OpenVPN routet in der Regel erstmal das entfernte Netzwerk unter der entsprechenden Netzadresse weiter. Der gesamte Netzverkehr wird nicht weitergeleitet – je nach Anwendungsgebiet kann das aber durchaus erwünscht sein (z.B. Einbindung eines externen Clients, der ein entferntes Gateway/einen entfernen Proxy verwenden soll).
Abhilfe schafft hier das folgende Schlagwort in der OpenVPN-Konfigurationsdatei:
redirect-gateway def1
Meine Gesamtkonfiguration sieht derzeit wie folgt aus:
#OpenVPN Server conf tls-client client dev tun proto udp tun-mtu 1400 remote HOSTNAME PORT pkcs12 USERNAME.p12 cipher BF-CBC comp-lzo verb 3 ns-cert-type server keepalive 10 120 redirect-gateway def1
Die keepalive-Einstellung ist übrigens ebenfalls nicht standardmäßig im Client-Archiv des IPCops enthalten. Wer häufige Verbindungsabbrüche hat und seinen Tunnel neuaufbauen muss, kann mit dem o.g. Statement bewirken, dass die Verbindung gekappt wird, wenn nach 120 Sekunden das Remote-Gateway nicht mehr antwortet. In 10 Sekunden-Abständen erfolgen Pings, um die Verbindung zu überprüfen.
Diese Einstellungen lassen sich für zukünftige Client-Archive übrigens auch global setzen. Unter „Erweiterte Serveroptionen“ gibt es auf der IPCop-Weboberfläche hierfür zwei Formularfelder:
Erweiterte OpenVPN-Serveroptionen