect-gateway. Und nur aus diesem Grund sind auch die Administratorrechte auf dem Clienten nötig, denn für beide Befehle braucht Windows Administratorrechte. Eine zusätzliche Definition von Routen ist nicht nötig.

Gruß Frank

 

[ottosykora]

also nicht alles geht wie erwartet.

Ich kann skype einschalten und das geht auch.
Ich kann myip.ch rufen und es zeigt auch die IP des Anschlusses.
Aber kann keinen Kontakt zu Mailserver (gmx) gerstellen, einge Websites gehen, andere jedoch nicht.

Woran kann es leigen? Etwas mit dem DNS?

 

[ottosykora]

Aus welchem Grund auch immer, bei mir muss ich immer route add nachträglich schicken, sonst wird es nicht eingetragen. Warum das so ist weiss ich nicht, es ist und immer so bei mir auf meinem w7 starter.
Wenn ich einfach nur den Client und dann die Verbindung starte, ist die Route zu dem 192.168.110.0 nicht in der Tabelle der Routen eingetragen. Erst wenn ich es manuell schicke, ist es drin und ich kann erst dann auf das Netz von DS zugreifen.

 

[ottosykora]

Nicht alles kann ich genau interpretieren in dem Log. Ich weiss nicht warum etwas geht und etwas nicht.
Hier Log der letzten Verbindung, hat danach nicht alles funktioniert.

Fri Aug 09 10:09:14 2013 OpenVPN 2.3.1 i686-w64-mingw32 [SSL
(OpenSSL)] [LZO] [PKCS11] [eurephia] [IPv6] built on Mar 28 2013
Enter Management Password:
Fri Aug 09 10:09:24 2013 WARNING: No server certificate verification
method has been enabled.  See http://openvpn.net/howto.html#mitm for
more info.
Fri Aug 09 10:09:24 2013 NOTE: the current --script-security setting
may allow this configuration to call user-defined scripts
Fri Aug 09 10:09:25 2013 UDPv4 link local (bound): [undef]
Fri Aug 09 10:09:25 2013 UDPv4 link remote: [AF_INET]188.61.47.101:1194
Fri Aug 09 10:09:25 2013 WARNING: this configuration may cache
passwords in memory -- use the auth-nocache option to prevent this
Fri Aug 09 10:09:26 2013 [Snake Oil CA] Peer Connection Initiated with
[AF_INET]188.61.47.101:1194
Fri Aug 09 10:09:31 2013 RESOLVE: Cannot resolve host address: ADD:
Der angeforderte Name ist gültig, es wurden jedoch keine Daten des
angeforderten Typs gefunden.
Fri Aug 09 10:09:31 2013 OpenVPN ROUTE: failed to parse/resolve route
for host/network: ADD
Fri Aug 09 10:09:31 2013 do_ifconfig, tt->ipv6=0,
tt->did_ifconfig_ipv6_setup=0
Fri Aug 09 10:09:31 2013 open_tun, tt->ipv6=0
Fri Aug 09 10:09:31 2013 TAP-WIN32 device [LAN-Verbindung 2] opened:
\\.\Global\{5C6E00A3-253B-4F3E-A737-1DCB1CCDAC97}.tap
Fri Aug 09 10:09:31 2013 Notified TAP-Windows driver to set a DHCP
IP/netmask of 10.8.0.6/255.255.255.252 on interface
{5C6E00A3-253B-4F3E-A737-1DCB1CCDAC97} [DHCP-serv: 10.8.0.5,
lease-time: 31536000]
Fri Aug 09 10:09:31 2013 Successful ARP Flush on interface [23]
{5C6E00A3-253B-4F3E-A737-1DCB1CCDAC97}
Fri Aug 09 10:09:36 2013 Initialization Sequence Completed

 

[jahlives]

Fri Aug 09 10:09:31 2013 OpenVPN ROUTE: failed to parse/resolve route for host/network: ADD

da gibt es scheinbar ein Problem mit der Route. Was für eine Route wolltest du denn setzen?

 

[ottosykora]

habe das hier auch schon in dem config am Ende stehen, aber es geht irgendwie nicht, darum muss ich auch noch dise Zeile in einem .bat auf dem Desktop lagern und von Hand noch auslösen.
Habe versucht es in dem config wegzunehmen, aber es macht kein Unterscheid.

route add 192.168.110.0 mask 255.255.255.0 10.8.0.5


Merkwürdig ist, dass es ab und zu geht, meistens jedoch nicht richtig.

 

[jahlives]

das mit Routen und OVPN hat so seine Tücken, das kenn ich ;-) v.a. dann wenn der Gateway für die Route selber eine OVPN Adresse ist. Kann gut sein, dass das Interface noch nicht vollständig oben ist, dann kann man keine Route auf den Gateway setzen, weil das Netz noch gar nicht bekannt ist.
Ich mache bei all meinen OVPN-Clients das Routing durch die sogeannten ccd Files. Setzt allerdings Zertifikate voraus. Dort drin kann man auch Routing-Befehle absetzen und die kommen erst zum Tragen wenn der Client vollständig da ist (http://openvpn.net/index.php/open-source/documentation/howto.html#scope)

 

[fpo4711]

Es tut mir leid aber die Erfahrungen von jahlives konnte ich bis jetzt noch nicht machen. Wichtig war nur immer eine saubere Konfiguration und dann lief es auch einwandfrei. Weshalb ich hier mal ein paar Configs zusammengestellt habe. Ich gehe davon aus, das der Server das Netz 192.168.110.0/24 hat und Du gern den DNS auf der Serverseite nutzen willst. In diesem Fall unter der IP 192.168.110.254 zu erreichen. Müßte dann gegebenfalls angepaßt werden. Achtung die "dhcp-option" würde Konfigurationsänderungen auf der VPN-Serverseite durch die GUI von Synology wahrscheinlich nicht überleben, deshalb hier dann nur den Server über die GUI starten bzw. stoppen. Script befindet sich unter /var/packages/VPNCenter/etc/openvpn/openvpn.conf

push "route 192.168.110.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
push "dhcp-option DNS 192.168.110.254"
dev tun

management 127.0.0.1 1195
server 10.8.0.0 255.255.255.0

dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh2048.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5
comp-lzo
persist-tun
persist-key
verb 3

#log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 3600

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf 
client-cert-not-required 
username-as-common-name
duplicate-cn

Auf der Clientseite sollte die Config folgend aussehen. Adresse ist natürlich anzupassen.

dev tun
tls-client
remote YOUR_SERVER_IP 1194
redirect-gateway
pull
proto udp
script-security 2
ca ca.crt
comp-lzo
reneg-sec 0
auth-user-pass

Also wenn das nicht spielt, dann weiß ich auch nicht.

Gruß Frank

Edit: Und natürlich nicht vergessen den VPN-Clienten als Administrator auszuführen.

 

[jahlives]

@fpo4711
vielleicht habe ich den TS auch missverstanden, nicht auszuschliessen ;-)
Aber sein Route Kommando sagte mir: er will eine Route auf dem OpenVPN Server (10.XX) welche ein entferntes Netz (192.168.110.0/24) HINTER einem OPEN-VPN-Client (10.0.8.5) erreichbar macht. Eine solche Route kann der Server nicht pushen, weil er ja nicht weiss wer der Gateway ist. Dort braucht es dann die ccd Files, damit der Server wissen kann hinter welchem Client welche weiteren Netze erreichbar sind.
route Statements in der Server Konf kontrollieren das Routing zwischen Kernel und OVPN-Server und iroute Statements (in den ccd Files) das Routing zwischen OVPN-Server und OVPN-Clients. Wenn man "hinter" einen Client routen will braucht es beide.

Aber wie gesagt vielleicht habe ich den TS auch ganz falsch verstanden

Gruss

tobi

 

[fpo4711]

@jahlives
Bin mir sicher wir beide wissen wie es läuft.

Und manchmal treffen ja auch Philosophien aufeinander. Es gibt sicherlich Einige die sagen würden, definier doch den DNS in der Client-Config... Da hab ich schon Sodbrennen. Geht, klar, aber wenn man das zu Ende denkt braucht der Client bei oben genannter Konfiguration über das Servernetz wenig zu wissen. Aber wie gesagt, ein bischen penibel. Muß man ja nicht so machen - sollte nur ein Vorschlag sein.

Und wie wahrscheinlich schon einige wissen, ich bin gerade durch diese push/pull Problematik ein absoluter Fan von OpenVPN. Mein heutiges Outing, mal sehen was morgen kommt.

Ich denke mal auch, das dies durch irgendwelche separat definierten Routen zustande kommt - schauen wir mal was raus kommt. Mich hatte ehrlich gesagt auch die 10.8.0.5 etwas gewundert.

Gruß Frank

 

[jahlives]

Mich hatte ehrlich gesagt auch die 10.8.0.5 etwas gewundert.

wegen der 5 habe ich gedacht, da soll ne Route auf einen OVPN-Client gemacht werden.
Die entscheidende Frage ist: wo befindet sich das 192-er Netz vom OVPN-Server aus betrachtet. Lokal oder remote. Wenn es remote ist, dann wäre mir kein Weg ohne ccd bekannt. Bei lokal ist dein Weg mit dem push die Lösung

@TS
das kannst nur du klären remote oder lokal?

 

[fpo4711]

@TS
das kannst nur du klären remote oder lokal?

Ja, hilf uns, sonst können wir für nichts garantieren. Wir würden sonst eine KI in der Cloud installieren die nach Ottosykora und verschlüsselten Übertragungen fanden müßte. Dabei würde uns natürlich Edward helfen.

@TS
Scherz beiseite, wäre schön wenn Du uns deine Ergebnisse mitteilen würdest. Wir können sonst nicht schlafen.

Gruß Frank