xplod
24.09.11, 13:33
Hallo zusammen.
Ich möchte ausprobieren, wie negativ es sich auf mein mobiles Internet auswirkt, wenn mein Handy nicht direkt kommuniziert, sondern über einen verschlüsselten VPN-Tunnel.
Die Einrichtung des VPN als Tap war kein Problem, so dass ich ohne Probleme einen Samba Server ans VPN anbinden konnte. Jetzt möchte ich aber einen eigenen Tunnel aufsetzen, über den sämtlicher Traffic abgewickelt wird.
Die VPN Verbindung zwischen den Teilnehmern und dem Server steht, bei meinem Handy kann ich nach erfolgreicher Verbindung nicht mehr aufs Internet zugreifen, so dass ich auf ein fehlendes Routing beim Server tippe.
Der Windows Rechner hingegen geht einfach weiter über seinen normalen Router ins Netz...
Server.conf:
local <globale ip>
proto udp
port 1194
dev tun
server 10.8.0.0 255.255.255.0
keepalive 10 120
ifconfig-pool-persist /etc/openvpn/gateway_ipp.txt
persist-key
persist-tun
push "redirect-gateway"
push "dhcp-option DNS <globalIP>"
#Decrease user from root to nobody (security)
user nobody
group nobody
#Logging etc.
status /var/log/gateway_openvpn-status.log
log /var/log/gateway_openvpn.log
#Certificates
dh /etc/openvpn/xplod_keys/dh1024.pem
ca /etc/openvpn/xplod_keys/ca.crt
cert /etc/openvpn/xplod_keys/server.crt
key /etc/openvpn/xplod_keys/server.key
Die IPTables sind wie folgt konfiguriert:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
13 546 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:openvpn
0 0 ACCEPT all -- tun+ any anywhere anywhere
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
385 25549 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT all -- eth0 any anywhere 10.8.0.0/24
19 6447 REJECT tcp -- any any anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
0 0 DROP all -- any any anywhere anywhere state INVALID
0 0 ACCEPT all -- lo lo anywhere anywhere
415 26295 ACCEPT udp -- tun0 any anywhere anywhere
1217 66430 DROP all -- any any anywhere anywhere
Table = NAT:
Chain POSTROUTING (policy ACCEPT 146K packets, 9924K bytes)
pkts bytes target prot opt in out source destination
202 12480 MASQUERADE all -- any eth0 10.8.0.0/24 anywhere
Auf dem Windows System kann man nach der Verbindung folgende Routen auslesen:
IPv4-Routentabelle
================================================== =========================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.8.0.9 10.8.0.10 30
10.8.0.1 255.255.255.255 10.8.0.9 10.8.0.10 30
10.8.0.8 255.255.255.252 Auf Verbindung 10.8.0.10 286
10.8.0.10 255.255.255.255 Auf Verbindung 10.8.0.10 286
10.8.0.11 255.255.255.255 Auf Verbindung 10.8.0.10 286
<globale IP> 255.255.255.255 192.168.1.1 192.168.1.2 10
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.1.0 255.255.255.0 Auf Verbindung 192.168.1.2 266
192.168.1.2 255.255.255.255 Auf Verbindung 192.168.1.2 266
192.168.1.255 255.255.255.255 Auf Verbindung 192.168.1.2 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.2 266
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.10 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.2 266
255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.10 286
================================================== =========================
Leider funktioniert ausser dem Zugriff auf den Server selber sonst keine Verbindung ins Internet. Kann mir jemand sagen, was noch fehlt?
Ich möchte ausprobieren, wie negativ es sich auf mein mobiles Internet auswirkt, wenn mein Handy nicht direkt kommuniziert, sondern über einen verschlüsselten VPN-Tunnel.
Die Einrichtung des VPN als Tap war kein Problem, so dass ich ohne Probleme einen Samba Server ans VPN anbinden konnte. Jetzt möchte ich aber einen eigenen Tunnel aufsetzen, über den sämtlicher Traffic abgewickelt wird.
Die VPN Verbindung zwischen den Teilnehmern und dem Server steht, bei meinem Handy kann ich nach erfolgreicher Verbindung nicht mehr aufs Internet zugreifen, so dass ich auf ein fehlendes Routing beim Server tippe.
Der Windows Rechner hingegen geht einfach weiter über seinen normalen Router ins Netz...
Server.conf:
local <globale ip>
proto udp
port 1194
dev tun
server 10.8.0.0 255.255.255.0
keepalive 10 120
ifconfig-pool-persist /etc/openvpn/gateway_ipp.txt
persist-key
persist-tun
push "redirect-gateway"
push "dhcp-option DNS <globalIP>"
#Decrease user from root to nobody (security)
user nobody
group nobody
#Logging etc.
status /var/log/gateway_openvpn-status.log
log /var/log/gateway_openvpn.log
#Certificates
dh /etc/openvpn/xplod_keys/dh1024.pem
ca /etc/openvpn/xplod_keys/ca.crt
cert /etc/openvpn/xplod_keys/server.crt
key /etc/openvpn/xplod_keys/server.key
Die IPTables sind wie folgt konfiguriert:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
13 546 ACCEPT udp -- eth0 any anywhere anywhere udp dpt:openvpn
0 0 ACCEPT all -- tun+ any anywhere anywhere
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
385 25549 ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT all -- eth0 any anywhere 10.8.0.0/24
19 6447 REJECT tcp -- any any anywhere anywhere tcp flags:!FIN,SYN,RST,ACK/SYN reject-with tcp-reset
0 0 DROP all -- any any anywhere anywhere state INVALID
0 0 ACCEPT all -- lo lo anywhere anywhere
415 26295 ACCEPT udp -- tun0 any anywhere anywhere
1217 66430 DROP all -- any any anywhere anywhere
Table = NAT:
Chain POSTROUTING (policy ACCEPT 146K packets, 9924K bytes)
pkts bytes target prot opt in out source destination
202 12480 MASQUERADE all -- any eth0 10.8.0.0/24 anywhere
Auf dem Windows System kann man nach der Verbindung folgende Routen auslesen:
IPv4-Routentabelle
================================================== =========================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 10.8.0.9 10.8.0.10 30
10.8.0.1 255.255.255.255 10.8.0.9 10.8.0.10 30
10.8.0.8 255.255.255.252 Auf Verbindung 10.8.0.10 286
10.8.0.10 255.255.255.255 Auf Verbindung 10.8.0.10 286
10.8.0.11 255.255.255.255 Auf Verbindung 10.8.0.10 286
<globale IP> 255.255.255.255 192.168.1.1 192.168.1.2 10
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
192.168.1.0 255.255.255.0 Auf Verbindung 192.168.1.2 266
192.168.1.2 255.255.255.255 Auf Verbindung 192.168.1.2 266
192.168.1.255 255.255.255.255 Auf Verbindung 192.168.1.2 266
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.2 266
224.0.0.0 240.0.0.0 Auf Verbindung 10.8.0.10 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.2 266
255.255.255.255 255.255.255.255 Auf Verbindung 10.8.0.10 286
================================================== =========================
Leider funktioniert ausser dem Zugriff auf den Server selber sonst keine Verbindung ins Internet. Kann mir jemand sagen, was noch fehlt?