OpenVPN (Client): Verbindung nur für das Netzwerk nutzen

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo,

    ich habe einen Raspbian, hier in meinem lokalen Heimnetzwerk, heute erfolgreich mit meinem OpenVPN-Server (online) verbunden. Augenblicklich gehen alle Verbindungen über den VPN-Server. Das möchte ich allerdings (aus verschindenen Gründen, vor allem aber, um den Traffic auf meinem Server zu schonen) nicht.

    Unter Ubuntu kann ich dafür einen Haken setzen: "Diese Verbindung nur für Ressourcen dieses Netzwerks verwenden". Was muss ich einstellen, um dem Raspi ein ähnliches Verhalten beizubringen?

  • OpenVPN (Client): Verbindung nur für das Netzwerk nutzen? Schau mal ob du hier fündig wirst!


  • Augenblicklich gehen alle Verbindungen über den VPN-Server. Das möchte ich allerdings ... nicht.

    Was muss ich einstellen, um dem Raspi ein ähnliches Verhalten beizubringen?

    Wie sind auf deinem Raspi, die Ausgaben von:

    Code
    route -n
    sudo iptables -nvx -L
    sudo iptables -nvx -L -t nat


    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Mit VPN:

    (ohne VPN sind die Ausgaben identisch, bis auf die Pakete und Bytes in den iptables)


  • Mit VPN:

    Code
    route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 eth0
    192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0

    Bist Du sicher, dass das die routing-Tabelle, mit VPN ist? Wie sind mit VPN, auf deinem Pi die Ausgaben von:

    Code
    sudo netstat -tupan
    ifconfig -a


    ?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample


  • Bist Du sicher, dass das die routing-Tabelle, mit VPN ist?

    Jop,...

    Code
    wget -q -O - http://checkip.dyndns.org | grep -Eo '\<[[:digit:]]{1,3}(\.[[:digit:]]{1,3}){3}\>'


    ...gibt mir die IP von meinem VPN-Server aus. Wenn ich das ohne VPN ausführe, wird mir die IP über den ISP angezeigt.


    Wie sind mit VPN, auf deinem Pi die Ausgaben von:

    Code
    sudo netstat -tupan
    ifconfig -a

    ifconfig -a

    sudo netstat -tupan

    Code
    Active Internet connections (servers and established)
    Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
    ...
    [PROT]        0      0 192.168.178.34:[PORT]    [IP von meinem Server]:[PORT]      ESTABLISHED 4730/openvpn    
    ...

    Sorry, dass ich hier soviel rauslösche, aber das hier ist nunmal ein öffentliches Forum, und prinzipiel sind beide Server über's Internet erreichbar. Helfen dir die Informationen weiter?[/quote]


  • Augenblicklich gehen alle Verbindungen über den VPN-Server.

    Die routing-Tabelle deines Pi zeigt aber nur eine default route über deine FritzBox (192.168.178.1) und das dev eth0. Ich verstehe nicht wie da was über den OpenVPN-Server geht.

    EDIT:

    Mach mal von deinem Pi mit VPN, ein traceroute (z. B. mit mtr) zu heise.de und schau dir die relevanten hops an:

    Code
    mtr -4nr -c 2 -i 2 heise.de

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (26. Oktober 2014 um 20:03)

  • Der erste Hop geht auf 10.8.0.1 und damit direkt auf den VPN-Server

    EDIT: Dein Einwand hat mich stutzig gemacht... ich habe "route -n" noch einmal durchlaufen lassen. Du hattest recht, das war nicht die Ausgabe vom aktivierten VPN. Hier ist die richtige Ausgabe MIT aktiviertem VPN:

    Code
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         10.8.0.1        128.0.0.0       UG    0      0        0 tun0
    0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 eth0
    10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
    [VPNServ]   192.168.178.1   255.255.255.255 UGH   0      0        0 eth0
    128.0.0.0       10.8.0.1        128.0.0.0       UG    0      0        0 tun0
    192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0

    Sorry, für die Verwirrung. Ich hatte das vorhin doppelt gegengeprüft, war aber scheinbar trotzdem nicht sorgsam genug.[/code]

    Einmal editiert, zuletzt von fab23 (26. Oktober 2014 um 21:11)


  • Hier ist die richtige Ausgabe MIT aktiviertem VPN:

    Code
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         10.8.0.1        128.0.0.0       UG    0      0        0 tun0
    0.0.0.0         192.168.178.1   0.0.0.0         UG    0      0        0 eth0
    10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun0
    [VPNServ]   192.168.178.1   255.255.255.255 UGH   0      0        0 eth0
    128.0.0.0       10.8.0.1        128.0.0.0       UG    0      0        0 tun0
    192.168.178.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0

    OK, und welcher Datenverkehr soll jetzt über den VPN-Server gehen und welcher Datenverkehr soll nicht über den VPN-Server gehen?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich brauche das VPN, um von extern (über meinen Laptop der im VPN angemeldet ist), auf bestimmte Dienste der Raspis zuzugreifen (z.B. Zugriff per SSH nur über das LAN und VPN). Die Raspis sollten also nur im VPN erreichbar sein. Der Datenverkehr nach außen sollte im Großen und ganzen weiter direkt über die Fritzbox gehen.


  • Ich brauche das VPN, um von extern (über meinen Laptop der im VPN angemeldet ist), auf bestimmte Dienste der Raspis zuzugreifen (z.B. Zugriff per SSH nur über das LAN und VPN). Die Raspis sollten also nur im VPN erreichbar sein. Der Datenverkehr nach außen sollte im Großen und ganzen weiter direkt über die Fritzbox gehen.

    So richtig verstehe ich dein Anliegen nicht. Du hast einen externen OpenVPN-Server. Der Zugriff per SSH auf deine Raspis, müsste aber nicht zusätzlich noch im VPN erfolgen. Warum hast Du nicht einen OpenVPN-Server auf einem deiner Raspis in deinem (W)LAN? Oder kannst Du nicht direkt aus dem Internet deinen Router erreichen (CGN, DS-Lite, ...)?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ist doch ganz einfach.

    Du Dropst Pakete mit dem Source Interface eth0 und dem Destination Port 22
    Du Erlaubst Pakete mit dem Source Interface tun0 und dem destination Port 22

    jetzt sind nur noch Zugriffe über Openvpn per SSH auf deinen PI möglich.

    ANMERKUNG :
    An dem netfilter würde ich jedoch nur rumspielen wenn ich direkten Zugriff auf die Console des PI habe oder
    einen Cronjob setzen welcher erst mal alle 30 min den Netfilter wieder deaktiviert.
    So hast du spätestens nach 30 min wieder Zugriff auf deinen PI.
    Wenn alles klappt den Cron wieder löschen ;)

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!