Forum: PC Hard- und Software Ubuntu: kein Internet wenn VPN ein?


von VauPeEnn (Gast)


Lesenswert?

Hallo an alle,

für's Home office brauche ich einen VPN-Tunnel wie folgt 
(Ubuntu-Verbindungsinformationen), der funktioniert auch:

10.xxx.2.96 = IP
10.xxx.2.255 = broadcast
10.xxx.2.1 = Vorgaberoute
255.255.255.0 = Subnetzmaske

meine Fritzbox zu hause macht DHCP und gibt mir (ohne Tunnel):

192.xxx.178.41 = IP
192.xxx.178.255 = broadcast
192.xxx.178.1 = Vorgaberoute
192.xxx.178.1 = primary DNS
255.255.255.0 = Subnetzmaske

aber wenn ich den Tunnel aktiv habe, kann ich nicht im Internet surfen - 
weiß jemand, warum?

Ich kann z.B. web.de anpingen und bekomme auch den Namen aufgelöst:

> web.de
Server:    127.0.1.1
Address:  127.0.1.1#53

Non-authoritative answer:
Name:  web.de
Address: 82.165.229.138
Name:  web.de
Address: 82.165.230.17

Aber der Browser ruft die Seite nicht auf - warum / was muss ich ändern?

von JJ (Gast)


Lesenswert?

Ich sehe zwei Möglichkeiten:

1. In der VPN Verbindung wird ein Proxy im Firmennetz konfiguriert den 
du mit dieser Konfiguation nicht erreichst.

2. Deine Default Route wird in das VPN geleitet. Kannst du dafür mal die 
Ausgabe von
$ ip route
posten?

von VauPeEnn (Gast)


Lesenswert?

so

ohne vpn:
$ ip route
default via 192.XXX.178.1 dev wlp3s0  proto static  metric 600
169.XXX.0.0/16 dev wlp3s0  scope link  metric 1000
192.XXX.178.0/24 dev wlp3s0  proto kernel  scope link  src 
192.XXX.178.41  metric 600

mit vpn:
$ ip route
default via 10.XXX.2.1 dev tun0  proto static  metric 50
default via 192.XXX.178.1 dev wlp3s0  proto static  metric 600
10.XXX.2.0/24 dev tun0  proto kernel  scope link  src 10.XXX.2.63 
metric 50
169.XXX.0.0/16 dev wlp3s0  scope link  metric 1000
172.XXX.0.0/20 via 10.XXX.2.1 dev tun0  proto static  metric 50
192.XXX.100.0/23 dev tun0  proto static  scope link  metric 50
192.XXX.102.181 via 10.XXX.2.1 dev tun0  proto static  metric 50
192.XXX.106.1 via 10.XXX.2.1 dev tun0  proto static  metric 50
192.XXX.178.0/24 dev wlp3s0  proto kernel  scope link  src 
192.XXX.178.41  metric 600
213.XXX.225.214 via 192.XXX.178.1 dev wlp3s0  proto static  metric 600
rainer@T420:~$

von T. Dittmar (Gast)


Lesenswert?

Tach Zusammen,

bist du an einem DS-lite Anschluss ( Unitymedia, etc.) ohne "echte" IPV4 
Adresse nach draußen?

Falls, evtl probieren die MTU Größe des Tunnels runterusetzen. Evtl bis 
auf 1300 bytes. Zumindest bei unserem VPN bringt das regelmäßig Abhilfe.

Grüße

Timo

von John Doe (Gast)


Lesenswert?

VauPeEnn schrieb:
> mit vpn:
> $ ip route
> default via 10.XXX.2.1 dev tun0  proto static  metric 50
> default via 192.XXX.178.1 dev wlp3s0  proto static  metric 600

Mach die default route über den Tunnel weg. Die Firmennetze sind ja über 
entsprechende Routen zu erreichen.

Was die Sicherheit des Ganzen angeht, verneife ich mir jetzt jeden 
Kommentar, sonst denkt noch jemand, ich käme aus einem asozialen 
Elternhaus... ;)

von Stephan (Gast)


Lesenswert?

Das ganze nennt sich Split Tunneling. Die Route 0 kann über das VPN 
gehen, muss aber nicht. Allerdings werden dann ALLE Internetanfragen 
über das VPN gesendet. Leider unterstützt nicht jede VPN Lösung auch 
DNS, so das es oft schief geht. Normal bleibt Route 0 auf dem Router und 
geht zum ISP.

von VauPeEnn (Gast)


Lesenswert?

T. Dittmar schrieb:
> bist du an einem DS-lite Anschluss ( Unitymedia, etc.) ohne "echte" IPV4
> Adresse nach draußen?

Ich glaube nicht, ist ein DSL von 1und1 mit IP(4) nach außen

Ich hab halt nur so ein Halbwissen.

John Doe schrieb:
> Mach die default route über den Tunnel weg. Die Firmennetze sind ja über
> entsprechende Routen zu erreichen.

Wie mach ich die weg? Ich hab mit "man IP route" nachgelesen, aber "ip 
route del tun0" hat nicht funktioniert..

John Doe schrieb:
> Was die Sicherheit des Ganzen angeht, verneife ich mir jetzt jeden
> Kommentar,

kommentiere ruhig, ist Deine Sorge, dass Anwendungen auf meinem ubuntu 
dann ins Firmennetz gehen? Ich lande nur in einer DMZ, soviel ich weiß 
(Halbwissen!)

von JJ (Gast)


Lesenswert?

VauPeEnn schrieb:
> default via 10.XXX.2.1 dev tun0  proto static  metric 50

John Doe schrieb:
> VauPeEnn schrieb:
>> mit vpn:
>> $ ip route
>> default via 10.XXX.2.1 dev tun0  proto static  metric 50
>> default via 192.XXX.178.1 dev wlp3s0  proto static  metric 600
>
> Mach die default route über den Tunnel weg. Die Firmennetze sind ja über
> entsprechende Routen zu erreichen.

Genau, die Default Route über das VPN muss raus. So wird alles in den 
Tunnel geschickt.
Bitte beachte die Firmenpolicy: es ist ggf. nicht gewünscht, dass du im 
Internet und gleichzeitig im Firmennetz unterwegs bist.

Wenn du die Route nicht entfernen kannst (habe gerade kein Ubuntu vor 
mir) kannst du ggf. die Metrik auf einen Wert > 600 setzen

von JJ (Gast)


Lesenswert?

VauPeEnn schrieb:
> Wie mach ich die weg? Ich hab mit "man IP route" nachgelesen, aber "ip
> route del tun0" hat nicht funktioniert..

Wie hast du das VPN denn konfiguriert?
Im Networkmanager oder gibt es einen speziellen VPN Client?

von VauPeEnn (Gast)


Lesenswert?

JJ schrieb:
> Wie hast du das VPN denn konfiguriert?
> Im Networkmanager oder gibt es einen speziellen VPN Client?

Oh schon so lange her.. ich glaube mit einem Script, ich such es mal 
raus.

von VauPeEnn (Gast)


Lesenswert?

JJ schrieb:
> Wenn du die Route nicht entfernen kannst (habe gerade kein Ubuntu vor
> mir) kannst du ggf. die Metrik auf einen Wert > 600 setzen

Und wir mache ich das?

von JJ (Gast)


Lesenswert?

VauPeEnn schrieb:
> JJ schrieb:
>> Wenn du die Route nicht entfernen kannst (habe gerade kein Ubuntu vor
>> mir) kannst du ggf. die Metrik auf einen Wert > 600 setzen
>
> Und wir mache ich das?

An der Stelle an der das VPN konfiguriert wird... Was tust du denn um 
das VPN zu starten?

von John Doe (Gast)


Lesenswert?

VauPeEnn schrieb:
> John Doe schrieb:
>> Mach die default route über den Tunnel weg. Die Firmennetze sind ja über
>> entsprechende Routen zu erreichen.
>
> Wie mach ich die weg? Ich hab mit "man IP route" nachgelesen, aber "ip
> route del tun0" hat nicht funktioniert..


ip route del default via 10.XXX.2.1.

von Eric (Gast)


Lesenswert?

Es gibt da zwei Möglichkeiten. Split-Tunnel oder Hairpinning. Beim 
Split-Tunnel nutzt Du die Internetverbindung bei Dir zu Hause, beim 
Hairpinning die deiner Firma. Aber das wird vermutlich auf dem Vpn 
Gateway der Firma nicht aktiviert sein - hoffe ich zumindest. Wie man 
beides einrichtet kann ich Dir am Beispiel von Cisco Hardware erklären - 
mit einer Fritzbox kenne ich mich nicht aus.

von M.M.M (Gast)


Lesenswert?

Eric schrieb:
> Wie man
> beides einrichtet kann ich Dir am Beispiel von Cisco Hardware erklären -
> mit einer Fritzbox kenne ich mich nicht aus.

So, wie ich das verstehe, endet der Tunnel auf dem Rechner und wenn er 
die Default route auf diesen setzt, nunja, dann klappt's halt nicht.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.