Fedora 20 (KDE) OpenVPN Client – SELinux, DNS-Problems,… Troubleshooting

Ein klein wenig der “eigene Provider” sein und v.a. datenschutztechnisch sicherer war das Ziel beim Aufbau eines Internet-Gateway über OpenVPN über einen eigenen dedicated Server (in einem anderen Land). Serverseitig keine große Hexerei – jedoch machten v.a. die Linux-Cients mehr Probleme. Die Lehre aus dem ganzen: Traue keinen grafischen Tools 😉

vpnserver_status

Die Ausgangslage war verstrickt – die letzten Feinheiten serverseitig waren behoben, Zertifikate passend… und ein Verbindungsversuch über den Network Manager (Fedora 20 KDE) war wenig aussagekräftig. OK, dann mal unter Windows (Win7/64) – das neueste (2.3.4) Setup-Paket bockt komplett mit dem TAP-Adapter… Lösung Downgrade auf ältere Version (2.3.2). DIe Client-Konfigurationsdatei *.ovpn erstellen, Zertifikate einspielen – und siehe da: Unter Windows funktioniert das ganze perfekt ink. gepushter DNS. Detto unter Android.

openvpn_android

Neuer Versuch unter F20/KDE:

  • Network-Manager verbindet nach Import *.ovpn-File (nicht manuelle Konfiguration im GUI). Dann noch zu Testzwecken SELinux in den permissive-Mode (siehe man setenforce)
    Jedoch erscheint beim IP check auf Webseiten meine normale IP und nicht die des Gateway-Servers. Die Ursache: Probleme mit dem DNS-Push (vgl. resolv.conf). Mehr dazu unter https://stomp.colorado.edu/blog/blog/2010/07/02/on-networkmanager-openvpn-and-routes/ und https://airvpn.org/topic/9608-how-to-accept-dns-push-on-linux-systems-with-resolvconf/
  • Nun also mal der Weg ohne GUI, sprich ohne Network-Manager – der dann auch zum Ziel führte:
    • SELinux permissive mode: setenforce 0
    • OpenVPN-Verbindung über CLI herstellen: openvpn Clientconfigfile.ovpn

openvpnfedora_cli

  • Funktioniert – die lokale resolv.conf hat die DNS vom Server bekommen, ein traceroute bestätigt das und ein IP-Check auf zB http://www.heise.de/netze/tools/meine-ip-adresse/ detto.

Nachdem ich wenig bequem bin und die Lösungswege zur Umschiffung des Problems im Network-Manager nicht gehen will, ein akzeptabler Weg.

Zum Thema mit OpenVPN ins Internet (Serverkonfiguration):

  • https://thomas-leister.de/allgemein/openvpn-server-als-internet-gateway-unter-ubuntu-server/
  • http://wiki.nefarius.at/linux/mit_openvpn_ins_internet