Hallo an alle,
für's Home office brauche ich einen VPN-Tunnel wie folgt
(Ubuntu-Verbindungsinformationen), der funktioniert auch:
10.xxx.2.96 = IP
10.xxx.2.255 = broadcast
10.xxx.2.1 = Vorgaberoute
255.255.255.0 = Subnetzmaske
meine Fritzbox zu hause macht DHCP und gibt mir (ohne Tunnel):
192.xxx.178.41 = IP
192.xxx.178.255 = broadcast
192.xxx.178.1 = Vorgaberoute
192.xxx.178.1 = primary DNS
255.255.255.0 = Subnetzmaske
aber wenn ich den Tunnel aktiv habe, kann ich nicht im Internet surfen -
weiß jemand, warum?
Ich kann z.B. web.de anpingen und bekomme auch den Namen aufgelöst:
> web.de
Server: 127.0.1.1
Address: 127.0.1.1#53
Non-authoritative answer:
Name: web.de
Address: 82.165.229.138
Name: web.de
Address: 82.165.230.17
Aber der Browser ruft die Seite nicht auf - warum / was muss ich ändern?
Ich sehe zwei Möglichkeiten: 1. In der VPN Verbindung wird ein Proxy im Firmennetz konfiguriert den du mit dieser Konfiguation nicht erreichst. 2. Deine Default Route wird in das VPN geleitet. Kannst du dafür mal die Ausgabe von $ ip route posten?
so ohne vpn: $ ip route default via 192.XXX.178.1 dev wlp3s0 proto static metric 600 169.XXX.0.0/16 dev wlp3s0 scope link metric 1000 192.XXX.178.0/24 dev wlp3s0 proto kernel scope link src 192.XXX.178.41 metric 600 mit vpn: $ ip route default via 10.XXX.2.1 dev tun0 proto static metric 50 default via 192.XXX.178.1 dev wlp3s0 proto static metric 600 10.XXX.2.0/24 dev tun0 proto kernel scope link src 10.XXX.2.63 metric 50 169.XXX.0.0/16 dev wlp3s0 scope link metric 1000 172.XXX.0.0/20 via 10.XXX.2.1 dev tun0 proto static metric 50 192.XXX.100.0/23 dev tun0 proto static scope link metric 50 192.XXX.102.181 via 10.XXX.2.1 dev tun0 proto static metric 50 192.XXX.106.1 via 10.XXX.2.1 dev tun0 proto static metric 50 192.XXX.178.0/24 dev wlp3s0 proto kernel scope link src 192.XXX.178.41 metric 600 213.XXX.225.214 via 192.XXX.178.1 dev wlp3s0 proto static metric 600 rainer@T420:~$
Tach Zusammen, bist du an einem DS-lite Anschluss ( Unitymedia, etc.) ohne "echte" IPV4 Adresse nach draußen? Falls, evtl probieren die MTU Größe des Tunnels runterusetzen. Evtl bis auf 1300 bytes. Zumindest bei unserem VPN bringt das regelmäßig Abhilfe. Grüße Timo
VauPeEnn schrieb: > mit vpn: > $ ip route > default via 10.XXX.2.1 dev tun0 proto static metric 50 > default via 192.XXX.178.1 dev wlp3s0 proto static metric 600 Mach die default route über den Tunnel weg. Die Firmennetze sind ja über entsprechende Routen zu erreichen. Was die Sicherheit des Ganzen angeht, verneife ich mir jetzt jeden Kommentar, sonst denkt noch jemand, ich käme aus einem asozialen Elternhaus... ;)
Das ganze nennt sich Split Tunneling. Die Route 0 kann über das VPN gehen, muss aber nicht. Allerdings werden dann ALLE Internetanfragen über das VPN gesendet. Leider unterstützt nicht jede VPN Lösung auch DNS, so das es oft schief geht. Normal bleibt Route 0 auf dem Router und geht zum ISP.
T. Dittmar schrieb: > bist du an einem DS-lite Anschluss ( Unitymedia, etc.) ohne "echte" IPV4 > Adresse nach draußen? Ich glaube nicht, ist ein DSL von 1und1 mit IP(4) nach außen Ich hab halt nur so ein Halbwissen. John Doe schrieb: > Mach die default route über den Tunnel weg. Die Firmennetze sind ja über > entsprechende Routen zu erreichen. Wie mach ich die weg? Ich hab mit "man IP route" nachgelesen, aber "ip route del tun0" hat nicht funktioniert.. John Doe schrieb: > Was die Sicherheit des Ganzen angeht, verneife ich mir jetzt jeden > Kommentar, kommentiere ruhig, ist Deine Sorge, dass Anwendungen auf meinem ubuntu dann ins Firmennetz gehen? Ich lande nur in einer DMZ, soviel ich weiß (Halbwissen!)
VauPeEnn schrieb: > default via 10.XXX.2.1 dev tun0 proto static metric 50 John Doe schrieb: > VauPeEnn schrieb: >> mit vpn: >> $ ip route >> default via 10.XXX.2.1 dev tun0 proto static metric 50 >> default via 192.XXX.178.1 dev wlp3s0 proto static metric 600 > > Mach die default route über den Tunnel weg. Die Firmennetze sind ja über > entsprechende Routen zu erreichen. Genau, die Default Route über das VPN muss raus. So wird alles in den Tunnel geschickt. Bitte beachte die Firmenpolicy: es ist ggf. nicht gewünscht, dass du im Internet und gleichzeitig im Firmennetz unterwegs bist. Wenn du die Route nicht entfernen kannst (habe gerade kein Ubuntu vor mir) kannst du ggf. die Metrik auf einen Wert > 600 setzen
VauPeEnn schrieb: > Wie mach ich die weg? Ich hab mit "man IP route" nachgelesen, aber "ip > route del tun0" hat nicht funktioniert.. Wie hast du das VPN denn konfiguriert? Im Networkmanager oder gibt es einen speziellen VPN Client?
JJ schrieb: > Wie hast du das VPN denn konfiguriert? > Im Networkmanager oder gibt es einen speziellen VPN Client? Oh schon so lange her.. ich glaube mit einem Script, ich such es mal raus.
JJ schrieb: > Wenn du die Route nicht entfernen kannst (habe gerade kein Ubuntu vor > mir) kannst du ggf. die Metrik auf einen Wert > 600 setzen Und wir mache ich das?
VauPeEnn schrieb: > JJ schrieb: >> Wenn du die Route nicht entfernen kannst (habe gerade kein Ubuntu vor >> mir) kannst du ggf. die Metrik auf einen Wert > 600 setzen > > Und wir mache ich das? An der Stelle an der das VPN konfiguriert wird... Was tust du denn um das VPN zu starten?
VauPeEnn schrieb: > John Doe schrieb: >> Mach die default route über den Tunnel weg. Die Firmennetze sind ja über >> entsprechende Routen zu erreichen. > > Wie mach ich die weg? Ich hab mit "man IP route" nachgelesen, aber "ip > route del tun0" hat nicht funktioniert.. ip route del default via 10.XXX.2.1.
Es gibt da zwei Möglichkeiten. Split-Tunnel oder Hairpinning. Beim Split-Tunnel nutzt Du die Internetverbindung bei Dir zu Hause, beim Hairpinning die deiner Firma. Aber das wird vermutlich auf dem Vpn Gateway der Firma nicht aktiviert sein - hoffe ich zumindest. Wie man beides einrichtet kann ich Dir am Beispiel von Cisco Hardware erklären - mit einer Fritzbox kenne ich mich nicht aus.
Eric schrieb: > Wie man > beides einrichtet kann ich Dir am Beispiel von Cisco Hardware erklären - > mit einer Fritzbox kenne ich mich nicht aus. So, wie ich das verstehe, endet der Tunnel auf dem Rechner und wenn er die Default route auf diesen setzt, nunja, dann klappt's halt nicht.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.