OpenVPN - Bridged - Gesamten Traffik über OpenVPN funktioniert nicht

[Bad Horse]

Hallo zusammen!

ich habe mir einen bridged OpenVPN Server (Debian 7, OpenVPN 2.2.1) eingerichtet.

Grundsätzlich funktioniert alles.
Nur wenn ich jetzt mit "redirect-gateway def1" den gesamten Traffic über OVPN schicke komme ich nur noch ins heimnetz und nicht mehr ins Internet (ich will aber ins Internet ).

Diese Regel will ich nicht Server-seitig forcieren sondern Client-seitig aktivieren/deaktivieren können.

Habe ich da noch etwas übersehen? Wieso funktioniert das nicht?

Achtung ganz viele configs:

##/etc/network/interfaces
auto lo
iface lo inet loopback

auto eth0
allow-hotplug eth0
iface eth0 inet manual
        broadcast 172.23.42.255
        netmask 172.23.42.0
        dns-nameservers 172.23.42.1
        dns-search lan

# The primary network interface
auto br0
allow-hotplug br0
iface br0 inet static
        address 172.23.42.6
        netmask 255.255.255.0
        network 172.23.42.0
        broadcast 172.23.42.255
        gateway 172.23.42.1
        dns-nameservers 172.23.42.1
        dns-search lan
        bridge_ports eth0 tap0
        pre-up openvpn --mktun --dev tap0
        post-down openvpn --rmtun --dev tap0

##/etc/openvpn/server.conf
mode server
tls-server
port 443
proto udp
dev tap0
ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/supercool.crt
key /etc/openvpn/certs/supercool.key
dh /etc/openvpn/certs/dh2048.pem
tls-auth /etc/openvpn/certs/ta.key 0
ifconfig-pool-persist ipp.txt
cipher AES-256-CBC
comp-lzo
keepalive 10 120
client-to-client
server-bridge 172.23.42.6 255.255.255.0 172.23.42.200 172.23.42.210
push "route 172.23.42.1 255.255.255.0"
push "dhcp-option DNS 172.23.42.1"
max-clients 5
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 4

##Client
remote supercool udp
pull
tls-client
tls-auth ta.key 1
ca ca.crt
dev tap
cert cert.crt
comp-lzo yes
key key.key
cipher AES-256-CBC
redirect-gateway def1

 

[DefCom]

Moin!

setz dein lokalen router als DNS server oder pushe ihn über die config.
Sollte dann laufen,

Gruß

DefCom

 

[TheCadillacMan]

Du pushst als DNS den VPN-Server. Ist dort ein DNS-Forwarder (z. B. dnsmasq) eingerichtet? (Sorry, Interface-Config übersehen).
Eigentlich solltest du gar keinen DNS pushen müssen, da im Bridged-Modus der Client eh alles vom DHCP-Server im "Heimnetz" bekommt.

 

[Bad Horse]

Hallo,

der Router aus dem Heimnetz ist schon als DNS konfiguriert (siehe /etc/openvpn/server.conf - Zeile 19)

DNS funktioniert auch nur ich der rest halt nicht -> http://i.imgur.com/GU47E8a.png

hier nochmal zur info:
OVPN Server: 172.23.42.6
OpenWRT (dns,dhcp, def gw): 172.23.42.1

 

[TheCadillacMan]

Komisch.

Wie sieht denn die Routing-Table auf dem Client aus? Wie sieht ein Traceroute vom Client ins Internet aus?
Zum Router bzw. zum ganzen Heimnetz hast du ja eine explizite Route gepusht. Vielleicht ist die Defaultroute von redirect-gateway falsch.

 

[Bad Horse]

irgendwie stimmt mit den routen hinten und vorne nichts...

der defgw sollte doch 172.23.42.1 sein.. wieso ist hier überall 172.23.42.6 (der OVPN Server) drin?

10.40.* - in dem netz bin ich gerade

netstat -r
Routing tables

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
0/1                172.23.42.6        UGSc            1        0    tap0
default            10.40.0.254        UGSc            2        0     en0
default            172.23.42.6        UGScI           0        0    tap0
10.40/16           link#4             UCS             0        0     en0
10.40.0.254/32     link#4             UCS             2        0     en0
10.40.0.254        8a:**:**:**:**:**  UHLWIi          3        4     en0   1196
10.40.20.125/32    link#4             UCS             1        0     en0
**.***.***.**/32   10.40.0.254        UGSc            1        0     en0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              3   138048     lo0
128.0/1            172.23.42.6        UGSc            1        0    tap0
169.254            link#4             UCS             0        0     en0
172.23.42/24       link#9             UCS             2        0    tap0
openwrt.lan        0:**:**:**:**:**   UHLWIi         17       46    tap0   1197
172.23.42.6/32     link#9             UCS             2        0    tap0
172.23.42.6        link#9             UHLWIi          2        0    tap0

 

[TheCadillacMan]

Ich hab nochmal in der Doku nachgelesen. Da steht zu redirect-gateway:

(3) Set the new default gateway to be the VPN endpoint address (derived either from --route-gateway or the second parameter to --ifconfig when --dev tun is specified).

D. h. redirect-gateway setzt standardmäßig immer den VPN-Server als Default-GW.

Ich sehe zwei Lösungsmöglichkeiten:
1) Du lässt es so wie es ist und aktivierst auf dem Server IP-Forwarding und machst somit den Server zum Internet-Router für deine Clients. Der Traffic ins Heimnetz wäre davon nicht betroffen.
2) Nach der Doku kannst du den GW für die Clients mit der Option "route-gateway 172.23.42.6" am Server ändern.

push "route 172.23.42.1 255.255.255.0"

Das kannst du ganz entfernen, da die Clients sowieso im 172.23.42.0-Netz sind und damit auch keine Route dort hin brauchen.