Forum Mjukvara Internettjänster Tråd Inlägg

Problem med PiVPN/openVPN

1
Skriv svar
Permalänk
Medlem

Problem med PiVPN/openVPN

Hej,
OpenVPN/PiVPN noob här som behöver hjälp.

Nu har jag givit upp på att googla mina problem på Google då alla trådar som redan finns försöker hjälpa mig med motsatsen jag vill åt.

Jag har en RaspberryPI 3+ som jag kör PiVPN på tanken med den är att jag ska kunna koppla upp mig emot den och komma åt min Freenas och VMware maskin när jag inte sitter hemma.

Idag när jag kopplar upp mig emot min PiVPN så går all trafik igenom min VPN vilket jag inte vill.
Jag vill bara komma åt mitt lokala nätverk(192.168.1.0/24) men inte att all trafik ska gå igenom VPN-tunneln.

Jag kopplar upp mig med OpenVPN Connect klienten i windows med en .Ovpn fil.

server.conf ser ut såhär:

dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server_ocmjfG7gyWA2g2ef.crt
key /etc/openvpn/easy-rsa/pki/private/server_ocmjfG7gyWA2g2ef.key
dh /etc/openvpn/easy-rsa/pki/dh2048.pem
topology subnet
server 10.8.0.0 255.255.255.0
# Set your primary domain name server address for clients
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"
# Prevent DNS leaks on Windows
push "block-outside-dns"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
keepalive 1800 3600
remote-cert-tls client
tls-version-min 1.2
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 3
#DuplicateCNs allow access control on a less-granular, per user basis.
#Remove # if you will manage access by user instead of device. 
#duplicate-cn
# Generated for use by PiVPN.io

.ovpn filen som genereras av PiVPN ser ut såhär:

client
dev tun
proto udp
remote "minserver" 1194
resolv-retry infinite
nobind
persist-key
persist-tun
key-direction 1
remote-cert-tls server
tls-version-min 1.2
verify-x509-name server_ocmjfG7gyWA2g2ef name
cipher AES-256-CBC
auth SHA256
auth-nocache
verb 3
<ca>
-----BEGIN CERTIFICATE-----
"nyckel"
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
"nyckel"
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN ENCRYPTED PRIVATE KEY-----
"nyckel"
-----END ENCRYPTED PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
"nyckel
-----END OpenVPN Static key V1-----
</tls-auth>

Hur gör jag så inte all trafik går igenom min VPN utan bara trafik till lokala enheter på nätverket?

La till code-taggar /Mod
Visa signatur

| Intel I7 3770(inte k) @ 4.1ghz | Hyper 212 evo | Asus P8Z77-LX |
| Asus Nvidia GTX 970 strix | ADATA 4x8GB RAM @ 1600mhz cas 9 |
| Corsair cs850m 80+ Guld | 250GB Samsung 840 evo | 1TB seagate |
| fractal desing arc midi r2 |

Redigera
Citera flera Citera
Permalänk
Vila i frid

Vad tror du att 'push "redirect-gateway def1"' gör för klienten?

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem

@hasenfrasen:

Jo, jag har varit inne på den med efter ha kollat på https://openvpn.net/community-resources/reference-manual-for-....

Men jag fattar inte vad det ska vara istället?

Ingen 'push "redirect-gateway def1" alls?
eller 'push "redirect-gateway !ipv4" ?

Visa signatur

| Intel I7 3770(inte k) @ 4.1ghz | Hyper 212 evo | Asus P8Z77-LX |
| Asus Nvidia GTX 970 strix | ADATA 4x8GB RAM @ 1600mhz cas 9 |
| Corsair cs850m 80+ Guld | 250GB Samsung 840 evo | 1TB seagate |
| fractal desing arc midi r2 |

Redigera
Citera flera Citera
Permalänk
Vila i frid

Citat: "to cause all outgoing IP traffic to be redirected over the VPN" men det är ju inte det du är ute efter. Din dator behöver bara veta var ditt fjärr-VPN nät befinner sig - på ditt tun-interface. "Push redirect" ska alltså inte finnas i server-definitionen och "redirect" skall inte finnas i klientens konfig. Det är lite micklande och inläsning innan det ger sig.

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem

@hasenfrasen: Ja men mina klienter behöver ju fortfarande ha en gateway. Om jag tar bort "push "redirect-gateway def1" så vet ju inte min klient vart trafiken ska ta vägen, även trafik som inte ska igenom VPN-tunneln.

Visa signatur

| Intel I7 3770(inte k) @ 4.1ghz | Hyper 212 evo | Asus P8Z77-LX |
| Asus Nvidia GTX 970 strix | ADATA 4x8GB RAM @ 1600mhz cas 9 |
| Corsair cs850m 80+ Guld | 250GB Samsung 840 evo | 1TB seagate |
| fractal desing arc midi r2 |

Redigera
Citera flera Citera
Permalänk
Vila i frid

https://openvpn.net/vpn-server-resources/site-to-site-routing...
https://serverfault.com/questions/631037/how-to-route-only-sp...

https://www.google.com/search?q=openvpn+route+specific+traffi...

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem

@hasenfrasen:
Nu är det löst!

Vad jag ändra för att få det att lira som jag vill.

Tog bort ur server.conf:
push "redirect-gateway def1"
push "block-outside-dns"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1" (förstår inte varför de här ställde till det?)

Lagt till:
push "route 192.168.1.0 255.255.255.0"

Tack för din hjälp!
Fast jag tyckte den kunde vara lite mer direkt

Visa signatur

| Intel I7 3770(inte k) @ 4.1ghz | Hyper 212 evo | Asus P8Z77-LX |
| Asus Nvidia GTX 970 strix | ADATA 4x8GB RAM @ 1600mhz cas 9 |
| Corsair cs850m 80+ Guld | 250GB Samsung 840 evo | 1TB seagate |
| fractal desing arc midi r2 |

Redigera
Citera flera Citera
Permalänk
Medlem

Vet inte om jag kan låna tråden lite, snarlikt problem... Vill att all trafik utom ett par domäner ska trattas genom VPN-tunneln.
Ex skicka all trafik via VPN utom det som ska till *.domain1.com, *.sub.domain2.com

Tips?

Redigera
Citera flera Citera
Permalänk
Vila i frid
Skrivet av breakman:

skicka all trafik via VPN utom det som ska till *.domain1.com, *.sub.domain2.com

Gå till inlägget

Du berättar inget om var VPN-klienten ska köras, i din router eller i din dator? Du berättar inte heller vilken typ av VPN det är och inte heller vilken VPN-leverantör. Inte heller vilket operativsystem datorn har eller fabrikat och modell på routern.

Guuuu vad jobbig jag är!

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av hasenfrasen:

Du berättar inget om var VPN-klienten ska köras, i din router eller i din dator? Du berättar inte heller vilken typ av VPN det är och inte heller vilken VPN-leverantör. Inte heller vilket operativsystem datorn har eller fabrikat och modell på routern.

Guuuu vad jobbig jag är!

Gå till inlägget

Gud vad jobbig du är 😂

OpenVPN på en pfSense hemma, ansluter från dator "ute på stan" med Win10.
Anslutningen funkar men vill som sagt exkludera lite trafik.

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Vila i frid

pfBlockerNG

Kika på https://www.linuxincluded.com/block-ads-malvertising-on-pfsen... för lite tips.

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av hasenfrasen:

pfBlockerNG

Kika på https://www.linuxincluded.com/block-ads-malvertising-on-pfsen... för lite tips.

Gå till inlägget

Det handlar inte om att blocka reklam utan låta viss trafik ta den vanliga vägen. Ex. om jag sitter på jobbet med jobb-laptopen så vill jag att jobbets domän ska gå utanför tunneln medan surf till Sweclockers ska gå via VPN-tunneln.

Redigera
Citera flera Citera
Permalänk
Vila i frid

Jag har fortfarande inte förstått vad du vill uppnå. Vad säger företagets IT-policy om att ha OpenVPN på företagsdatorn? Vill du förhinda insyn till ickejobb-surf på företagets nätverk? Själv är jag piskad i mitt jobb att vara uppdaterad inom området så surf till tekniksajter ingår och uppmuntras.

Jag som konsult måste koppla upp mig mot andra företagskunder och deras interna nätverk och därifrån fått installationsscript och setup. Mot vissa andra företag lär jag använda mig av en dator som levererats av kund och där gäller deras IT-policy som övervakas med t.ex. TaniumEndPoint, SymantecEndPoint, CheckPointEndPoint och mer crap än så - där får jag göra nada ingrepp utan tillåtelse.

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av hasenfrasen:

Jag har fortfarande inte förstått vad du vill uppnå. Vad säger företagets IT-policy om att ha OpenVPN på företagsdatorn? Vill du förhinda insyn till ickejobb-surf på företagets nätverk? Själv är jag piskad i mitt jobb att vara uppdaterad inom området så surf till tekniksajter ingår och uppmuntras.

Jag som konsult måste koppla upp mig mot andra företagskunder och deras interna nätverk och därifrån fått installationsscript och setup. Mot vissa andra företag lär jag använda mig av en dator som levererats av kund och där gäller deras IT-policy som övervakas med t.ex. TaniumEndPoint, SymantecEndPoint, CheckPointEndPoint och mer crap än så - där får jag göra nada ingrepp utan tillåtelse.

Gå till inlägget

Vad IT på jobbet säger är inget problem.
Vill kunna komma åt mina grejer hemma och ser en fördel med att allt utom jobbets domäner går via tunneln.

Redigera
Citera flera Citera
1
Skriv svar