[linux-l] Nochmal Verständnisfrage VPN

Volker Wysk post at volker-wysk.de
Fr Feb 5 13:02:15 CET 2021


Upps... Ich habe Christians Nachricht doppelt weitergeleitet. Hier ist die
unvermurkste Nachricht:
---------------------------------------------------------------------


Hallo!

Ich habe Christian Seitz vom IN-Berlin gefragt, wie das ist mit einem VPN.
Er hat mir erlaubt, folgende Antwort in die Liste weiterzuleiten:


-----------------------------schnipp----------------------------------
Hallo Volker,

Am 24.01.21 um 14:16 schrieb Volker Wysk:

> Ich habe eine Frage zu VPN bei IN-Berlin.
> 
> Ich möchte einen sicheren (anonymen) Internetzugang. Ich habe VPN vom 
> Anbieter Mullvad ausprobiert. Das funktioniert, aber dann kann ich nicht 
> mehr von außen, von meinem Laptop oder dem Smartphone aus, auf meinen 
> Rechner zugreifen. Die alte IP-Adresse, die vor dem Einschalten des VPN 
> bestand, wird nicht mehr gefunden. Es gibt eine Zeitüberschreitung. (Ich 
> habe einen Mailserver, ein Wiki und Nextcloud auf meinem Desktoprechner 
> laufen. Ich verwende ein dynamisches DNS.)
> 
> Ist das bei IN-Berlin das gleiche? Ist das grundsätzlich nicht möglich?
ja, das wird das Gleiche sein. Du musst evtl. Source-Routing / Policy Based
Routing mit "ip rule" konfigurieren.

Hintergrund: Wenn deine Defaultroute ueber den aufgenbauten VPN-Tunnel
zeigt,
aber eine Verbindung von deinem DSL-Router reinkommt die auch ueber den
DSL-Router wieder rausgehen muesste, diese aber aufgrund der Defaultroute
ueber den VPN-Tunnel rausgeht, werden die Pakete vom VPN-Tunnelprovider
gesperrt, da sie aus seiner Sicht eine ungueltige Absender-IP haben. Das
solltest du im tcpdump sehen koennen, dass bei eingehenden Verbindungen von
aussen die Antwortpakete ueber deinen VPN-Tunnel rausgehen.

Mit "ip rule" kannst du diese Pakete entsprechend extra behandeln und den
Lookup in einer separaten Routingtabelle mit einer separaten Defaultroute
machen.

Dafuer muss in /etc/iproute2/rt_tables eine Tabelle stehen, z.B.

10 dsl

Dann brauchst du darin Routen und Regeln, die du bei Debian z.B. in up-
Zeilen
ueber die /etc/network/interfaces aktivieren kannst. Angenommen
192.168.178.1
ist die IP deines Routers, 192.168.178.0/24 dein lokales Subnetz und
192.168.178.10 die IP deines Rechners.

ip route add default via 192.168.178.1 table dsl
ip route add 192.168.178.0/24 dev eth0 table dsl
ip rule add from 192.168.178.10 pri 200 table dsl

Wie man das genau implementiert haengt stark von deinem Setup ab, aber
vielleicht bringt dich das in die richtige Richtung.

Chris
---------------------------schnapp-------------------------------------


Jetzt bin ich zwar immernoch nicht schlau genug um das zu lösen, aber es ist
ein guter Anhaltspunkt.

Danke an Christian.


Tschüß,
Volker
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: This is a digitally signed message part
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20210205/1123f917/attachment.sig>


Mehr Informationen über die Mailingliste linux-l