Vollständigen Traffic über OpenVPN routen

[Individuum1]

Hallo zusammen,

ich nutze auf einem Windows10 den OpenVPN GUI Client in der v11.38.0.0.
Auf einem Ubuntu Server im Internet habe ich einen entsprechenden OpenVPN Server installiert.
Verbindung kann sauber aufgebaut werden und nach außen hin habe ich auch die IP des Servers.

Allerdings sehe ich sowohl in der OpenVPN GUI, noch auf dem Server den entsprechenden Traffic, welchen ich nutze.
Weder Upload noch Download.
Daher habe ich die Vermutung, dass nicht der vollständige Traffic durch den VPN geht - das soll jedoch so sein.
Hat jemand eine Idee, was zu tun ist?

Laut Google soll das einfügen von redirect-gateway def1 in die Konfiguration zielführend sein.
Dies habe ich in der Konfiguration vor dem Zertifikatsbeginn eingebunden; scheint aber nicht zu funktionieren.

Jemand eine Idee?
Beste Grüße

 

[Abe81]

Gibt das Aufrufen von https://www.dnsleaktest.com/ unterschiedliche Adressen aus, je nachdem , ob der VPN an ist oder nicht?

 

[Individuum1]

Ja. Bei aktiviertem VPN die IP des Servers und bei deaktiviertem VPN meine Public IP vergeben durch den Provider.

 

[nosti]

Moin,

OpenVPN sollte beim Verbindungsaufbau zwei Routen in deiner routing Tabelle über das Tunnel-Interface anlegen. Was sagt „Route Print“ auf der Kommandozeile ausgeführt?

Grüße

 

[Asznee]

Würde auch gerne den ganzen Internet Traffic über oVPN laufen lassen aber habe es bis heute nicht hinbekommen. Dachte das geht mit einem Pi aber niemand konnte mir helfen

 

[4nanai]

Siehst du mit vnstat Traffic, wenn du etwas downloadest?

Wenn du den VPN eh gerade erst aufsetzt, würde ich mir auch überlegen das wesentlich performantere Wireguard statt OpenVPN in Betracht zu ziehen.

 

[Individuum1]

Was sagt „Route Print“ auf der Kommandozeile ausgeführt?

Die markierte IP ist die IP vom OpenVPN Server.
Die 10.8.0.X IP's kommen vom OpenVPN Server, welche über DHCP bereitgestellt werden.

Muss ich hier den TUN Adapter noch konfigurieren?

 

[nosti]

Sieht erstmal richtig aus. Es werden zwei Routen erstellt, einmal zu 0.0.0.0/1 und einmal Richtung 128.0.0.0/1, damit sind diese spezifischer als die 0.0.0.0/0 zum Default Gateway und sollten genutzt werden.

was passiert wenn du einen tracert zu einer externen Adresse machst? Zum Beispiel tracert www.Computerbase.de? Kannst du das auch mal hier rein kopieren? Und zusätzlich bitte einmal die OpenVPN Server- und Clientconfig. Die public IP, sowie ggf. Zertifikate kannst du schwärzen.

was nutzt du als VPN Server und in welcher Version kommt OpenVPN da zum Einsatz?

was du machen möchtest geht definitiv.

Grüße

 

[Individuum1]

Sorry für die späte Antwort.

was passiert wenn du einen tracert zu einer externen Adresse machst?

Er löst sauber DNS auf und hat Hops bis zum Webserver. Er routet auch über das Gateway des IP Netzes des Providers, in welchem der VPN Server steht. Von meiner privaten public IP ist nichts zu sehen. Hier das Ergebnis:

Routenverfolgung zu www.computerbase.de [212.83.33.137]
über maximal 30 Hops:

  1    16 ms    14 ms    12 ms  10.8.0.1
  2    22 ms    16 ms    17 ms  185.XXX.XXX.XXX (IP Adresse aus dem Subnetz des Providers, in welchem der VPN steht)
  3    15 ms    28 ms    15 ms  fra4.mx204.as48314.net [45.91.100.4]
  4    15 ms    13 ms    13 ms  fra1.mx240.as48314.net [45.91.100.49]
  5    13 ms    14 ms    15 ms  decix.bb02.net.23m.com [80.81.194.253]
  6    24 ms    21 ms    14 ms  ae1-0.gw02.fra01.net.23m.com [62.113.192.82]
  7    15 ms    16 ms    17 ms  www.computerbase.de [212.83.33.137]

Ablaufverfolgung beendet.

Und zusätzlich bitte einmal die OpenVPN Server- und Clientconfig

Hier die Server Konfiguration (/etc/openvpn/server/server.conf):

local 185.XXX.XXX.XXX
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"
push "block-outside-dns"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
explicit-exit-notify

An der Konfiguration gab es nach der Standardinstallation keinerlei Änderungen.

Hier die Client Konfiguration:

client
dev tun
proto udp
remote 185.XXX.XXX.XXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
verb 3
redirect-gateway def1
<ca>
-----BEGIN CERTIFICATE-----
Entfernt.
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
Entfernt.
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
Entfernt.
-----END PRIVATE KEY-----
</key>
<tls-crypt>
-----BEGIN OpenVPN Static key V1-----
Entfernt.
-----END OpenVPN Static key V1-----
</tls-crypt>

In dieser Konfiguration habe ich die Zeile redirect-gateway def1 hinzugefügt. Die hätte laut Google Suche helfen sollen. Dem ist nicht so

was nutzt du als VPN Server und in welcher Version kommt OpenVPN da zum Einsatz?

Ich nutze OpenVPN in der Version: OpenVPN 2.5.5
Installiert durch das Github Skript von Nyr (https://raw.githubusercontent.com/Nyr/openvpn-install/master/openvpn-install.sh)

 

[Individuum1]

Hat noch jemand eine Idee?
@nosti noch eine Idee?

 

[riversource]

Allerdings sehe ich sowohl in der OpenVPN GUI, noch auf dem Server den entsprechenden Traffic, welchen ich nutze.
Weder Upload noch Download.

Ist das das einzige Problem? Wie hast du das denn festgestellt?

Der Traffic geht für IPv4 offensichtlich durch den VPN Tunnel. Darauf weisen sowohl die DNS Tests als auch die Traceroutes hin. Auch mit Diensten wie "wieistmeineip" kannst du mal mit und mal ohne VPN den Unterschied analysieren.
Bleibt höchstens noch IPv6 als Weg am Tunnel vorbei.

 

[nosti]

Moin,

grundsätzlich sieht deine Config erstmal gut aus. Ich habe parallel mal in meine Prod Config geschaut. Ich pushe den Redirect Gateway über den Server mittels

push "redirect-gateway def1"

Du hast diese Einstellung ja einmal in der Client, sowie einmal in der Server-Config. Nimm mal nur eins von beiden mit rein. Sollte aber keine großen Auswirkungen haben.

Die Routen werden korrekt angelegt und damit sollte es auch entsprechend geroutet werden.
Den Hinweis von @riversource mit IPv6 kannst du dir mal durch den Kopf gehen lassen. Und auch die Info wie du das Problem festgestellt hast wäre interessant.

Grüße