OpenVPN kein "Internet" zugriff?

Dancingsheep

Benutzer
Mitglied seit
22. Okt 2012
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Moin moin,

Nach dem ich ebend Probleme mit dem erstellen des Tunnels hatte, gibt es nun ein neues.
Ich habe bei der Verbindung nur zugriff auf meine Geräte (fritz.box, disksstaion) im Netzwerk, würde aber auch gerne das Internet über den Tunnel erreichen.

Also es geht keine internetverbindung mehr raus sobald der Tunnel bestehet.
Aus der VPN Anleitung die routen hinzufügen habe ich auch schon probiert, funktioniert aber leider nicht.

Betriebssystem ist übrings MacOsx


hier mal ein stück vom Log

Rich (BBCode):
2012-10-22 18:18:37 *Tunnelblick: Flushed the DNS cache
2012-10-22 18:18:37 TUN/TAP device /dev/tun0 opened
2012-10-22 18:18:37 /sbin/ifconfig tun0 delete
                                        ifconfig: ioctl (SIOCDIFADDR): Can't assign requested address
2012-10-22 18:18:37 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
2012-10-22 18:18:37 /sbin/ifconfig tun0 10.8.0.6 10.8.0.5 mtu 1500 netmask 255.255.255.255 up
2012-10-22 18:18:37 /Applications/Tunnelblick.app/Contents/Resources/client.1.up.tunnelblick.sh -m -w -d -atDASNGWrdasngw tun0 1500 1544 10.8.0.6 10.8.0.5 init
                                        add net 79.205.76.196: gateway 192.168.178.1
                                        delete net 0.0.0.0: gateway 192.168.178.1
                                        add net 0.0.0.0: gateway 10.8.0.5
                                        route: writing to routing socket: File exists
                                        add net 192.168.178.0: gateway 10.8.0.5: File exists
                                        add net 10.1.0.0: gateway 10.8.0.5
2012-10-22 18:18:37 WARNING: potential route subnet conflict between local LAN [10.8.0.0/255.255.255.0] and remote VPN [10.8.0.1/255.255.255.255]
 
Mitglied seit
30. Okt 2012
Beiträge
265
Punkte für Reaktionen
0
Punkte
0
Gleiches Problem

Ich habe genau das gleiche Problem. Hat jemand eine Lösung?
 
Mitglied seit
30. Okt 2012
Beiträge
265
Punkte für Reaktionen
0
Punkte
0
Bei mir klappts jetzt. Du musst in der Client Config (openvpn.ovpn) den Befehl "redirect-gateway" auskommentieren mit einem #

Bei mir geht jetzt jeglicher Traffic direkt ins Netz und nur der Traffic der über den VPN-Tunnel muss (z.b. zur Diskstation oder zur fritzbox) geht auch über den Tunnel. Das zeigen mir zumindest die pathpings an.

Viele Grüße
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
hast du denn auch diese Fehlermeldungen im Log?
2012-10-22 18:18:37 WARNING: potential route subnet conflict between local LAN [10.8.0.0/255.255.255.0] and remote VPN [10.8.0.1/255.255.255.255]
das deutet darauf hin, dass auf beiden Seiten des VPNs resp im VPN und einem anliegenden Subnetz, dasselbe Subnetz verwendet wird. Und das geht bei VPN selten gut. Alle beteiligten Subnetze sollten/(müssen) unterschiedliche Subnetze sein. Sonst sind Routingkonflikte vorprogrammiert und die können jeweils sehr merkwürdige Symptome zeigen.
Zudem ist es beim OpenVPN von Synology so, dass Synology das VPN nattet. Das macht es schwieriger Geräte ausserhalb des VPN (und das Internet wäre ja ausserhalb) zu erreichen. Im Wiki steht ein alternativer Weg für OpenVPN wo eben nicht genattet wird. Es müsste eigentlich auch mit der Version von Synology gehen, aber du wirst dabei mit Sicherheit einige NAT Regeln in die Firewall der DS einbauen müssen. Das geht mit Sicherheit nicht via DSM und nur via Kommandozeile. Das wird auf jeden Fall komplexer als der Weg mit dem "alternativen" OpenVPN aus dem Wiki
 
Mitglied seit
30. Okt 2012
Beiträge
265
Punkte für Reaktionen
0
Punkte
0
nein diese Fehlermeldung habe ich nicht. Die hatte ich vorhin mal als ich mich per VPN aus dem gleichen Subnetz verbunden habe - aber das ist dann ja klar. Wenn ich mich aus einem anderen Subnetz verbinde ist die weg.

Ich bin etwas verwundert über Deine Antwort, denn bei mir funktioniert das surfen bei bestehender openVPN-Verbindung einwandfrei - und das nicht über die DS sondern direkt ins Netz (wie oben beschrieben).

Viele Grüße
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
wenn du den redirect-gateway rausnimmst gehst du aber über den lokalen Gateway und nicht den Gateway hinter dem VPN Server ins Netz. Das muss ja gehen ;-) Aber probier mal den redirect Gateway drin zu lassen und dann aufs Internet zu kommen. Das kann ich mit der Version aus dem Wiki ;-)
 
Mitglied seit
30. Okt 2012
Beiträge
265
Punkte für Reaktionen
0
Punkte
0
aber ich will ja gar nicht ins netz hinter dem vpn - das belastet ja nur meinen Tunnel. Es sollen nur die Daten durch den Tunnel die auch müssen. Das nennt sich doch Split-Tunneling oder?! Was sind denn die Vorteile hinter dem VPN ins Netz zu gehen?
 
Mitglied seit
30. Okt 2012
Beiträge
265
Punkte für Reaktionen
0
Punkte
0
achja, wenn ich den redirect Gateway drin lasse geht's natürlich nicht - wie von Dir vermutet :)
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
aber ich will ja gar nicht ins netz hinter dem vpn - das belastet ja nur meinen Tunnel. Es sollen nur die Daten durch den Tunnel die auch müssen. Das nennt sich doch Split-Tunneling oder?! Was sind denn die Vorteile hinter dem VPN ins Netz zu gehen?
der topicstarter wollte aber ins Internet hinter dem OVPN-Server bzw via dem Tunnel ;-)
Der Vorteil um via VPN ins Netz zu kommen? Da gäbe es einige, allerdings hat keiner mit Performance zu tun. Ist sicher deutlich langsamer als direkt ins Netz zu gehen. Hängt entscheidend vom Internet-Anschluss beim OVPN-Server ab. Denn die Daten kommen in dem Fall ja via Tunnel zu deinem Client, also im Upstream deines OVPN-Servers. Also ist die Geschwindigkeit vom Upstream beim Server abhängig. Normalerweise, beim direkten Zugriff, bist du durch den Downstream limitiert und der ist am Homeanschluss (fast) immer deutlich grösser als der Upstream.

Bei den Vorteilen wäre sicher die Verschlüsselung zu nennen. Zudem halte ich es als admin für sinnvoll bei einer bestehenden VPN Verbindung alle Verbindungen durch den Tunnel zu zwingen. Denn sonst könnte es theoretisch sein, dass der Client einerseits im VPN und andererseits mit seinem CC-Server irgendwo in Russland oder China verbunden ist ;-) Wenn alles durch den Tunnel geht, dann hast du auf dem Server noch eine Firewall, die der Client ned beeinflussen kann. Wobei man das mit dem "alles durch den Tunnel" zwingen eher im Geschäftsumfeld macht. Liegt halt daran, dass man selten symetrische Internetanschlüsse zu Hause hat :)
Ich geh z.B. im Urlaub oft via VPN nach Hause und von dort ins Netz. Je nachdem ob ich dem Betreiber des lokalen Netzwerks traue oder ned ;-)
 
Mitglied seit
30. Okt 2012
Beiträge
265
Punkte für Reaktionen
0
Punkte
0
ok das mit dem Sicherheitsaspekt ist einleuchtend. Aber ich denke der Trend geht (auch im Enterpriseumfeld) eher weg vom "alles über den VPN-Tunnel schicken" hin zu neuen Verbindungskonzepten - hier wäre z.B. Direct Access von Microsoft zu nennen. Aber maximale Sicherheit, da stimme ich hier zu, hat man nur wenn man alles über den Tunnel schickt. Aber für Privatanwender die Ihren PC im Griff haben und wissen was sie tun ist Split Tunneling aus meiner Sicht keine Gefahr :)
 

fflasche

Benutzer
Mitglied seit
06. Dez 2011
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
Okay und wie gehts nun alles über das Remote GW? also alles über den Tunnel?
 

fpo4711

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
2.772
Punkte für Reaktionen
1
Punkte
0
Okay und wie gehts nun alles über das Remote GW? also alles über den Tunnel?

Wie schon in #2 beschrieben, das Doppelkreuz vor redirect-gateway in der Client-Konfiguration entfernen.

Gruß Frank
 
NAS-Central - Ihr Partner für NAS Lösungen