OpenVPN-Plugin für NetworkManager überschreibt die Default-Route
Never change a running System! Wenn es doch gemacht wird, sind meist die Linux-Anwender die Deppen. Plötzlich funktionieren Dinge nicht mehr, die noch wenige Tage zuvor keine Probleme machten. In diesem Fall handelt es sich um die Umstellung des VPN-Zugangs. Früher Astaro, nun auch Astaro. Zugriff auf das interne Netzwerk funktioniert, aber der Rest vom Internet ist abgeschnitten. Ein E-Mail an den entsprechenden Support brachte folgende Antwort:
Manchmal kann es passieren, dass die Default Route überschrieben und auf das Tunnel-Gerät gelegt wird. Ein route add default gw <vorheriges Gateway> <Netzwerkkarte> sollte das Problem lösen. Wenn sich eine andere Lösung ergibt, lassen wir es sie wissen.
Ja, tut es auch, aber halt nur temporär. Gerade wenn man unterwegs ist, möchte man nicht dauern das Gateway des gerade benutzten Netzwerks herausfitzeln. Was ist passiert? Anscheinend wurde beim alten VPN-Zugang sämtlicher Traffic durch die sichere Verbindung geleitet. Nun nicht mehr. Nach einigem hin- und hermailen durfte ich mir dann anhören,
dass lediglich Windows XP bis 7 unterstützt werde. Support für Linux gibt es keinen. Ich solle mir halt endlich einen Windows-Rechner als Schreibmaschine zulegen. Die Schreibmaschine soll sowieso immer funktionieren und man testet darauf nicht rum.
Ach so! Na dass ich da nicht selbst drauf gekommen bin. Als Schreiberling für hauptsächlich Linux stell ich natürlich auf Windows um. Verdopple gleich den Arbeitsspeicher dazu, um am besten drei Virenscanner, zwei Firewalls und das überfrachtete System zu verwalten. Microsoft und seine Produkte sind also so etwas wie die digitale Antwort 42. Zur Zwischeninformation:
- Das alte System hatte gut fünf Jahre funktioniert, auch ohne Windows.
- Das Linux-System musste ich seit über drei Jahren nicht neu installieren – trotz Distributions-Upgrades.
- Ich hab hier einiges an Server-Daemons laufen und kann das System trotzdem ohne merkliche Geschwindigkeits-Einbußen als Desktop betreiben.
Die Umstellungen würden im Rahmen von Sicherheits-Updates der komplette Firma vollzogen.
Oh das beruhigt mich aber sehr. Windows-Jünger kümmern sich um die Sicherheit der Firma. Was kann hier möglicherweise schief laufen? Weiß es jemand – Bueller, Bueller?
Eigenartigerweise trat das Phänomen nicht auf, wenn man die OpenVPN-Verbindung via Kommandozeile startet: openvpn –config <datei>.ovpn
Somit ist wohl der Fehler im NetworkManager-OpenVPN-Plugin (network-manager-openvpn) zu suchen. Da ich von Netzwerkspezialisten erwarte, eine Suchmaschine benutzen zu können, hätte man mir die Lösung auch zukommen lassen können. Allerdings wurde das entweder niemals in Betracht gezogen, oder die Experten wissen nicht, nach was sie suchen sollen.
Die Lösung ist eigentlich recht einfach. Im OpenVPN-Plugin gibt es eine Zeile unter IPv4-Einstellungen, die lautet: Diese Verbindung nur für Ressourcen dieses Netzwerks verwenden. Diese ist per Standard deaktiviert. Da den Haken rein und es klappt auch unter Linux.
Was mich ärgert? Die grenzenlose Ignoranz, über den Tellerrand zu schauen. Die Resistenz, sich von dem löchrigen Microsoft-Betriebssystem zu lösen. So lange sich die Faulheit Einstellung der IT-Abteilungen nicht ändert, wird Microsoft weiter die Rechner-Landschaften mit dem einen Betriebssystem und den 1000 Lücken knechten. In diesem Fall geht es nicht mal um die Migration ganzer Firmen, sondern lediglich um eine kleine Sache, die ich gerne von einem “Experten” beantwortet hätte. Aber als Linuxer kennt man das ja – Selbst-Support. Mach ich gerne, dafür spar ich mir die Zeit beim halbjährlichen Neuinstallieren des Betriebssystems.
P.S: Was mich in diesen Tagen auch wundert, dass wegen Stuxnet keiner den schwarzen Peter ausschließlich Siemens zuschiebt. Denn die verwenden ein Standard-Passwort für alle Anlagen. Siemens hat es Stuxnet sicher nicht schwerer gemacht. Aber Schuld ist schon Microsoft. Schließlich nutzte Stuxnet eine Sicherheitslücke, die schon seit 1,5 Jahren bekannt war. Microsoft habe diese lediglich übersehen. Wenn dann haben gewisse Administratoren noch Mitschuld. Bei hoch kritischen Anlagen hat kein USB-Stick was in einem der entsprechenden Verwaltungs-Rechner zu suchen. Ebenso wenig gehören diese Kisten in das normale Firmen-Netzwerk – wo sich die Katze in den Schwanz beißt: Was kann möglicherweise schief gehen, wenn Windows-Jünger sich um die Sicherheit der Firma kümmern? … Cyberwar to be continued …
Bueller? .... Bueller? .....
:-))))))))))