OpenVPN - Funktion: redirect-gateway

dcpromo · 12. Februar 2015

Hallo,

ich bin neu im OpenVPN Bereich und verstehe da etwas nicht.

Einstellung OpenVPN im NAS (TS-219P):

Einstellungen Fritzbox (Port-Forwarding)

Erstellte openvpn.ovpn Datei im DSL Client unter %programfiles%\OpenVPN\config

Code

client
dev tun
script-security 3
proto udp
remote  **meine WAN IP zu Hause** 11194
resolv-retry infinite
nobind
ca ca.crt
auth-user-pass
reneg-sec 0
cipher AES-256-CBC
comp-lzo

Alles anzeigen

"fremder" PC worüber Zugriff stattfindet:
IP: 10.10.10.50
Standardgateway: 10.10.10.1
DNS: 10.10.10.1

QNAP TS-219P daheim: 192.168.1.250

VPN DHCP Bereich: 10.5.0.10 - 10.5.0.50

Aktuell kann ich nach der OpenVPN Einwahl einen ping zu meinem Router daheim (192.168.1.254) aber auch zum anderen Router des "Fremd-DSL-PCs" (10.10.10.1) absetzen. Das dürfte doch gar nicht mehr sein wenn die Option redirect-gateway gesetzt ist da jegliche Kommunikation über den VPN-Server laufen sollte.

Ich habe auch schon mal die VPN-Server Funktion deaktiviert und dann noch mal den Haken bei redirect-gateway entfernt, Einstellungen übernommen, wieder eingesetzt, Einstellungen übernommen und dann sogar das NAS neu gestartet. Keine Änderung.

Was mache ich falsch? So ist das nicht korrekt!

Danke und Gruß
Ben

biboca · 12. Februar 2015

Du nutzt den VPN-Server auf dem NAS, um eine sichere Verbindung darauf von unterwegs zu haben. Und öffnest gleichzeitg Tür und Tor zu Deinem privaten Netzwerk, anstatt den VPN-Server der Fritte zu nutzen und so keine unnötigen Ports offen zu haben. Kannst Du das erklären? :shock:

Eraser-EMC2- · 12. Februar 2015

Zitat von "dcpromo"

Aktuell kann ich nach der OpenVPN Einwahl einen ping zu meinem Router daheim (192.168.1.254) aber auch zum anderen Router des "Fremd-DSL-PCs" (10.10.10.1) absetzen. Das dürfte doch gar nicht mehr sein wenn die Option redirect-gateway gesetzt ist da jegliche Kommunikation über den VPN-Server laufen sollte.

Das Verhalten ist doch richtig.
1.) möchtest du mit VPN in das andere Netzwerk gelangen
2.) damit bekommst du auch zwangsläufig Zugriff auf den Router des anderen Netzwerkes.
3.) Sollte die

Zitat von "dcpromo"

Option redirect-gateway

nur den Zugriff auf das Internet steuern,
ob der normale Internet-Traffic durch dein VPN geleitet wird oder nicht.

Fazit: alles in Ordnung

dcpromo · 13. Februar 2015

Hallo und danke für die Rückmeldung.

Ich kenne es vom Cisco VPN so, dass durch eine Einstellung die Kommunikation zum lokalen Netzwerk unterbunden wird. Diese "Einschränkung" möchte ich auch beim OpenVPN vornehmen, sodass nur die Netzwerkkommunikation im eingewählten Heim-LAN, nicht aber mehr im "Fremd-DSL-LAN" möglich ist.

Ich kann die server.conf (Server) sowie die openvpn.ovpn (Client) ja umfangreich bearbeiten, da muss doch bestimmt einige Routingeinträge rein damit jegliche Kommunikation wirklich nur noch über das VPN läuft. Ich denke die server.conf mit "push" Vorgaben wäre am Sinnvollsten. Nur was muss genau rein?

Hier meine server.conf:

Code

port 11194
proto udp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/myserver.crt
key /etc/openvpn/keys/myserver.key
auth-user-pass-verify /usr/sbin/vpn_check_account via-env
client-cert-not-required
username-as-common-name
no-name-remapping
dh /etc/openvpn/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/ipp.txt
push "redirect-gateway def1"
push "dhcp-option DNS 192.168.1.254"
client-to-client
duplicate-cn
keepalive 10 60
reneg-sec 0
cipher AES-256-CBC
comp-lzo
max-clients 5
client-connect /etc/openvpn/connect.sh
client-disconnect /etc/openvpn/disconnect.sh
management localhost 7505
persist-key
persist-tun
status /var/log/openvpn-status.log
#log /tmp/openvpn.log
verb 3

Alles anzeigen

Eraser-EMC2- · 13. Februar 2015

Das ist doch eher die Aufgabe einer Firewall.
Die VPN-Verbindung ist nur ein Netzwerksegment wie das LAN.
Das Routing übernimmt das Verteilen der Daten in die einzelnen Netzwerksegmente.
Wenn du nun über das Routing die Zugriff auf den Router des Fremd-LAN verbietest,
wird auch kein VPN aufgebaut, da das VPN über den Fremdrouter geleitet wird.
Daher müßtest du mittels Firewall bestimmte IP-Adressen und/oder Ports sperren.

gmo18t · 13. Februar 2015

Zitat von "dcpromo"

Aktuell kann ich nach der OpenVPN Einwahl einen ping zu meinem Router daheim (192.168.1.254) aber auch zum anderen Router des "Fremd-DSL-PCs" (10.10.10.1) absetzen. Das dürfte doch gar nicht mehr sein wenn die Option redirect-gateway gesetzt ist da jegliche Kommunikation über den VPN-Server laufen sollte.
Ben

Default-Routen werden nur dann in Anspruch genommen, wenn du Addressen ansprichst,
die N I C H T zu deinen (direkten) Netzwerksegmenten gehören.
In deinem Fall hast du 2 direkte Netzwerksegmente: 10.10.0.0 und 10.5.0.0.
"Default-Routing Kandidaten" sind deshalb nur Addressen ungleich 10.10.x.x
bzw. 10.5.x.x (also z.B. 192.168.1.254, aber N I C H T 10.10.10.1 ) !
(alles unter der Annahme, dass bei dir die Netzmaksen 255.255.0.0 oder 255.255.255.0 sind,
weil ja das Privatnetzwerk 10.0.0.0 von Haus aus Class A (255.0.0.0) ist)

Achtung: In Windows könnten auch mehr als eine Default-Route eingetragen sein !

- GMo -

OpenVPN - Funktion: redirect-gateway

Vulnerability in Download Station

Vulnerability in QuLog Center

Vulnerability in Helpdesk

Vulnerability in curl

WOL aus dem mobilen Netz (sorry, mal wieder)

qnap über Nord VPN

TS253D und 2.5 GBit Switch überträgt Daten nur mit ca. 100 KByte

VPN ohne öffentliche IP

Zu wenig Upload-Geschwindigkeit TS 453

Tschüss QTS --- Ich werde künftig die Firmware von QNAP verweigern

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

Backup vom Smartphone (Android) mit FolderSync

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

Qnap & Syno – USV im Master-Slave-Mode

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur