Openvpn, allen Traffic durch den Tunnel routen

[kait]

Hallo,
meine simpelst Konfiguration:

1. FritzBox 7270 mit Freetz und Openvpn
2. Shared Key
3. Tunnel Konfiguration

Alles was ich will ist all meinen Traffic durch diesen Tunnel zu leiten (Zum Surfen in unverschlüsselten WLANs oder Netzen denen ich nicht vertraue).

Ich kann den Tunnel auch aufbauen, aber es wird nur der Traffic durch den Tunnel geleitet der direkt für den Openvpn Server ist.

Hier meine Server Config:

Code:

root@fritz:/var/mod/etc# cat openvpn.conf 
#  OpenVPN 2.1 Config, Fri Dec 17 20:30:19 CET 2010
proto udp
dev tun
secret /tmp/flash/openvpn/static.key
port 443
ifconfig 192.168.200.1 192.168.200.2
tun-mtu 1500
mssfix
verb 3
daemon
cipher AES-256-CBC
comp-lzo
float
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key
push "redirect-gateway def1"

Hier die des Clients:

Code:

remote xxx.homedns.org
port 443
proto udp
dev tun
ifconfig 192.168.200.2 192.168.200.1
route 192.168.178.0 255.255.255.0
secret "C:\\Documents and Settings\\xxx\\My Documents\\openvpn\\xxx-homedns-org.key"
tun-mtu 1500
comp-lzo
cipher AES-256-CBC
float
mssfix
nobind
verb 3
keepalive 10 240

Wie gesagt, der Aufbau der Verbindung funktioniert. Ich kann die FB unter 192.168.200.1 erreichen. Aber der "normale" Traffic wird nicht durch den Tunnel geleitet.

Jemand eine Ahnung woran das liegen kann?

[sf3978]

... Aber der "normale" Traffic wird nicht durch den Tunnel geleitet.

Jemand eine Ahnung woran das liegen kann?

Evtl. liegt es, am nicht vorhandenen Routing.

[MaxMuster]

Beschreib das bitte mal genauer...

Erstmal: Kannst du von deinem PC (dem OpenVPN-Client) die IP 192.168.178.1 per ping erreichen (sofern das die IP der FB ist)?


Jörg

[µRaCoLi]

Mit static key funktionier push nicht. Du musst redirect-gateway beim Client eintragen. Die Fritzbox weiß dann aber immer noch nicht, dass sie 192.168.200.2 per NAT ins Internet routen soll. Das geht meiner Meinung nach nur mit zusätzlichem iptables.

[kait]

Ich kann die IP 192.168.200.1 anpingen. Die lokalen Netze nicht, weil ich ja nen Tunnel und keine Bridge habe. Oder habe ich da was falsch verstanden?

Das Routing sollte doch eigentlich durch die Option:

push "redirect-gateway def1"

auf den Client gepushed werden.

[MaxMuster]

Das geht nur mit einer "Server Mode"-Config (mit Zertifikaten). So musst du es beim Client eintragen.
Die Route für 192.168.178.1 hattest du aber schon drin (route 192.168.178.0 255.255.255.0)

Siehst du aber auch im Log des Clients, ob da ein "push" ankommt (oder eben nicht) ...

Jörg

[Peter931]

Ich möchte ebenfalls den Client so einrichten, dass der ganze Internetverkehr über die FB läuft.
Reicht es dann aus, dass man beim Client

Code:

redirect-gateway def1

in die Config aufnimmt und die Route

Code:

route 192.168.0.0 255.255.255.0

( Bei mir hat die FB die Adresse 192.168.0.2 )
auf dem Client einrichtet ?

Ansonsten läuft es ( glücklicherweise ) bei mir. Nur den Internet Traffic umleiten halt noch nicht.
Nachdem ich OpenVPN auf dem Client gestartet habe, kann ich www.google.de nicht mehr erreichen. Nur noch die FB.

[MaxMuster]

"redirect-gateway def1" ist richtig und reicht; die Route für 192.168.0.0 ist überflüssig.

Eventuell ist dann dein DNS nicht mehr durch die VPN-Verbindung erreichbar, so das der angepasst werden muss?
Kannst du einfach testen, ob statt "ping heise.de" ein "ping 193.99.144.80" funktioniert.

Dann kannst du von der FB die Box selbst als DNS-Server schicken lassen, oder den Eintrag am Client direkt ändern.