uwe112
Anmeldungsdatum: 11. Februar 2017
Beiträge: 21
|
Hallo Allerseits, Nach Stunden googlen stelle ich mal hier die Frage: Ich habe einen VPN (IPSEC über/zur Fritzbox) eingerichtet. Dieser funktioniert soweit gut. Nun möchte ich die VPN-Verbindung nur für den Ziel-IP-Bereich 192.168.x.x/24 (Wartung, Remote) nutzen, der Rest soll ohne VPN "direkt" ins WWW gehen. Ich habe bis jetzt im Prinzip verstanden, dass ich das irgendwie "umrouten" muss, aber das "WIE und WO" erschließt sich mir nicht wirklich. Kann mir jemand da weiterhelfen oder mir noch ein paar Suchbegriffe "zuwerfen" ? Ich will ja auch was lernen. 😉 Danke im Voraus!
|
hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Hallo, wenn man davon ausgeht, dass VPN nur zwischen zwei Netzen funktioniert, die unterschiedliche Netze hinten den beiden VPN Punkten haben, erübrigt sich eigentlich die Frage. Beispiel: Netz A) 192.168.x.x VPN-Router ––– Internet ––- VPN-Router 192.169.x.x Netz B) nur mal grob aufgezeigt, da ich mit dem Hund raus muss 😉 Alles was aus netz A die IP Range 192.169.x.x anspricht, geht durchs VPN - und umgekehrt, alles andere direkt ins INternet. Das machen die Router (ich spreche jetzt von FritzBoxen) intern - darum auch Router.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13893
|
uwe112 schrieb: Ich habe einen VPN (IPSEC über/zur Fritzbox) eingerichtet. Dieser funktioniert soweit gut. Nun möchte ich die VPN-Verbindung nur für den Ziel-IP-Bereich 192.168.x.x/24 (Wartung, Remote) nutzen, der Rest soll ohne VPN "direkt" ins WWW gehen.
Wie sind mit der VPN-Verbindung, die Ausgaben von:
ip a
ip r
route -n
?
|
uwe112
(Themenstarter)
Anmeldungsdatum: 11. Februar 2017
Beiträge: 21
|
Die Ausgaben reiche ich nach, wenn Ich wieder am PC bin. Zum Verständnis:
Ich wählte mich von "Aussen" mit dem VPN auf die FB ein. Und dieser Tunnel transportiert alle Anfragen/Pakete über die Fritzbox und von dort ins Internet. Dies soll aber nicht so sein. Es sollen nur Pakete mit Adressberich 192.169.x.x/24 über den VPN gehen.
Alle anderen Adressen sollen über den "kurzen" Weg direkt ins Internet laufen. Hintergrund: Ich habe am Hotspot, wo mein Laptop(Client) steht, 100 MBit Inet anliegen.
Der VPN geht auf einen DSL16000er an dem die Fritzbox hängt. Diese Leitung hat 1,2 MBIT Upload.
Nach meinem Verständnis(und auch nach Speedtests) steht dann auch nur Diese Geschwindigkeit zur Verfügung, wenn der VPN aktiv ist.
Und deshalb möchte ich eben NUR einen bestimmten IP-BEREICH über den VPN ansprechen. Beispiel:
Ich gehe im Browser auf "wieistmeineIP" und der soll mir die IP vom Hotspot anzeigen, nicht die von der DSL-Leitung. (Was er jetzt aber macht)
Wenn ich aber einen PC mit IP 192.168.x.25 remote, soll er über den VPN routen. Bei Windows gab's einen VPN Client, da konnte man das angeben("soll nur gelten für Bereich"), wenn diese Angabe fehlte, wurde ALLES über den VPN geschleift. Bei Ubuntu fehlt mir jeder Bezug. ☹
|
hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
uwe112 schrieb: Zum Verständnis:
Ich wählte mich von "Aussen" mit dem VPN auf die FB ein.(Die erste Antwort ging sicherlich von "Intern" aus)
Und dieser Tunnel transportiert alle Anfragen/Pakete über die Fritzbox und von dort ins Internet. Dies soll aber nicht so sein. Es sollen nur Pakete mit Adressberich 192.169.x.x/24 über den VPN gehen.
Alle anderen Adressen sollen über den "kurzen" Weg direkt ins Internet laufen.
Vielleicht zum Verständniss - Dir ist bewusst, dass eine VPN Verbindung nur zwischen fest definierten Punkten bestehen kann? Wo bzw. zwischen welchen Punkten soll also dann Dein VPN Netz aufgebaut sein? Beispiel:
Ich gehe im Browser auf "wieistmeineIP" und der soll mir die IP vom Hotspot anzeigen, nicht die von der DSL-Leitung.
Wenn ich aber einen PC mit IP 192.168.x.25 remote, soll er über den VPN routen.
Das verstehe ich nicht. Sorry.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13893
|
uwe112 schrieb: Zum Verständnis:
Ich wählte mich von "Aussen" mit dem VPN auf die FB ein. ...
Ja. D. h., Du hast mit dem AVM-IPsec-VPN eine Client-LAN-Verbindung hergestellt. Der Client ist dein Ubuntu-Rechner, der sich irgendwo im Internet befindet und zu deinem LAN (deine FritzBox) per AVM-IPsec-VPN verbunden ist.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
uwe112 schrieb: Nun möchte ich die VPN-Verbindung nur für den Ziel-IP-Bereich 192.168.x.x/24 (Wartung, Remote) nutzen, der Rest soll ohne VPN "direkt" ins WWW gehen. Ich habe bis jetzt im Prinzip verstanden, dass ich das irgendwie "umrouten" muss, aber das "WIE und WO" erschließt sich mir nicht wirklich.
Du müsstest in der ovpn-Datei das umstellen des Default-Gateways verhindern. Selbiges ist hier beschrieben. Sollte die Route für das VPN-Netz dann nicht automatisch gesetzt werden, kannst du sie händisch setzen, oder du machst das mit einem Skript, welches du in der Client-Konfiguration hinterlegst:
up /etc/openvpn/add_route.sh
Das Skript müsstest du natürlich hinlegen.
|
uwe112
(Themenstarter)
Anmeldungsdatum: 11. Februar 2017
Beiträge: 21
|
lubux schrieb: uwe112 schrieb: Zum Verständnis:
Ich wählte mich von "Aussen" mit dem VPN auf die FB ein. ...
Ja. D. h., Du hast mit dem AVM-IPsec-VPN eine Client-LAN-Verbindung hergestellt. Der Client ist dein Ubuntu-Rechner, der sich irgendwo im Internet befindet und zu deinem LAN (deine FritzBox) per AVM-IPsec-VPN verbunden ist.
Ja, genau so ist das. Und diese Verbindung übernimmt den ganzen Traffic, was nicht sein soll. @misterUnknow: Ich habe keinen anderen Router, der openvpn unterstützt und wollte es eigentlich bei der Fritzbox belassen. Weil: Es ging ja schon, nur halt mit dem Softwareclient auf Windows. Meine Frage ist ja, ob man rein technisch gesehen, nur bestimmte IPs über einen VPN ansprechen kann. (Ich mutmaße jetzt mal: ob xxVPN oder yyVPN sollte doch beim Routen nicht den Unterschied machen?!)
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13893
|
uwe112 schrieb: Ja, genau so ist das. Und diese Verbindung übernimmt den ganzen Traffic, was nicht sein soll.
Es fehlen weiterhin, die Ausgaben von:
ip a
ip r
route -n
|
uwe112
(Themenstarter)
Anmeldungsdatum: 11. Februar 2017
Beiträge: 21
|
lubux schrieb: uwe112 schrieb: Ja, genau so ist das. Und diese Verbindung übernimmt den ganzen Traffic, was nicht sein soll.
Es fehlen weiterhin, die Ausgaben von:
ip a
ip r
route -n
...wird erst gegen Abend, schreibe mit dem Handy.
|
uwe112
(Themenstarter)
Anmeldungsdatum: 11. Februar 2017
Beiträge: 21
|
Hier nun die erbetenen Angaben: IP a
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24 | 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: enp3s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
link/ether 00:26:18:6c:21:b5 brd ff:ff:ff:ff:ff:ff
3: wlp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 3c:a9:f4:7a:0a:ec brd ff:ff:ff:ff:ff:ff
inet 192.168.1.140/24 brd 192.168.1.255 scope global dynamic wlp7s0
valid_lft 81145sec preferred_lft 81145sec
inet6 fe80::4b2c:fc8b:49d1:d4a/64 scope link
valid_lft forever preferred_lft forever
4: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default qlen 1000
link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
inet 192.168.122.1/24 brd 192.168.122.255 scope global virbr0
valid_lft forever preferred_lft forever
5: virbr0-nic: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
link/ether 52:54:00:16:23:10 brd ff:ff:ff:ff:ff:ff
9: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1412 qdisc pfifo_fast state UNKNOWN group default qlen 500
link/none
inet 192.168.179.129/24 brd 192.168.179.255 scope global tun0
valid_lft forever preferred_lft forever
|
IP r
| default dev tun0 proto static scope link metric 50
default via 192.168.1.1 dev wlp7s0 proto static metric 600
84.176.71.196 via 192.168.1.1 dev wlp7s0 proto static metric 600
169.254.0.0/16 dev virbr0 scope link metric 1000 linkdown
192.168.1.0/24 dev wlp7s0 proto kernel scope link src 192.168.1.140 metric 600
192.168.122.0/24 dev virbr0 proto kernel scope link src 192.168.122.1 linkdown
192.168.179.0/24 dev tun0 proto kernel scope link src 192.168.179.129 metric 50
|
route -n
| Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 0.0.0.0 0.0.0.0 U 50 0 0 tun0
0.0.0.0 192.168.1.1 0.0.0.0 UG 600 0 0 wlp7s0
84.176.71.196 192.168.1.1 255.255.255.255 UGH 600 0 0 wlp7s0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 virbr0
192.168.1.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp7s0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
192.168.179.0 0.0.0.0 255.255.255.0 U 50 0 0 tun0
|
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13893
|
uwe112 schrieb: route -n
| Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 0.0.0.0 0.0.0.0 U 50 0 0 tun0
0.0.0.0 192.168.1.1 0.0.0.0 UG 600 0 0 wlp7s0
84.176.71.196 192.168.1.1 255.255.255.255 UGH 600 0 0 wlp7s0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 virbr0
192.168.1.0 0.0.0.0 255.255.255.0 U 600 0 0 wlp7s0
192.168.122.0 0.0.0.0 255.255.255.0 U 0 0 0 virbr0
192.168.179.0 0.0.0.0 255.255.255.0 U 50 0 0 tun0
|
Versuch mal mit einer besseren metric, für die default route über den Router (statt über das tun0-Interface):
dig +short myip.opendns.com @208.67.222.222
sudo route del default gw 192.168.1.1 dev wlp7s0
sudo route add default gw 192.168.1.1 metric 40 dev wlp7s0
route -n
dig +short myip.opendns.com @208.67.222.222
|
uwe112
(Themenstarter)
Anmeldungsdatum: 11. Februar 2017
Beiträge: 21
|
Jetzt geht es. THX Zu meinem Verständnis:
Frei übersetzt habe ich jetzt die Priorität hoch gesetzt, richtig?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13893
|
uwe112 schrieb: Zu meinem Verständnis:
Frei übersetzt habe ich jetzt die Priorität hoch gesetzt, richtig?
Für die default route über den Router, ja. Aber beachte, dass dieses routing nicht persistent ist. D. h. nach einem (re)booten musst Du es wieder konfigurieren, es sei denn Du kannst das evtl. mit dem tool für die VPN-Verbindung schon konfigurieren oder (als workaround) mit einem Script (oder gleichwertig), das beim (re)booten ausgeführt wird.
|