OpenVPN Traffic durch Server tunneln, nicht direkt durch dessen Gateway?

[shawly]

Moin,

habe mir auf einer VM auf meinem Root einen OpenVPN Server eingerichtet.
Nun hat mir mein Anbieter Hetzner die ZusatzIP gesperrt, weil mein Client auf den im RZ liegenden Router zugegriffen hat, bzw. ihn als Gateway benutzt hat.
Ich muss dafür sorgen, dass keine private IP den Router erreicht, jetzt frage ich mich, wie ich das anstelle...

Ich glaube es lag daran, dass in der Serverconfig, 'push "redirect-gateway def1 bypass-dhcp"', eingetragen war, was die Clients dazu bringt auf das Gateway des Servers zuzugreifen, was ja nicht erlaubt ist.

Wie mach ich das ganze nun ohne das Gateway meines Servers? Sodass die oVPN Clients nicht mehr auf die Infrastruktur von Hetzner zugreifen, sondern alles über die VM machen und ich damit trotzdem ins Internet kann.

Spoiler: Hier noch meine Config ohne die Redirect Option und die Hetzner DNS Server

dev tap
proto tcp
port 443
port-share 127.0.0.1 4443
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
user nobody
group nogroup
server 10.8.0.0 255.255.255.0
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
client-to-client
push "dhcp-option DNS 8.8.8.8"
log-append /var/log/openvpn
comp-lzo

Hoffe jemand kann mir helfen..

Grüße,
shawly

 

[Masamune2]

Deine VM muss dann den Router spielen und die Clients NATen. Welches OS wird genutzt?

 

[jan4321]

Entweder Kannst du bei Hetzner eine Zusatz IP Bestellen (früher gabs mal 3 umsonst^^) und die MAC Adresse des Netzwerkadapers der VM darauf binden, oder du NATest halt.
Wie, was und wo, kann ich dir aber erst sagen, wenn ich den Hypervisor kenne, den du benutzt^^

 

[shawly]

Wie ich oben schon gesagt habe wurde eine Zusatz-IP gesperrt, also habe ich bereits zusätzliche IPs. ^^
Als Hypervisor benutze ich XenServer, welcher unter der IP xxx.xxx.xxx.89 läuft und die VM läuft unter xxx.xxx.xxx.125, auf der VM läuft Debian.

Wie NATe ich denn die OpenVPN Clients? Bin mit OpenVPN noch nicht so erfahren, daher habe ich den Server + Client mittels eines Tutorials aufgesetzt.

 

[Masamune2]

Zusatz IP Bestellen (früher gabs mal 3 umsonst^^)

Bis zu drei bekommt man auch heute noch zusätzlich, aber nicht mehr umsonst. Kosten 1 EUR pro Stück.

Wie NATe ich denn die OpenVPN Clients?

Naja mit entsprechenden iptables Regeln. Eine Googlesuche nach "iptables MASQUERADE" dürfte tausende Beispiele für deine Konfig zum Vorschein bringen.