openvpn (tunnelblick): def. GW bleibt nach disconnect

Dieses Thema im Forum "Internet- und Netzwerk-Hardware" wurde erstellt von Leon2k, 07.07.2006.

  1. Leon2k

    Leon2k Thread Starter MacUser Mitglied

    Beiträge:
    49
    Zustimmungen:
    0
    MacUser seit:
    10.10.2004
    hallo mac-freunde

    ich hab kein klein(er)es problem mit meiner vpn verbindung:
    ich connecte von zuhause via adsl und tunnelblick (tiger) ins büro per openVPN. der verbindungsaufbau geht gut, arbeiten kann ich auch.
    leider wird mir jeweils ein neuer standard gateway übergeben, womit ich dann über das netz des geschäfts surfe z.b.

    nun wird nach einem disconnect der default gateway nicht mehr auf mein lan - gateway (router) zurückgesetzt, sondern es bleibt der vom büro in der routingtabelle.

    hat jemand ne ahnung wie ich das problem lösen kann? am besten vom vpn-server aus irgendwie......oder im clientscript wenns nicht anders geht.

    p.s. bei windows funktionierts einwandfrei. der schreibt die routingtabelle neu nach einem disconnect.

    herzlichen dank für eure hilfe

    grüsse aus der schweiz
    leon2k
     
  2. trispace

    trispace MacUser Mitglied

    Beiträge:
    43
    Zustimmungen:
    0
    MacUser seit:
    04.02.2005
    in der OpenVPN-Server-Konfiguration wird wahrscheinlich ein "push redirect-gateway" stehen, das den Client befiehlt das Default-GW auf den Tunnel zu setzen.

    Entweder dies am Server abschalten und in der Client-Konfiguration angeben (sollte aufs gleiche hinausführen, aber probieren schadet nicht), oder eben per ip-up, bzw up-Skripts ausführen lassen.

    Als Workaround für deine aktuelle Situation:
    Wenn MacOS die Route bei Beendigung des Tunnels nicht wieder umdreht kann man sich notfalls mit einem --down-pre bzw. --down Skript behelfen, das ausgeführt wird bevor, bzw nachdem das tun-Interface geschlossen wird.
    Da könnte dann zum Beispiel drinstehen
    route del -net 0.0.0.0
    route add default gw <router-ip>

    PS: Kann mangels MacOS nicht verifizieren, ob obige Befehle auch unter MacOS funktionieren, sie sollten aber die Idee dahinter vermitteln
     
  3. Leon2k

    Leon2k Thread Starter MacUser Mitglied

    Beiträge:
    49
    Zustimmungen:
    0
    MacUser seit:
    10.10.2004
    herzlichenk dank für deine hilfe
    .....ich werds mal mit einem down-script versuchen.
     
  4. maceis

    maceis MacUser Mitglied

    Beiträge:
    16.645
    Zustimmungen:
    596
    MacUser seit:
    24.09.2003
    Kleiner Hinweis noch.
    Das keyword lautet 'delete' nicht 'del'

    Es kann außerdem sein, dass das nur eine Route nach 0/24 hinzugefügt wird.
    Da diese Vorang hat, wird sie als default route benutzt.
    Es würde dann genügen diese Route zu löschen, da die "alte" default route erhalten bleibt.

    Kontrollieren kann man das im Vorfeld mit dem Kommando 'netstat -r -f inet'
     
  5. Leon2k

    Leon2k Thread Starter MacUser Mitglied

    Beiträge:
    49
    Zustimmungen:
    0
    MacUser seit:
    10.10.2004
    danke für eure hilfe

    ich habs mal ausprobiert, und es scheint zu funktionieren mit dem down - script.
    das problem ist nur, um routen zu ändern, braucht man root - rechte.
    und im scirpt ein sudo ausführen geht ja nicht, weil ich das passwort nicht übergeben kann.

    hat jemand ne idee ?

    herzlichen dank
    leon2k
     
  6. trispace

    trispace MacUser Mitglied

    Beiträge:
    43
    Zustimmungen:
    0
    MacUser seit:
    04.02.2005
    stimmt, aus Sicherheitsgründen kann man den OpenVPN-Daemon anweisen nach öffnen des tun-Devices die Rechte auf einen niederpriviligierten User zu "droppen".

    doch, das geht: man kann nämlich sudo anweisen für ein bestimmtes (oder für alle) Kommandos _kein_ Password zu verlangen. Die Option NOPASSWD ist genau dafür gemacht. man sudo zeigt dir die genaue Benutzung dieser Option

    Für dein Problem wäre es aber besser, wenn du nur für genau die Netze die Routen in den Tunnel legst, die auch am anderen Ende desselben zu finden sind.
    Falls du jedoch vom OpenVPN-Admin ein "redirect-gateway" gepusht bekommst, nützt dies aber nichts, da diese Option das Default-GW zwangsweise setzt.
     
  7. maceis

    maceis MacUser Mitglied

    Beiträge:
    16.645
    Zustimmungen:
    596
    MacUser seit:
    24.09.2003
    Wobei man dazu sagen muss, dass dies in vielen Situationen nicht unbedingt wünschenswert ist, da dann u.U. das entsprechende Datenvolumen zweifach angerechnet wird und weil es nur selten erforderlich ist, den Online -Verkehr zu verschlüsseln.
    Anstelle von "redirect-gateway" ist es daher IMO meist sinnvoller die Routen in die jeweiligen lokalen Netze zu pushen.
    Man muss nur aufpassen, dass man serverseitig je nach Topologie "route", "push route" und/oder "iroute" Einträge braucht.
    Ist auf der openvpn.net Site ganz gut erklärt.
     
  8. trispace

    trispace MacUser Mitglied

    Beiträge:
    43
    Zustimmungen:
    0
    MacUser seit:
    04.02.2005
    ganz meine Meinung :)
     
  9. Leon2k

    Leon2k Thread Starter MacUser Mitglied

    Beiträge:
    49
    Zustimmungen:
    0
    MacUser seit:
    10.10.2004
    herzlichen dank, ich werd das mit nopasswd mal versuchen :)

    wegen dem push "redirect-gateway":
    ich hab das argument das ihr erwähnt habt auch vorgebracht, wir haben uns dann aus sicherheitsgründen für die änderung des default gw entschieden.

    der grund ist einfach, das ein "sicherheitsloch" entsteht, da das vpn - subnet ins lokale netz "integriert" somit kann ein potentieller angreifer auch aufs vpn-netz zugreiffen......
     
Die Seite wird geladen...