Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Frage zu OpenVPN
« previous
next »
Print
Pages: [
1
]
Author
Topic: Frage zu OpenVPN (Read 659 times)
trixter
Jr. Member
Posts: 76
Karma: 0
helfe, so gut ich kann
Frage zu OpenVPN
«
on:
August 12, 2024, 05:26:24 pm »
Moin liebe Gemeinde,
weiß jemand von euch, wie man bei der neuen "Notation" mit Instances etc. den Tunnel auf Split umstellt ?
Habe da echt Verständnis-Probleme bei der Doku - die gibt es größtenteils noch für die "Server"-Variante :'(
Logged
VMW / PMX / PFS / OPS
trixter
Jr. Member
Posts: 76
Karma: 0
helfe, so gut ich kann
Re: Frage zu OpenVPN (Split-Tunnel mit Instance)
«
Reply #1 on:
August 13, 2024, 11:34:12 am »
habe jetzt durch intensive Suche heraus bekommen:
Umstellung von Full auf Split-Tunnel :
Den "interesting Traffic", also was durch den Tunnel soll, definiert man unter
Routing / Local Network
.
Habe Exemplarisch eine Netzwerkadresse und einen einzelnen Host eingetragen - unbedingt auf die Subnetzmaske achten !!
Den eigentlich Unterschied zwischen Full- und Split-Tunnel macht unter
Routing
das
Redirect gateway
.
"
default
" bedeutet Full-Tunnel, trägt man jedoch nichts ein "
Nothing selected
", geht alles was nicht unter Local Networks definiert wurde am VPN-Tunnel vorbei.
Kann leider noch keine Erklärung für die anderen Optionen des Redirect gateway liefern, da ich sie noch nicht sicher verstanden habe, sorry.
Logged
VMW / PMX / PFS / OPS
trixter
Jr. Member
Posts: 76
Karma: 0
helfe, so gut ich kann
Re: Frage zu OpenVPN
«
Reply #2 on:
August 13, 2024, 12:44:11 pm »
Bild nachreichen
Logged
VMW / PMX / PFS / OPS
trixter
Jr. Member
Posts: 76
Karma: 0
helfe, so gut ich kann
Re: Frage zu OpenVPN
«
Reply #3 on:
August 14, 2024, 05:23:21 pm »
Gefunden - das liefert die Doku zu OpenVPN:
--redirect-gateway flags
Automatically execute routing commands to cause all outgoing IP traffic to be redirected over the VPN. This is a client-side option.
This option performs three steps:
Create a static route for the --remote address which forwards to the pre-existing default gateway. This is done so that (3) will not create a routing loop.
Delete the default gateway route.
Set the new default gateway to be the VPN endpoint address (derived either from --route-gateway or the second parameter to --ifconfig when --dev tun is specified).
When the tunnel is torn down, all of the above steps are reversed so that the original default route is restored.
Option flags:
local
Add the local flag if both OpenVPN peers are directly connected via a common subnet, such as with wireless. The local flag will cause step (1) above to be omitted.
autolocal
Try to automatically determine whether to enable local flag above.
def1
Use this flag to override the default gateway by using 0.0.0.0/1 and 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of overriding but not wiping out the original default gateway.
bypass-dhcp
Add a direct route to the DHCP server (if it is non-local) which bypasses the tunnel (Available on Windows clients, may not be available on non-Windows clients).
bypass-dns
Add a direct route to the DNS server(s) (if they are non-local) which bypasses the tunnel (Available on Windows clients, may not be available on non-Windows clients).
block-local
Block access to local LAN when the tunnel is active, except for the LAN gateway itself. This is accomplished by routing the local LAN (except for the LAN gateway address) into the tunnel.
ipv6
Redirect IPv6 routing into the tunnel. This works similar to the def1 flag, that is, more specific IPv6 routes are added (2000::/4, 3000::/4), covering the whole IPv6 unicast space.
!ipv4
Do not redirect IPv4 traffic - typically used in the flag pair ipv6 !ipv4 to redirect IPv6-only.
Logged
VMW / PMX / PFS / OPS
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Frage zu OpenVPN
«
Reply #4 on:
August 15, 2024, 08:46:13 am »
Für "normalen" Split-Tunnel Betrieb willst du gar nichts. (also literally) Denn du hast deine Netze definiert in den local subnets und das wird an den Client gepusht, damit dieser die dann als "remote subnets" bei sich in die Routing Table einträgt.
Man muss das auch nicht am Server unbedingt pushen wenn man wechseln möchte zwischen Split oder Full-Tunneling. Server auf Split einstellen (normal) und eine zweite Client Config für "Full Tunnel" machen ist überhaupt kein Problem und gern genutzt, wenn man statt dem normalen Fall (Ich muss mal kurz auf mein Homelab zugreifen) dann doch mal alles durch den Tunnel schieben will und ggf. auch DNS oder Internet darüber fahren möchte (um ggf. die IP zu Hause zu nutzen).
Die Redirect Gateway Konfigurationsvariablen kannst du auch in der Client Config setzen und dir damit 2 Stück bauen - eine ohne und eine mit "def1 autolocal" bspw. um bei Bedarf dann den Full-Tunnel zu nutzen. def1 weil es dein Default Gateway nicht anfasst am Client, was in manchen Situationen doof ist und autolocal zum Erkennen wo dein VPN peer sitzt. Meistens braucht man "local" nicht aber dafür gibts ja genau autolocal.
Beispiel:
Split: "Ich brauch nur fix ein File vom NAS zu Hause"
Full: "Ich sitz hier im Ausland und brauch meine IP zu Hause um irgendwas zu streamen"
Je nach Leitung und HW deiner Box mag man aber vllt. nicht immer Full laufen haben.
Cheers
\jens
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
trixter
Jr. Member
Posts: 76
Karma: 0
helfe, so gut ich kann
Re: Frage zu OpenVPN
«
Reply #5 on:
August 21, 2024, 09:34:18 am »
Danke für die ausführliche Antwort.
Fand die Logik "nichts" einzutragen ungewohnt.
War es immer gewohnt explizit Split oder Full in irgendeiner Form eintragen zu müssen.
Auch dass "Nothing selected" im Feld steht, finde ich irritierend.
Das wirkt, als würde man etwas eintragen müssen.
Logged
VMW / PMX / PFS / OPS
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Frage zu OpenVPN