openVPN-Verbindung zu Strato Root-Server

[twinastir]

Hallo Zusammen,

ich habe mit Tunnelblick eine VPN-Verbindung zu meinem Strato Root-Server hinbekommen. Auf dem Strato-Server ist Plesk 8 installiert. Plesk generiert eine openvpn.conf und vpn-key -Datei, die ich mir via https auf meinem Mac runterladen konnte. Beide Dateien habe ich in ~/Library/openvpn kopiert und Tunnelblick gestartet. Die Verbindung wird von Tunnelblick auch aufgebaut.

Da ich ein absoluter Blindfuchs in Sachen Netzwerk bin, hier nun ein paar Fragen dazu:

- Auf meinem Strato-Server sind mehrere Domains gehostet. Kann ich nun davon ausgehen, dass alle Kommunikation via http zu allen Domains auf meinem Server via VPN stattfindet? Insbesondere interessiert das mich, wenn ich auf den verschiedenen Joomla-Installationen im Backend als Admin arbeite...

- Ich arbeite viel auf meinem Server mit MySql Query Browser. Kann ich auch hier davon ausgehen, dass alle mysql-Verbindungen des Query Browsers, egal zu welcher Domain auf dem Sever, via VPN stattfindet?

Vielen Dank im voraus für Euche erleuchtenden Antworten!

Gruss Thomas

 

[mfkne]

traceroute, auf dem Terminal ausgeführt, verrät Dir, welchen Weg Deine IP-Pakete nehmen.

 

[twinastir]

traceroute, auf dem Terminal ausgeführt, verrät Dir, welchen Weg Deine IP-Pakete nehmen.

Danke für den Tipp! Ich denke aber nicht, dass das meine Frage beantwortet...

Siehst Du an diesem traceroute, ob die Pakete getunnelt übertragen werden?

traceroute to 85.214.49.29 (85.214.49.29), 64 hops max, 40 byte packets
1 (192.168.2.1) 0.750 ms 0.363 ms 0.367 ms
2 * * *
3 217.0.68.162 (217.0.68.162) 42.646 ms 43.110 ms 42.848 ms
4 f-ea3.f.de.net.dtag.de (62.154.17.50) 49.843 ms 49.179 ms 50.336 ms
5 62.156.139.246 (62.156.139.246) 55.702 ms 49.422 ms 56.607 ms
6 so-5-0-0-bcr2.fra.cw.net (195.2.10.77) 51.601 ms 49.384 ms 48.902 ms
7 ge-0-3-0-gcr1.bcx.cw.net (195.2.3.126) 66.305 ms 69.703 ms 68.072 ms
8 81.169.160.205 (81.169.160.205) 64.222 ms 64.934 ms 64.013 ms
9 81.169.160.206 (81.169.160.206) 61.860 ms 62.333 ms 62.557 ms
10 www.lsg-breisgau.de (85.214.49.29) 61.869 ms 61.944 ms 60.732 ms

 

[mfkne]

Wenn Deine Pakete getunnelt würden, wäre der erste Hop der VPN-Endpunkt auf Deinem Server. In diesem Fall ist das ganz augenscheinlich nicht der Fall.

 

[twinastir]

Wenn Deine Pakete getunnelt würden, wäre der erste Hop der VPN-Endpunkt auf Deinem Server. In diesem Fall ist das ganz augenscheinlich nicht der Fall.

Wie eingangs geschrieben, bin ich ein Blindfuchs in Sachen Netzwerk. Dennoch, denke ich, dass traceroute einfach den Weg der IP-Pakete anzeigt. Der erste Hop ist deshalb logischerweise mein DSL-Router:

1 (192.168.2.1) 0.750 ms 0.363 ms 0.367 ms

 

[mfkne]

Genau das verhindert ja ein Tunnel. Selbst wenn Du über einen Router ins Internet gehst, nehmen Deine IP-Pakete mit einem Ziel, das auf dem VPN-Endpunkt liegt, den Weg über den Tunnel und so erschiene das auch in Traceroute.

Welche IP-Adresse hast Du vom VPN-Server bekommen und wie lautet die IP vom VPN-Server?

 

[twinastir]

Welche IP-Adresse hast Du vom VPN-Server bekommen und wie lautet die IP vom VPN-Server?

Also mein Starto-Server hat die folgenden IP-Adressen:

85.214.122.24
85.214.49.29

Offenbar gibt es zu einem root-Server bei Strato zwei feste IP-Adresse dazu.

Meine, von Plesk generierte, openvpn.conf sieht so aus:

#
# Automatically generated by Plesk VPN module
#
remote 85.214.49.29
lport 1194
rport 1194
ifconfig 172.16.0.2 255.255.255.252
secret vpn-key
comp-lzo
dev tap
float
keepalive 10 60
ping-timer-rem
resolv-retry infinite


Verbinde ich mich mit meinem Server via Tunnelblick, bekomme ich folgenden OpenVPN Log Output:


Tue 09/11/07 01:05 PM: WARNING: file 'vpn-key' is group or others accessible
Tue 09/11/07 01:05 PM: LZO compression initialized
Tue 09/11/07 01:05 PM: TUN/TAP device /dev/tap0 opened
Tue 09/11/07 01:05 PM: /sbin/ifconfig tap0 delete
Tue 09/11/07 01:05 PM: NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure
Tue 09/11/07 01:05 PM: /sbin/ifconfig tap0 172.16.0.2 netmask 255.255.255.252 mtu 1500 up
Tue 09/11/07 01:05 PM: UDPv4 link local (bound): [undef]:1194
Tue 09/11/07 01:05 PM: UDPv4 link remote: 85.214.49.29:1194
Tue 09/11/07 01:05 PM: Peer Connection Initiated with 85.214.49.29:1194
Tue 09/11/07 01:05 PM: Initialization Sequence Completed

 

[mfkne]

Dann solltest Du mal testen, ob Du 172.16.0.1 pingen kannst und wenn Du ein traceroute 172.16.0.1 machst, sollte da genau ein Hop rauskommen, denn das ist der VPN-Endpunkt auf Deinem Server.

Über diese IP kannst Du Deinen Server also per VPN verschlüsselt erreichen.

 

[twinastir]

Dann solltest Du mal testen, ob Du 172.16.0.1 pingen kannst und wenn Du ein traceroute 172.16.0.1 machst, sollte da genau ein Hop rauskommen, denn das ist der VPN-Endpunkt auf Deinem Server.

Über diese IP kannst Du Deinen Server also per VPN verschlüsselt erreichen.

Ok, erst mal vielen Dank für Deine Hilfe!

astir:~ tmaier$ ping 172.16.0.1
PING 172.16.0.1 (172.16.0.1): 56 data bytes
64 bytes from 172.16.0.1: icmp_seq=0 ttl=64 time=135.673 ms

astir:~ tmaier$ traceroute 172.16.0.1
traceroute to 172.16.0.1 (172.16.0.1), 64 hops max, 40 byte packets
1 172.16.0.1 (172.16.0.1) 72.003 ms 66.237 ms 73.958 ms

Das heisst für mich, dass ich meine unterschiedlichen Domains auf meinem Server nicht per VPN und http erreichen kann. Aber MySQL Query Browser kann ich natürlich über diese IP-Adresse konfigurieren... Sehe ich das SO richtig?

Danke & Gruß

Thomas

 

[mfkne]

Ich habe mit MySQL Query Browser keine Erfahrung, aber wenn Dein MySQL Server auf allen IP-Adressen (bzw. 127.0.0.1 und 172.16.0.1) lauscht, sollte das gehen. Du könntest OpenVPN noch so konfigurieren, dass es den Traffic für 85.214.122.24 und 85.214.49.29 über den Tunnel routet. Wie das geht, weiss ich aus dem Kopf nicht, auf www.openvpn.org dürftest Du aber fündig werden.

 

[twinastir]

Ich habe mit MySQL Query Browser keine Erfahrung, aber wenn Dein MySQL Server auf allen IP-Adressen (bzw. 127.0.0.1 und 172.16.0.1) lauscht, sollte das gehen.

Das mit MySQL habe ich ausprobiert. Die Datenbank kann ich via 172.16.0.1 erreichen. Das ist schon mal super!

Du könntest OpenVPN noch so konfigurieren, dass es den Traffic für 85.214.122.24 und 85.214.49.29 über den Tunnel routet. Wie das geht, weiss ich aus dem Kopf nicht, auf www.openvpn.org dürftest Du aber fündig werden.

Das wäre meine nächste Frage gewesen....

Ich werde das mal recherchieren und hier mitteilen....

Nochmals vielen Dank für Deine Hilfe! Ich denke, ich habe einiges in Sachen VPN gelernt...

Gruß Thomas

 

[cixx]

Mit Vorsicht zu genießen aber kannste ja mal testen auf Deinem Mac nach dem Connect (habe kurz die Manual von route angelesen):
route add -host $SERVER_IP dev tap0

Ich verstehe das so, dass der Traffic für die IP durch das Device tap0 geroutet wird, welches ja genau Dein VPN-Endpunkt ist, in wiefern der damit umgehen kann, weiß ich so nicht, ich persönlich würde es aber mal probieren.

 

[twinastir]

Mit Vorsicht zu genießen aber kannste ja mal testen auf Deinem Mac nach dem Connect (habe kurz die Manual von route angelesen):
route add -host $SERVER_IP dev tap0

Ich verstehe das so, dass der Traffic für die IP durch das Device tap0 geroutet wird, welches ja genau Dein VPN-Endpunkt ist, in wiefern der damit umgehen kann, weiß ich so nicht, ich persönlich würde es aber mal probieren.

Hei, danke für den Tipp! Irgendwie scheint die Syntax nicht zu stimmen. Habe aber auch nichts besseres gefunden...

astir:/Users/tmaier root# route add -host 85.214.49.29 dev tap0
route: bad address: dev

 

[mfkne]

Was Du brauchst ist:

route add -host 85.214.122.24 -gateway 172.16.0.1
route add -host 85.214.49.29 -gateway 172.16.0.1

 

[twinastir]

Was Du brauchst ist:

route add -host 85.214.122.24 -gateway 172.16.0.1
route add -host 85.214.49.29 -gateway 172.16.0.1

Danke für Deine Hilfe!

Ich konnte den Host der Routing Table hinzufügen:

astir:/Users/tmaier root# route add -host 85.214.49.29 -gateway 172.16.0.1
add host 85.214.49.29


Allerdings scheint irgendwas nicht zu stimmen, wenn ich ein traceroute auf den Host mache:

astir:/Users/tmaier root# traceroute 85.214.49.29
traceroute to 85.214.49.29 (85.214.49.29), 64 hops max, 40 byte packets
traceroute: sendto: No buffer space available
1 traceroute: wrote 85.214.49.29 40 chars, ret=-1
*traceroute: sendto: No buffer space available
traceroute: wrote 85.214.49.29 40 chars, ret=-1
* *
traceroute: sendto: No buffer space available
2 traceroute: wrote 85.214.49.29 40 chars, ret=-1
* *traceroute: sendto: No buffer space available
traceroute: wrote 85.214.49.29 40 chars, ret=-1
*
3 * *traceroute: sendto: No buffer space available
traceroute: wrote 85.214.49.29 40 chars, ret=-1
*

Ich habe dann hier die Übung abgebrochen. Für mich ist das eigentlich gut so, da meine Kommunikation mit der MySQL-Datenbank getunnelt wird.

Vielen Dank für die großartige Hilfe!

Thomas