[OpenVPN] internetverkeer forceren

ik heb weinig ervaring met openvpn en netwerkrouting, maar wat ik wil moet toch niet zo moeilijk zijn.

op server openvpn geinstalleerd
De server heeft een netwerk kaart met daarin rechtstreeks zijn internet adres:
IP 85.x.x.x
gateway 85.x.x.x
geen router o.i.d. Ook geen firewall

De server heeft ook een OpenVPN TaP netwerk kaart. De server config van openvpn:

remote 84.x.x.x
dev tap
ifconfig 192.168.1.1 255.255.255.0
secret key
ping 10
verb 3
mute 10
push "redirect-gateway def1"
push "dhcp-option DNS 192.168.1.1"
push "route 85.x.x.0 255.255.255.0"

De client is een XP machine verbonden met adsl modem (84.x.x.x) en heeft als Ip instelling:
ip: 10.0.0.2
gateway 10.0.0.138

ook openvpn geinstalleerd en er is een TaP netwerkkaart bijgekomen.
de client config van Openvpn:

remote 85.x.x.x
dev tap
ifconfig 192.168.1.2 255.255.255.0
secret key
ping 10
verb 3
mute 10

Als ik nu op beiden computers openvpn met deze config, dan wordt de verbinding goed opgezet.

Vanuit de server kan ik de client pingen op 192.168.1.2 en vanaf de client de server de server pingen op 192.168.1.1 Ook met de verkenner kan ik \\192.168.1.1\c$ benaderen!

Nu komt het geen wat ik wil bereiken:
- ik wil er absoluut voor zorgen dat al het netwerk/internet verkeer op de client verloopt via de VPN server.
Als ik verbonden ben met de VPN en ik ga naar www.watismijnip.nl laat hij 84.xxx.xxx.xxx zien, terwijl ik wil dat dit 85.xxx.xxx.xxx moet zijn.

Ik dacht dit op te lossen met deze regels:

push "redirect-gateway def1"
push "dhcp-option DNS 192.168.1.1"
push "route 85.xxx.xxx.0 255.255.255.0"

maar dit heeft volgens mij totaal geen effect.

Iemand een idee hoe ik dit kan oplossen? Moet ik op de client met de routetabel aan de gang? of juist op de server?

EDIT in de routetabel komt wel dit te staan:
0.0.0.0 0.0.0.0 10.0.0.138 10.0.0.2 20
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 30

[ Voor 5% gewijzigd door trekker22 op 16-11-2007 13:38 ]

stefklep schreef op vrijdag 16 november 2007 @ 13:55:
Probeer dit eens op je server

local 192.168.1.1
port 1194
proto udp
dev tun0
ca ca.crt
cert server.crt
dh dh1024.pem
key server.key
tls-auth ta.key 0
server 192.168.2.0 255.255.255.0
ifconfig-pool-persist /tmp/ipp.txt
push "dhcp-option DNS 194.109.6.66"
push "dhcp-option DNS 194.109.9.99"
push "dhcp-option DNS 194.109.104.104"
push "route 192.168.1.0 255.255.255.0"
#push "route-gateway 192.168.2.5"
push "redirect-gateway"
keepalive 10 120
comp-lzo
user root
group wheel
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3

en vooral deze regel in je client en op je server is belangrijk. Die zorgt er voor wat jij wilt.

dev tun

met dev tun krijg ik meldingen dat mijn ifconfig niet goed is.

bij tap staat die 192.168.1.1 255.255.255.0
hoe doe je dat bij tun?

EDIT
heb ff een meest eenvoudige static key implementatie gedaan met dev tun:

server config:
dev tun
ifconfig 10.8.0.1 10.8.0.2
secret server.key
push "redirect-gateway def1"

client config:
remote 85.17.213.78
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret key

kan weer pingen en met verkenner mekaar benaderen.

maar een tracert gaat dus eerst langs het adsl modem:

C:\Documents and Settings\ik>tracert nu.nl

Bezig met het traceren van de route naar nu.nl [62.69.184.230]
via maximaal 30 hops:

1 <1 ms <1 ms <1 ms 10.0.0.138
2 7 ms 8 ms 53 ms 195.190.249.42

en daar gaat het dus mis denk ik?

[ Voor 25% gewijzigd door trekker22 op 16-11-2007 14:30 ]

stefklep schreef op vrijdag 16 november 2007 @ 16:46:
Probeer deze 2 regels eens tussen te zetten
push "route 192.168.1.0 255.255.255.0"
push "redirect-gateway"

waarom die range 192.168.1.0?

zou je niet eerder 10.x.x.x. verwachten?

bazkar schreef op donderdag 22 november 2007 @ 17:35:
De VPN route default wordt dus wel toegevoegd in je config, maar met een te lage metric (de 'niet VPN kaart' (10.0.0.2) heeft een default route met metric 20.

Ik ken openVPN niet zo goed, maar als je een route meepushed, kun je misschien ook de metric hiervan meepushen, zodat deze LAGER is dan de metric van 20 voor de default netwerkkaart

ja dat lijkt me wel logisch... en wil ik dus ook doen... want het probleem is er nog steeds

ECHTER als ik google op openvpn push metric


dan kom ik op dit topic uit, en kan zo snel geen andere vinden waar dit wel zou moeten kunnen

Berichten: 532


BerichtGeplaatst: Ma Dec 03, 2007 9:29 Onderwerp: Reageren met citaat Bericht bewerken/verwijderen Bericht verwijderen
word gillend gek...

server config:
--------------
dev tun
ifconfig 10.8.0.1 10.8.0.2
secret server.key
push "route 10.8.0.0 255.255.255.0 10.8.0.1 1"
push "redirect-gateway"

client config:
--------------
remote xx.xx.xx.xx
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret key

verbinding wordt gemaakt, en dan is client ipconfig:
Windows IP-configuratie
Host-naam . . . . . . . . . . . .: pc-joris2
Primair DNS-achtervoegsel. . . . .: onsdomein.local
Knooppunttype: . . . . . . . . . .: onbekend
IP-routering ingeschakeld. . . . .: nee
WINS-proxy ingeschakeld . . . . . : nee
DNS-achtervoegselzoeklijst. . . . : onsdomein.local

Ethernet-adapter LAN-verbinding:

Verbindingsspec. DNS-achtervoegsel:
Beschrijving . . . . . . . . . . .:
Realtek RTL8139 Family PCI Fast Ethernet NIC
Fysiek adres. . . . . . . . . . . : 00-40-F4-7B-CC-FB
DHCP ingeschakeld:. . . . . . . . : nee
IP-adres. . . . . . . . . . . . . : 10.0.0.2
Subnetmasker. . . . . . . . . . . : 255.0.0.0
Standaardgateway. . . . . . . . . : 10.0.0.138
DNS-servers . . . . . . . . . . . : 10.0.0.200
10.0.0.138

Ethernet-adapter LAN-verbinding 3:

Verbindingsspec. DNS-achtervoegsel:
Beschrijving . . . . . . . . . . .:
TAP-Win32 Adapter V8
Fysiek adres. . . . . . . . . . . : 00-FF-A7-8F-29-09
DHCP ingeshakeld. . . . . . . . . : ja
Autom. configuratie ingeschakeld. : ja
IP-adres. . . . . . . . . . . . . : 10.8.0.2
Subnetmasker. . . . . . . . . . . : 255.255.255.252
Standaardgateway. . . . . . . . . : 192.168.1.1
DHCP-server . . . . . . . . . . . : 10.8.0.1
DNS-servers . . . . . . . . . . . : 85.17.96.69
Lease verkregen . . . . . . . . . : maandag 3 december 2007 9:16:13
Lease verlopen . . . . . . . . . : dinsdag 2 december 2008 9:16:13

deze laatste is mijn VPN. en dan is mijn routetable:

Interfacelijst
0x1 ........................... MS TCP Loopback interface
0x2 ...00 40 f4 7b cc fb ...... Realtek RTL8139 Family PCI Fast Ethernet NIC - P
akketplanner-minipoort
0x3 ...00 ff a7 8f 29 09 ...... TAP-Win32 Adapter V8 - Pakketplanner-minipoort
===========================================================================
===========================================================================
Actieve routes:
Netwerkadres Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.0.0.138 10.0.0.2 20
0.0.0.0 0.0.0.0 192.168.1.1 10.8.0.2 30
10.0.0.0 255.0.0.0 10.0.0.2 10.0.0.2 20
10.0.0.2 255.255.255.255 127.0.0.1 127.0.0.1 20
10.8.0.0 255.255.255.252 10.8.0.2 10.8.0.2 30
10.8.0.2 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.0.0.2 10.0.0.2 20
10.255.255.255 255.255.255.255 10.8.0.2 10.8.0.2 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 10.0.0.2 10.0.0.2 20
224.0.0.0 240.0.0.0 10.8.0.2 10.8.0.2 30
255.255.255.255 255.255.255.255 10.0.0.2 10.0.0.2 1
255.255.255.255 255.255.255.255 10.8.0.2 10.8.0.2 1
Standaard-gateway: 10.0.0.138
===========================================================================
Permanente routes:
Geen

en volgens mij omdat deze regel:
0.0.0.0 0.0.0.0 10.0.0.138 10.0.0.2 20
een lagere metric heeft, komt die eerst aan beurt?

en een tracert:

Bezig met het traceren van de route naar nu.nl [62.69.179.230]
via maximaal 30 hops:

1 <1 ms <1 ms <1 ms 10.0.0.138
2 8 ms 8 ms 7 ms 195.190.249.42
3 9 ms 9 ms 15 ms iawxsrt-rt2-bb21-ge-2-1-0.wxs.nl [213.75.64.141]

4 13 ms 11 ms 12 ms br1.ams.terremark.net [195.69.145.48]
5 12 ms 12 ms 12 ms 85.112.0.73
6

en pakt die dus eerst de 10.0.0.138 en dat is ons adsl verbinding, in plaats van de vpn...


HELP HELP HELP Smile

welk netwerk specialist heeft hier verstand van?

is gelukt met deze config:

server

client


De server kan ik dan pingen op 192.168.1.1 en ook via de verkenner benaderen. Echter ik kan dan juist niet op internet.

Dus zit ik nog met 3 vragen/opmerkingen:
1. in de howto staat voor linux:
"On Linux, you could use a command such as this to NAT the VPN client traffic to the internet:
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE"
Hoe doe ik dit op een windows 2003 machine? De NIC van de server staat rechtsstreeks op internet en dus niet zelf achter NAT. (ip = 85.x.x.x)


2. de client krijg volgens mij een "rare" DHCP server en gateway toegekend:

IP-adres. . . . . . . . . . . . . : 192.168.1.6
Subnetmasker. . . . . . . . . . . : 255.255.255.252
Standaardgateway. . . . . . . . . : 192.168.1.5
DHCP-server . . . . . . . . . . . : 192.168.1.5
Waarom zou die 192.168.1.5 als gateway en dhcp krijgen? De server is 192.168.1.1 en is daar ook op te pingen. 192.168.1.5 kan ik op de client ook helemaal niet pingen. Is dit normaal bij OpenVPN?

3. de ipconfig op de server van VPN zit er zo uit:
IP Address. . . . . . . . . . . . : 192.168.1.1
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 192.168.1.2

waarom zou die 192.168.1.2 als dhcp aanhouden? En is er geen gateway nodig?

rdoorn schreef op dinsdag 04 december 2007 @ 09:26:
[...]

Om dat je per PC maar 1 default gateway kunt hebben!
Anders weet je pc helemaal niet waar hij heen moet. (de pc kan zelf niet kiezen wat de beste gateway is)

dat is wel logisch, maar dat 192.168.1.5 vind ik zo'n raar verhaal als default gateway op de client:
routetable


Hij gooit dus alles naar 192.168.1.5, maar dit adres is helemaal niet te pingen of wat dan ook. logisch dat je dan niks meer op internet kan.

Ik kan nergens in mijn instellingen terug vinden waarom die dat als gateway neemt.

kickje

1. niemand een idee hoe ik dat linux routing verhaal omzet in een windows2003 omgeving?

2. waarom krijgt de client een zo rare gateway+dhcp server toegekend.

heb er al een linux expert naar laten kijken, maar die kwam er niet echt verder mee