PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : openvpn, routing


deathb
19.02.06, 15:23
hi,

mein netz sieht so aus:

laptop(openvpn client) -> router -> internet -> router(openvpn server) -> internet

server:
openvpn --proto tcp-server --lport 443 --dev tun --ifconfig 10.0.0.1 10.0.0.2 --verb 3 --comp-lzo --secret /etc/openvpn/static.key

client:
openvpn --proto tcp-client --rport 443 --nobind --dev tun --ifconfig 10.0.0.2 10.0.0.1 --verb 3 --comp-lzo --secret /etc/openvpn/static.key --remote metalfan.no-ip.info --redirect-gateway "def1"


route -n ausgabe vor dem start von openvpn:
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.10.2 0.0.0.0 UG 0 0 0 eth0

pakete an 192.168.10.x liegten im lan und werden direkt über eth0 ohne gateway verteilt, pakete an 127.x.x.x gehen an das loopback interface, alles andere "0.0.0.0" wird an den router 192.168.10.2 weitergeleitet - passt das soweit?


openvpnserverip 192.168.10.2 255.255.255.255 UGH 0 0 0 eth0
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.0.0.1 128.0.0.0 UG 0 0 0 tun0
128.0.0.0 10.0.0.1 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.10.2 0.0.0.0 UG 0 0 0 eth0

pakete an "openvpnserverip" werden über eth0 an den router gesendet.
packete an 10.0.0.1 gehen ans tun0 interface, verden also verschlüsselt.
lan pakete behandelt 192.168.10.x, über eth0 ins lan.
127.x.x.x - loopback, siehe oben.

jetzt kommen die 2 zeilen bei denen ich nicht so recht weiss was sie bewirken:
0.0.0.0 - catch all? also alles übers vpn?
128.x.x.x ?
0.0.0.0 - noch ein catch all? würde nicht der erste "catch all" eintrag alles erledigen?


Julius
mbo
20.02.06, 11:39
server:
openvpn --proto tcp-server --lport 443 --dev tun --ifconfig 10.0.0.1 10.0.0.2 --verb 3 --comp-lzo --secret /etc/openvpn/static.key

Proxy tunneln? ;)



client:
openvpn --proto tcp-client --rport 443 --nobind --dev tun --ifconfig 10.0.0.2 10.0.0.1 --verb 3 --comp-lzo --secret /etc/openvpn/static.key --remote metalfan.no-ip.info --redirect-gateway "def1"

Hier setzt Du eine defaultroute.



route -n ausgabe vor dem start von openvpn:
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.10.2 0.0.0.0 UG 0 0 0 eth0

Auf dem Client, oder?



pakete an 192.168.10.x liegten im lan und werden direkt über eth0 ohne gateway verteilt, pakete an 127.x.x.x gehen an das loopback interface, alles andere "0.0.0.0" wird an den router 192.168.10.2 weitergeleitet - passt das soweit?

Ja.



openvpnserverip 192.168.10.2 255.255.255.255 UGH 0 0 0 eth0

Hostroute zum OpenVPN-Server



10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0

Hostroute zum OpenVPNDev auf dem Server



192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Netzroute zum LAN



0.0.0.0 10.0.0.1 128.0.0.0 UG 0 0 0 tun0

DefaultGW über OpenVPNDev auf dem Server gemäß Startkommando



128.0.0.0 10.0.0.1 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.10.2 0.0.0.0 UG 0 0 0 eth0

Die beiden sind interessant. Die erste Route müßt in irgendeinem Script stehen, die zweite ist unlogisch und ... eigentlich gar nicht möglich, denn es gibt nur eine defaultroute.


Und das sind alles Daten vom Client. Du benutzt aber keine config und daemonisierst das OpenVPN zf? Wobei ich aber ehrlich gesagt nicht verstehe, warum Du über OpenVPN mit defaultGW betreibst.

cu/2
deathb
20.02.06, 19:08
ja, alles client daten.
keine config datei.
--redirect-gateway "def1" <- das setzt die default route oder?

nach angabe der manpage ermöglicht dieser parameter das weiterleiten des inet traffics des laptops über die vpn verbindung an den server der wiederum automatisch die inet anfragen erledigt/weiterleitet

also nicht nur eine verbindung zum netz nach hause sondern ein "sicherer" zugang zum internet, jedenfalls die strecke aus dem schul lan nach hause
mbo
20.02.06, 19:11
Und per Definition gibt es nur eine Defaultroute.

Ein Anzeigeproblem kann bei Dir ausgeschlossen werden?


cu/2
deathb
21.02.06, 10:39
anzeigeproblem?
mbo
21.02.06, 10:47
openvpnserverip 192.168.10.2 255.255.255.255 UGH 0 0 0 eth0
10.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 10.0.0.1 128.0.0.0 UG 0 0 0 tun0
128.0.0.0 10.0.0.1 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.10.2 0.0.0.0 UG 0 0 0 eth0


Aua, wo kommt das denn her?


0.0.0.0 10.0.0.1 128.0.0.0 UG 0 0 0 tun0

Das ist so gerissen falsch, daß man es übersehen konnte ;) Jedenfalls ist das keine Defaultroute, sondern einfach nur eine Netzroute und so widerspricht sie ja fast allen anderen routen. Fast schon ein Wunder, daß wirklich noch was geht ...

Bleibt die Frage, wo kommt das her? Sicher, daß Du keine config-Dateien benutzt?


cu/2
deathb
21.02.06, 16:24
ja, in /etc/openvpn/ befinden sich nur log/key datein.