openvpn (tunnelblick): def. GW bleibt nach disconnect

Leon2k

Leon2k

Mitglied
Thread Starter
Dabei seit
10.10.2004
Beiträge
50
Reaktionspunkte
0
hallo mac-freunde

ich hab kein klein(er)es problem mit meiner vpn verbindung:
ich connecte von zuhause via adsl und tunnelblick (tiger) ins büro per openVPN. der verbindungsaufbau geht gut, arbeiten kann ich auch.
leider wird mir jeweils ein neuer standard gateway übergeben, womit ich dann über das netz des geschäfts surfe z.b.

nun wird nach einem disconnect der default gateway nicht mehr auf mein lan - gateway (router) zurückgesetzt, sondern es bleibt der vom büro in der routingtabelle.

hat jemand ne ahnung wie ich das problem lösen kann? am besten vom vpn-server aus irgendwie......oder im clientscript wenns nicht anders geht.

p.s. bei windows funktionierts einwandfrei. der schreibt die routingtabelle neu nach einem disconnect.

herzlichen dank für eure hilfe

grüsse aus der schweiz
leon2k
 
Leon2k schrieb:
hallo mac-freunde
[..defaultroute wird nach openvpn-disconnect nicht wiederhergestellt..]

hat jemand ne ahnung wie ich das problem lösen kann? am besten vom vpn-server aus irgendwie......oder im clientscript wenns nicht anders geht.
Zum Vergrößern anklicken....

in der OpenVPN-Server-Konfiguration wird wahrscheinlich ein "push redirect-gateway" stehen, das den Client befiehlt das Default-GW auf den Tunnel zu setzen.

Entweder dies am Server abschalten und in der Client-Konfiguration angeben (sollte aufs gleiche hinausführen, aber probieren schadet nicht), oder eben per ip-up, bzw up-Skripts ausführen lassen.

Als Workaround für deine aktuelle Situation:
Wenn MacOS die Route bei Beendigung des Tunnels nicht wieder umdreht kann man sich notfalls mit einem --down-pre bzw. --down Skript behelfen, das ausgeführt wird bevor, bzw nachdem das tun-Interface geschlossen wird.
Da könnte dann zum Beispiel drinstehen
route del -net 0.0.0.0
route add default gw <router-ip>

PS: Kann mangels MacOS nicht verifizieren, ob obige Befehle auch unter MacOS funktionieren, sie sollten aber die Idee dahinter vermitteln
 
herzlichenk dank für deine hilfe
.....ich werds mal mit einem down-script versuchen.
 
trispace schrieb:
...
route del -net 0.0.0.0
route add default gw <router-ip>
...
Zum Vergrößern anklicken....
Kleiner Hinweis noch.
Das keyword lautet 'delete' nicht 'del'

Es kann außerdem sein, dass das nur eine Route nach 0/24 hinzugefügt wird.
Da diese Vorang hat, wird sie als default route benutzt.
Es würde dann genügen diese Route zu löschen, da die "alte" default route erhalten bleibt.

Kontrollieren kann man das im Vorfeld mit dem Kommando 'netstat -r -f inet'
 
danke für eure hilfe

ich habs mal ausprobiert, und es scheint zu funktionieren mit dem down - script.
das problem ist nur, um routen zu ändern, braucht man root - rechte.
und im scirpt ein sudo ausführen geht ja nicht, weil ich das passwort nicht übergeben kann.

hat jemand ne idee ?

herzlichen dank
leon2k
 
Leon2k schrieb:
danke für eure hilfe
ich habs mal ausprobiert, und es scheint zu funktionieren mit dem down - script.
das problem ist nur, um routen zu ändern, braucht man root - rechte.
Zum Vergrößern anklicken....
stimmt, aus Sicherheitsgründen kann man den OpenVPN-Daemon anweisen nach öffnen des tun-Devices die Rechte auf einen niederpriviligierten User zu "droppen".

und im scirpt ein sudo ausführen geht ja nicht, weil ich das passwort nicht übergeben kann.
Zum Vergrößern anklicken....

doch, das geht: man kann nämlich sudo anweisen für ein bestimmtes (oder für alle) Kommandos _kein_ Password zu verlangen. Die Option NOPASSWD ist genau dafür gemacht. man sudo zeigt dir die genaue Benutzung dieser Option

Für dein Problem wäre es aber besser, wenn du nur für genau die Netze die Routen in den Tunnel legst, die auch am anderen Ende desselben zu finden sind.
Falls du jedoch vom OpenVPN-Admin ein "redirect-gateway" gepusht bekommst, nützt dies aber nichts, da diese Option das Default-GW zwangsweise setzt.
 
trispace schrieb:
...
Falls du jedoch vom OpenVPN-Admin ein "redirect-gateway" gepusht bekommst, nützt dies aber nichts, da diese Option das Default-GW zwangsweise setzt.
Zum Vergrößern anklicken....
Wobei man dazu sagen muss, dass dies in vielen Situationen nicht unbedingt wünschenswert ist, da dann u.U. das entsprechende Datenvolumen zweifach angerechnet wird und weil es nur selten erforderlich ist, den Online -Verkehr zu verschlüsseln.
Anstelle von "redirect-gateway" ist es daher IMO meist sinnvoller die Routen in die jeweiligen lokalen Netze zu pushen.
Man muss nur aufpassen, dass man serverseitig je nach Topologie "route", "push route" und/oder "iroute" Einträge braucht.
Ist auf der openvpn.net Site ganz gut erklärt.
 
maceis schrieb:
Wobei man dazu sagen muss, dass dies in vielen Situationen nicht unbedingt wünschenswert ist, da dann u.U. das entsprechende Datenvolumen zweifach angerechnet wird und weil es nur selten erforderlich ist, den Online -Verkehr zu verschlüsseln.
Anstelle von "redirect-gateway" ist es daher IMO meist sinnvoller die Routen in die jeweiligen lokalen Netze zu pushen.
Man muss nur aufpassen, dass man serverseitig je nach Topologie "route", "push route" und/oder "iroute" Einträge braucht.
Ist auf der openvpn.net Site ganz gut erklärt.
Zum Vergrößern anklicken....

ganz meine Meinung :)
 
herzlichen dank, ich werd das mit nopasswd mal versuchen :)

wegen dem push "redirect-gateway":
ich hab das argument das ihr erwähnt habt auch vorgebracht, wir haben uns dann aus sicherheitsgründen für die änderung des default gw entschieden.

der grund ist einfach, das ein "sicherheitsloch" entsteht, da das vpn - subnet ins lokale netz "integriert" somit kann ein potentieller angreifer auch aufs vpn-netz zugreiffen......
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten