[Gelöst] OpenVPN: Unterschiedliches Verhalten zw. Version 2.2 und 2.3

[Vogi]

Hallo zusammen,

bei Bau eines neuen Freetz Images ist mir folgender Unterschied bei Nutzung der Option "Clientverkehr umleiten" bei OpenVPN 2.3 im Vergleich zur 2.3 Version aufgefallen:

OpenVPN 2.2
-> alle Clients können auf das entfernte Netz zugreifen
-> Rest (Internet) wird nach wie vor über die DSL VErbindung geroutet

OpenVPN 2.3
-> alle Verbindungen laufen über das VPN Netz

Ich habe als OpenVPN Server ein Gentoo Linux im Einsatz, der die Routen auf die Fritzbox pusht.
Ich hab schon gesucht, ob das beschriebene Verhalten in der neuen OpenVPN Version angepasst werden kann, finde dazu aber nichts (redirect-gateway Option)

In der 2.2er Version werden nur die ROuten auf der Fritzbox eingetragen, die am Server konfiguriert sind
In der 2.3er Version wird bei gleicher Konfiguration immer das gesamte Netz über das tun-Device geroutet, was ich eiegntlich nicht möchte.
Nehme ich die besagte Option aber raus, so kommt kein Client (hinter der Fritzbox) mehr auf das Netz, welches über die VPN Verbindung angebunden ist.

Wäre für jeglichen Tipp dankbar.

Viele Grüße
Vogi

 

[MaxMuster]

Das 2.2er OpenVPN hat einen "Fehler", es kann nicht mit der Art Default Gateway umgehen, wie AVM das macht (das Default Gateway ist ein Interface, kein "next-hop").
Daher müsstest du beim 2.2-er OpenVPN "NOTE: unable to redirect default gateway -- Cannot read current default gateway from system" Fehler haben.
Beim 2.3-er OpenVPN ist der Fehler behoben, und das "normale" Verhalten von redirect-gateway (biege das Gateway auf das VPN um) wird hergestellt.
Wenn du diese Option rausnimmst, wird das Defaultgateway nicht mehr umgeleitet. Für deine Fritzbox sollte damit alles so sein, wie vorher. Ein Zugriff auf "andere Netze" müsste duch Routen erfolgt sein, weil ja das redirect-gateway keine Auswirkung hatte.
Wenn du aber mehrere Clients hast, von denen einige das brauchen, musst du es von der "allgemeinen" Server Konfiguration entfernen.
Dann kann es entweder in die Konfiguration der Clients, die das brauchen oder in ein "client-config-dir" packst du für jeden Client, der das braucht, die entsprechende Datei in das Verzeichnis mit "push redirect-gateway".

 

[Vogi]

Hallo Max,

vielen Dank für die Info.

Damit weiß ich schon mal, wo ich weiternachen kann.
Werde nachher gleich nochmal ein Freetz Image mit der OpenVPN Version 2.3 bauen und schauen obs so funktioniert.

Viele Grüße
Vogi

 

[Vogi]

Okay. Funktioniert wie es soll
Ohne "redirect-gateway" macht sowohl die Version 2.2 als auch die 2.3 genau das, was ich haben will.

Muss wohl beim konfigurieren damals mit reingerutscht sein, wo ich einen Client tatsächlich komplett über den Server laufen lassen wollte.
Und aufgrund des beschriebenen Bugs der VErsion 2.2 hab ich den Fehler wohl schon einige Zeit mitgeschleppt.

Vielen Dank für die Hilfe
Vogi.