Toon posts:

OpenVPN-server push route geheel subnet

Pagina: 1
Acties:

Vraag


  • RoL0
  • Registratie: Oktober 2010
  • Laatst online: 21:45
Op een remote netwerk (192.168.1.0 range) draait een OpenVPN-server in een Docker-container. Deze OpenVPN-server deelt 192.168.2.0 adressen uit aan clients die verbinden, en pusht bovendien de lokale dns-server (192.168.1.3). Nu wil ik graag dat de server routes pusht naar clients, zodanig dat al het 192.168.1.0-verkeer over de tunnel gaat en in het remote netwerk aankomt. De oplossing die mij hiervoor logisch lijkt is om:
push "route 192.168.1.0 255.255.255.0"
toe te voegen aan mijn OpenVPN-serverconfiguratie. Als ik nu verbind met een client krijg ik inderdaad netjes een 192.168.2.0 adres, zie ik dat mijn DNS op 192.168.1.3 is ingesteld en zie ik met "route PRINT" zelfs de nieuwe route voor mijn lokale verkeer staan (192.168.1.0 255.255.255.0 192.168.2.5 192.168.2.6), echter wordt mijn 192.168.1.0-verkeer nog altijd naar mijn lokale netwerk gestuurd en dus niet naar de VPN.

Vervolgens heb ik geprobeerd een enkel remote IP aan de route-lijst toe te voegen: Als ik "route 192.168.1.1 255.255.255.255" laat pushen, wordt het verkeer hierheen nu wél door de tunnel gestuurd. Hierdoor kwam ik op het lelijke idee om eens te kijken wat er gebeurt als ik elk IP in het subnet los push (192.168.1.1 255.255.255.255, 192.168.1.2 255.255.255.255, ..., 192.168.1.254 255.2555.255.255). Nu wordt al het lokale verkeer zoals gewenst door de tunnel gestuurd.

Nu blijkt dat bij het pushen van het subnet, de metric altijd 1 hoger is dan een andere route die hetzelfde verkeer juist altijd naar de lokale interface stuurt (192.168.1.0 255.255.255.0 On-link 192.168.1.100 metric 266), waardoor deze regel altijd voorrang heeft. Is er een manier om te zorgen dat de VPN-regel voorrang krijgt? (door enkel de server config aan te passen)

Beste antwoord (via RoL0 op 17-10-2018 19:48)


  • Thralas
  • Registratie: December 2002
  • Laatst online: 00:35
Als je het zonder metric wilt proberen is de defacto hack om je route in tweën te splitsen: 192.168.1.0/25 en 192.168.0.128/25. Doet OpenVPN ook voor z'n default gateway routes (redirect-gateway def1).

Alle reacties


  • Thralas
  • Registratie: December 2002
  • Laatst online: 00:35
--route network/IP [netmask] [gateway] [metric]


Gewoon een metric meegeven aan je routecommando.

[Voor 29% gewijzigd door Thralas op 13-10-2018 13:43]


  • RoL0
  • Registratie: Oktober 2010
  • Laatst online: 21:45
Ah, de syntax is natuurlijk anders dan "route add", en dan moet ik ook de gateway meegeven.

Het was eigenlijk zo simpel... Bedankt!

EDIT: Hmm, toch niet. De helft van de keren krijg ik nu de foutmelding:
 Route: Waiting for TUN/TAP interface to come up...

[Voor 34% gewijzigd door RoL0 op 13-10-2018 16:24]


Acties:
  • Beste antwoord
  • 0Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 00:35
Als je het zonder metric wilt proberen is de defacto hack om je route in tweën te splitsen: 192.168.1.0/25 en 192.168.0.128/25. Doet OpenVPN ook voor z'n default gateway routes (redirect-gateway def1).

  • RoL0
  • Registratie: Oktober 2010
  • Laatst online: 21:45
Hé inderdaad! Eigenlijk wat ik al deed, maar dan in tweeën ipv allemaal los ;)
Thx!


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee