OpenVPN Split tunnel?

[Derzodaic]

Hallo Leute
Ich suche jetzt seit 2 wochenlang nach einer Losung

Ich mochte ein openVPN Verbindung wo die Client auf die Server im Netzwerk zugreifen konnten aber die restlichen Sachen wie google oder YouTube geht wider über ihre eigene Leitung damit ich traffic spare

Meine Server.conf
local 192.168.188.200
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
route-nopull
route 192.168.188.23
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"
push "route 192.168.188.23 255.255.255.255"
push "route 192.168.188.20 255.255.255.255"
push "route 192.168.188.28 255.255.255.255"
push "route 192.168.188.200 255.255.255.255"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key

Meine Client datai ohne schlussel
client
dev tun
proto udp
remote derzodiac.ts-pc.de 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
block-outside-dns
verb 3
<ca>

Ich habe es geschafft das die Client nur auf die serviere zugreifen konnten
Aber die haben den kein Internet

Wenn es schon so ein Thema geben sollte tut es mir Leite und ich würde mich freuen wenn ihr das Linken konnten

So wie entschuldigen ich mich wenn meine Rechtschreibung und grammatisch schlecht ist habe eine Legasthenie

Ich würde mich über Hilfe Freuen

LG
Zodiac

 

[_anonymous0815_]

push "route 192.168.188.23 255.255.255.255"
push "route 192.168.188.20 255.255.255.255"
push "route 192.168.188.28 255.255.255.255"
push "route 192.168.188.200 255.255.255.255"

Aus den Routen machst Du genau eine und zwar:

push "route 192.168.188.0 255.255.255.0"

Ergänzung (5. Juli 2022)

route-nopull
route 192.168.188.23

Bei den beiden Sachen bin ich mir unsicher, ob die überhaupt in die Config müssen, bei der ersten Option habe ich im Verdacht, dass die Clients die Routen gar nicht übernehmen. Pull bedeutet bei OpenVPN, dass push-Optionen vom Server übernommen werden und nopull müsste das dann eigentlich unterbinden.

Die zweite Option kann weg, sehe darin keinen Sinn.

 

[Derzodaic]

Aus den Routen machst Du genau eine und zwar:

Ich habe das jetzt gemacht und leider hat das nix geändert

Bei den beiden Sachen bin ich mir unsicher, ob die überhaupt in die Config müssen, bei der ersten Option habe ich im Verdacht, dass die Clients die Routen gar nicht übernehmen. Pull bedeutet bei OpenVPN, dass push-Optionen vom Server übernommen werden und nopull müsste das dann eigentlich unterbinden.

Die zweite Option kann weg, sehe darin keinen Sinn.

Und das habe ich mal aus geklamat das hatte ich nur drin weil im Internet so viel Widersprüchliches ist.

meine neue Config ist jetzt

local 192.168.188.200
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
#route-nopull
#route 192.168.188.23
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
#push "def1 bypass-dhcp"
#pull-filter ignore "route-dateway"
push "route 192.168.188.0 255.255.255.0"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun

Aber die Client kommen immer noch nicht ins internet

 

[_anonymous0815_]

Das ist echt seltsam, Du leitest den Datenverkehr ja auch nicht komplett über die VPN-Verbindung und die Verbindung zwischen Client und Server steht auch, ergo muss auch die Verbindung ins Internet klappen. Mir fiele jetzt nur ein, dass irgendwas mit den DNS-Einstellungen noch nicht hin haut.

 

[Derzodaic]

push "route 192.168.188.0 255.255.255.0"

Also Wenn ich das raus nehme Geht halt die Verbindung zu den Servern und in Internet über den VPN Tunnel.
und das mochte ich ja nicht weil Meine 250K Leitung nicht dafür ausreicht 8 Leute darüber laufen zulassen
und das Internet der Client den auf 40K gebremst wird

Ich Hoffe du verstehst mich

LG Zodiac

 

[_anonymous0815_]

ignore-unknown-option block-outside-dns
block-outside-dns

Nimm die Optionen mal bitte aus der Client-Config raus.

Ergänzung (5. Juli 2022)

Ich Hoffe du verstehst mich

Ich denke schon, das Szenario, welches Du über OpenVPN realisieren möchtest, ist eigentlich der Standard. Du möchtest per IP auf Deine Heimserver zugreifen und der restliche Traffic soll über die Client-Internetverbindung laufen. Das habe ich doch richtig aufgefasst, oder?

 

[Derzodaic]

Also so wie es Aussicht hat es geklappt das.

aber das macht er immer auto matisch in die Client Config Rein muss ich halt einfach immer manuell raus loschen

 

[_anonymous0815_]

aber das macht er immer auto matisch in die Client Config Rein

Nutzt Du einen speziellen OpenVPN-Client? Welches Betriebssystem nutzt Du denn für die Clients? Also Windows, Linux, Android... etc?

Ergänzung (5. Juli 2022)

push "route 192.168.188.23 255.255.255.255"
push "route 192.168.188.20 255.255.255.255"
push "route 192.168.188.28 255.255.255.255"
push "route 192.168.188.200 255.255.255.255"

Und ehe ich Dir Dein Sicherheitskonzept durcheinanderbringe: War es so gewünscht, das über VPN explizit nur diese 4 Adressen erreichbar sein sollen?

Ich habe Dir ja den Tipp mit der Route

push "route 192.168.188.0 255.255.255.0"

gegeben. Das hat den Vorteil, dass alle IP-Adressen in diesem Subnetz erreichbar sind, das kann aber natürlich auch ein Nachteil sein, da wäre es gut zu wissen, was Du mit der VPN-Verbindung erreichen möchtest.

 

[Derzodaic]

Nutzt Du einen speziellen OpenVPN-Client? Welches Betriebssystem nutzt Du denn für die Clients? Also Windows, Linux, Android... etc?

Ich habe auf Debian einen Openvpn Server Mit einen installieren- Script das nach dem installieren auch ein Script fürs anlegen neuer Client ist ich werde da mal morgen rein gucken ob ich da die Sachen auch finde
ich habe im installieren- Verzeichnis von openVPN habe ich keine Client config

mit den zweiten lasse ich das erstmal so weil alles in mein netzwerz wo die nicht rauf kommen sollen mit 256bit Passwörtern ist

 

[_anonymous0815_]

Ich habe auf Debian einen Openvpn Server

Na wenn die Clients auch auf Debian-Linux basieren, ist die Sache mit der Config relativ einfach. (Wenn Du Invoke-Zertifikate verwendest)

apt install openvpn

cd /etc/openvpn

#kopieren der funktionierenden Client-Config

touch client.conf

nano client.conf

#einfügen der funktionierenden Client-Config

#Strg + O (Speichern)

systemctl start openvpn@client.service

 

[Derzodaic]

Nein die Clients sind Windows 10 und 11

Aber noch mal ein Fattes Danke
Habe jetzt mit den CMD Kommando tracert den weg der packte geprüft und alles was normal über das Internet gehen soll geht über das Internet und alles was in mein Netzwerk soll geht auch In mein Netzwerk

Danke Danke Danke

LG Zodiac

 

[_anonymous0815_]

Gerne, hab einen schönen Abend.

 

[Derzodaic]

Moin Vielleicht kannst du mir noch noch mal halfen
ich muss es Schafen das über den VPN noch die beiden Seiten laufen

authserver.mojang.com
IP Hinter der DNS
52.84.51.34
52.84.51.42
52.84.51.43
52.84.51.50
sessionserver.mojang.com
IP hinter der DNS
52.222.179.31

 

[_anonymous0815_]

Ich weiß ehrlich gesagt gerade nicht, was genau Dein Problem ist. Kannst Du ein bisschen ausführlicher beschreiben, was genau Du jetzt vor hast?

 

[Derzodaic]

Wenn jemand auf einen minecraft server joint wirt eine Autoresirungs anfragen Bei den beiden seiten uber den VPN tunnel gemacht und da das aber keins der autorisierten IP ist geht das den nicht und die kommen nicht auf den server

 

[_anonymous0815_]

Vielleicht würde es mehr Sinn machen, wenn Du dafür nochmal ein eigenes Thema mit Verweis auf dieses Thema erstellst. Mit den Mechaniken von Minecraft kenne ich mich leider nicht genügend aus.

 

[Derzodaic]

Als gut danke