OpenVPN: kompletten Traffic durch den Tunnel?

[honu]

Hi!
Ich habe ein bisschen mit dem (Open-)VPN Server der DS gespielt und ihn nach der community Anleitung eingerichtet (und ein Windows 8 Notebook als client). Läuft alles wunderbar, d.h. wenn ich mit UMTS Verbindung und aktiviertem OpenVPN Tunnel meine lokale 192.xxx.xxx Adresse im Browser eingebe erreiche ich meine DS wie von zu Hause. Nur Port 1194 UDP ist am Router freigegeben.
Nun wollte ich mal experiementieren mit der Funktion den gesamten Internet-Traffic durch den Tunnel zu schieben. Dazu habe ich in der openvpn.ovpn-datei die Raute vor dem #redirect-gateway Befehl entfernt. Verbinde ich mich nun mit dem VPN, dann wird der Tunnel fehlerfrei aufgebaut und ich komme auch weiterhin mit der 192.xxx.xxx auf meine DS; ich bin also im lokalen Netz. Versuche ich jetzt eine Internetseite aufzurufen (sagen wir www.google.de) klappt das allerdings nicht. Windows meldet auch, ich hätte nur eingeschränkte Konnektivität, also nur im lokalen Netz, nicht aber eine Internetverbindung.

Was läuft da schief?


Viele Grüße und Danke!!


PS: Ich habe auf meinem Android das ganze auch mal probiert mit der App "OpenVPN für Android". Dort wird nicht die .ovpn Datei eingelesen sondern nur das Zertifikat (ca). Weitere Einstellungen nimmt man dann in der GUI der App vor. Wie dem auch sei, auch hier habe ich das gleiche Problem: Aktiviere ich die Funktion "Benutze Default Route - Leitet allen Internet Verkehr über das VPN", dann kann ich zwar über die lokale 192.xxx.xxx auf die DS zugreifen, nicht jedoch aufs Internet (Fehler: "Webseite nicht verfügbar. Kontrollieren Sie ihre Internetverbindung" o.ä.). Der "Fehler" scheint also tatsächlich in der DS bzw. meinem lokalen Netz zu liegen bzw. an der Konfiguration des ganzen...

 

[honu]

Habe gerade noch die offizielle Anleitung gefunden:
http://openvpn.net/index.php/open-source/documentation/howto.html#redirect

Das werde ich morgen erstmal so probieren Ich dachte irgendwo gelesen zu haben, dass man nur die # vor redirect-gateway entfernen müsste, aber so einfach scheint es dann doch nicht zu sein...

 

[Tuba123]

Hallo Honu, ich würde gerne wissen, ob du das hinbekommen hast? Ich nutze den OpenVPN GUI client auf meinem WIN7 und kann extern auf meine Syno DS412+ bei meinen Eltern über VPN verbinden, jedoch habe ich dann kein Internet. Ich habe mir deinen Link "Routing all client traffic (including web-traffic) through the VPN" angeschaut. jedoch habe ich das nicht hinbekommen. Ich finde einfach nicht die richtige Konfiguration.

 

[honu]

Leider nicht so ganz richtig. Ich habe mein Profil auf meinem iPad und Android Phone probiert; bei beiden reicht der redirect-gateway Befehl aus, um Zugriff auf die DS und Internet durch den Tunnel zu bekommen. Verwende ich das gleiche Profil auf meinem Windows 8 Notebook, bekomme ich zwar eine Verbindung zur DS aber das Internet geht nicht. Ich habe bisher nicht weiter nachgeforscht, was hier das Problem sein könnte. Falls du was findest, würde ich mich über eine Lösung freuen...

Viele Grüße!

 

[fpo4711]

Hallo,
ich weiß zwar nicht warum viele hier lokale IP's aus-'x'sen müssen, aber wird schon seinen Grund haben. Ansonsten erstmal die oberste Grundsatzfrage ist auch wirklich

Quell-Subnetz ungleich Tunnel-Subnetz ungleich Ziel-Subnetz.

Gern wird nämlich Ziel- und Quellrechner ins gleiche Subnetz gesetzt, was dann häufig zu Problemen führt.

Gruß Frank

 

[joku]

Hallo, vielleicht hilft das hier weiter
OpenVPN kein "Internet" zugriff?

Gruß Jo

 

[honu]

Hallo, vielleicht hilft das hier weiter
OpenVPN kein "Internet" zugriff?

Gruß Jo

Wenn man Ahnung hätte, würde das wahrscheinlich sehr weiter helfen Mein Problem hier ist, dass ich von Netzwerk wenig Ahnung habe. Daher hätte ich zwei Fragen dazu:
1. Was genau ist das Subnetz? Ich habe gerade mal den Wikipedia Artikel überflogen, aber so richtig schlau werde ich nicht. Hat vielleicht jemand einen Link rund ums Thema Netzwerk, was das alles oberflächlich aber ausreichend erklärt (hab leider gerade nicht die Zeit, hier richtig tief einzusteigen)?
2. und die noch wichtigere Frage: Was und an welcher Stelle muss ich nun also Anpassungen vornehmen?

Noch kurz zu meiner Konfiguration: Ich habe einen Router (Speedport), der die IP 192.168.2.1 hat. Das ist, soweit ich weiß, das Standardgateway. Die Synology hat die feste IP von 192.168.2.99, während alle anderen Geräte sich ihre IPs über DHCP im Bereich 192.168.2.100 bis 199 holen.
In der von der DSM erzeugten Server-conf von OpenVPN finde ich folgendes bezüglich IPs:

push "route 192.168.2.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
management 127.0.0.1 1195
server 10.8.0.0 255.255.255.0

Wo müsste ich also ran?

 

[joku]

1. Was genau ist das Subnetz?

Mit Hilfe der Netzmaske kannst Du ein Netz unterteilen in Subnetze.
zB 192.168.2.0 Netzmaske 255.255.255.252 , das sind 64 Subnetze.
Netzwerk-Adresse
192.168.2.0
Zwei Hosts in diesen Subnetz
192.168.2.1 - 192.168.2.2
Broadcast-Adresse
192.168.2.3
Bei eine Netzmaske 255.255.255.0
kannst Du 254 Hosts verwenden, 0 ist Netzwerk und 255 Broadcast

2. und die noch wichtigere Frage: Was und an welcher Stelle muss ich nun also Anpassungen vornehmen?

Mal die openvpn.ovpn ansehen
ipv4 settings - routes - use this connection only for resources on its network
Vpn-Verbindung schiesst mein Internet ab

Gruß Jo

 

[gobbli]

Hi,

haste auch im Router die "static route" eingetragen? Ohne Rückroute weiss deine Router nicht wohin mit den Datenpaketen aus dem openvpn Netzwerk.

Z.B.

vpn Netzwerk: 10.8.0.0 / 255.255.255.0
Router: 192.168.2.1
DS: 192.168.2.10

Dann musste im Router als "static route" folgendes eintragen:

Netzwerk: 10.8.0.0
Netzmask: 255.255.255.0
Gateway: 192.168.2.10

Vielleicht hilfts ja.

Gruß,

-Gobbli-

 

[sugxgus]

Hallo

Bei mir läuft OpenVPN doch ich habe auch das Problem das nicht der ganze Verkehr über den Server läuft.

Ich habe in meiner "server.conf" den Eintrag

push "redirect-geteway def1 bypass-dhcp"

aktiviert doch es klappt noch nicht. Ist der Befehl falsch oder muss ich noch mehr einstellen?

Vielen Dank

Gruss

 

[joku]

Bei mir läuft OpenVPN doch ich habe auch das Problem das nicht der ganze Verkehr über den Server läuft.

Ich habe in meiner "server.conf" den Eintrag

Hallo, das Doppelkreuz vor redirect-gateway in der Client-Konfiguration entfernen. Gruß Jo

 

[sugxgus]

Ja klar, habe jetzt mal noch

push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"

eingetragen, doch wenn ich dann im browser auf "showmyip.com" kommt nicht die öffentliche IP meines Router sondern was anderes. Stelle ich eine Verbindung über L2TP her dann kommt die IP von meinem Router, also irgend etwas läuft da noch falsch.

Viele Grüsse

 

[joku]

wenn ich dann im browser auf "showmyip.com" kommt nicht die öffentliche IP meines Router sondern was anderes.

Hallo, wir sind beim Client, nicht das ich was falsch verstehe
Du befindest Dich ausserhalb Deines Netzes ?
Hast die #5 von Frank beachtet ?
und das ist meine openvpn.ovpn

dev tun
tls-client
remote mein.synology.me 1194
#float
redirect-gateway
#dhcp-option DNS DNS_IP_ADDRESS
pull
proto udp
script-security 2
ca ca.crt
comp-lzo
reneg-sec 0
auth-user-pass

Gruß Jo

 

[sugxgus]

Hallo

Ich glaube ich sehe vor lauter Bäume den Wald nicht mehr!

Verstehe ich das nun richtig, auf dem SERVER ist dies mal korrekt

push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"

und auf dem Client muss ich noch

dhcp-option DNS 192.168.1.1

192.168.1.1 ist mein Router und DNS Server.

Stimmt das so?

Vielen Dank

Gruss

 

[joku]

Ich glaube ich sehe vor lauter Bäume den Wald nicht mehr!
Verstehe ich das nun richtig, auf dem SERVER ist dies mal korrekt

Ok, ich rede von einem Client, welcher auf einem PC eingerichtet ist zB.
Die Diskstation hat auch einen Client und einen Server.
Damit der gesamte Verkehr über den Tunnel geht, ist in der Client Einstellung,
nur der Eintrag redirect-gateway wichtig.
Das beste ich alles ausserhalb Deines Netzes testen.

Gruß Jo

 

[sugxgus]

Bingo genau der redirect-gateway war es!

Vielen herzlichen Dank

 

[joku]

Bingo genau der redirect-gateway war es!

Vielen herzlichen Dank

Da stehen die Bäume wieder im Wald
Bitte

Gruß Jo

 

[sugxgus]

Hallo

Ein kleines Problem habe ich noch und zwar wenn ich bei einer bestehenden VPN-Verbindung einen internen Dienst über meinen internen DNS-Name (z.B. nas.mydomain.local) aufrufen möchte klappt es nicht, mache ich den Aufruf über die IP klappt es. Somit denke ich wird irgendwie mein interner DNS (Router) nicht erkannt. Auf meinem Router sind 3 DNS eingetragen.

1. interne DNS
2. DNS1 von meinem Provider
3. DNS2 von meinem Provider

Muss ich nun vielleicht in der OpenVPN server.conf oder client.conf noch meinen DNS (Router) eintragen? Falls ja wo?

Aktuell ist auf meinem Server

push "redirect-gateway"

aktiv und auf dem Client

redirect-gateway

Ich hoffe ich finde den Fehler für dieses Problem auch noch.

Vielen herzlichen Dank

Gruss

 

[joku]

Somit denke ich wird irgendwie mein interner DNS (Router) nicht erkannt. Auf meinem Router sind 3 DNS eingetragen.

1. interne DNS
2. DNS1 von meinem Provider
3. DNS2 von meinem Provider

Hallo,
1. Wo ist der DNS ?
Wo fragt die Diskstation nach ?
Hast Du da manuell einen DNS Server eingetragen ?
Wenn ja, welchen ?

Gruß Jo

 

[sugxgus]

Hallo

Auf dem Router (IP 192.168.1.1) ist der DNS und die DiskStation bekommt die IP fix auch von dort (Router). Also mein Router hat alle DNS und macht auch DHCP und teile der Diskstation eine fixe IP zu und somit denke ich müsste doch beim Server oder Client (OpenVPN), oder auch beiden wohl auch irgend ein DNS eingetragen werden.

Ich habe da im OpenVPN Forum (HowTo) folgendes gefunden.

When redirect-gateway is used, OpenVPN clients will route DNS queries through the VPN, and the VPN server will need handle them. This can be accomplished by pushing a DNS server address to connecting clients which will replace their normal DNS server settings during the time that the VPN is active. For example:

push "dhcp-option DNS 10.8.0.1"
will configure Windows clients (or non-Windows clients with some extra server-side scripting) to use 10.8.0.1 as their DNS server. Any address which is reachable from clients may be used as the DNS server address.

Bei mir auf dem Client ist ja redirect-gateway aktiv und somit weiss ich nicht ob ich nun auf der Server Seite

push "dhcp-option DNS 192.168.1.1"

eintragen muss damit dieser dann meine internen Adressen (nas.mydomain.local) auflösen kann.

Viele Grüsse