8
OpenVPN - nur bestimmte Webseiten über VPN leiten
Hallo zusammen,
ich arbeite im Homeoffice an einer Universität und nutze für viele Dienste OpenVPN.
Hier habe ich eine normale Konfiguration wo alle Verbindungen über VPN geleitet werden und eine Split Konfiguration wo nur Verbindungen zur Uni darüber geleitet werden. Jetzt nutze ich sehr viele Dienste wo man sich erst mit seinem Uni Account einloggen muss. Wenn ich normal über VPN verbunden bin dann wird man hier sofort eingeloggt - bei der Split Config funktioniert das leider nicht und es sind auf jeder Seite immer elendig viele Klicks notwendig zum einloggen.
Nun möchte ich mit meinem privaten Computer nicht dauerhaft alle Verbindungen über das Uni Netzwerk leiten. Zum einen aus Geschwindigkeitsgründen (gerade tagsüber ist es stark überlastet und langsam) und zum anderen sollen jetzt auch aus Datenschutzgründen usw. nicht gerade alle privaten Anwendungen bzw. Webseiten darüber geleitet werden.
Gibt es eine Möglichkeit, dass ich die Verbindung bei OpenVPN nur für selbst definierte Webseiten herstelle?
*.uni.de
webseite1.de
usw.
Das wäre super.
Danke für Hilfe.
Viele Grüße
Ceshie
ich arbeite im Homeoffice an einer Universität und nutze für viele Dienste OpenVPN.
Hier habe ich eine normale Konfiguration wo alle Verbindungen über VPN geleitet werden und eine Split Konfiguration wo nur Verbindungen zur Uni darüber geleitet werden. Jetzt nutze ich sehr viele Dienste wo man sich erst mit seinem Uni Account einloggen muss. Wenn ich normal über VPN verbunden bin dann wird man hier sofort eingeloggt - bei der Split Config funktioniert das leider nicht und es sind auf jeder Seite immer elendig viele Klicks notwendig zum einloggen.
Nun möchte ich mit meinem privaten Computer nicht dauerhaft alle Verbindungen über das Uni Netzwerk leiten. Zum einen aus Geschwindigkeitsgründen (gerade tagsüber ist es stark überlastet und langsam) und zum anderen sollen jetzt auch aus Datenschutzgründen usw. nicht gerade alle privaten Anwendungen bzw. Webseiten darüber geleitet werden.
Gibt es eine Möglichkeit, dass ich die Verbindung bei OpenVPN nur für selbst definierte Webseiten herstelle?
*.uni.de
webseite1.de
usw.
Das wäre super.
Danke für Hilfe.
Viele Grüße
Ceshie
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1369952416
Url: https://administrator.de/contentid/1369952416
Printed on: April 27, 2024 at 12:04 o'clock
8 Comments
Latest comment
Das müsste gehen wenn man mit dem push route... Kommando Hostrouten dieser dedizierten Webserver mit einem 32er Prefix auf den Client pusht.
Also z.B. push "route 192.168.123.35 255.255.255.255". Damit wird dann nur dieser Host in den VPN Tunnel geroutet. Ein "route print" zeigt dir bei aktivem (Windows) VPN Client an ob das klappt.
Wenn du die IP Adresse des Webserver nicht kennst sagt dir das ein nslookup auf die FQDN Adresse.
Also z.B. push "route 192.168.123.35 255.255.255.255". Damit wird dann nur dieser Host in den VPN Tunnel geroutet. Ein "route print" zeigt dir bei aktivem (Windows) VPN Client an ob das klappt.
Wenn du die IP Adresse des Webserver nicht kennst sagt dir das ein nslookup auf die FQDN Adresse.
Danke für deine Antwort. Muss aber nochmal nachfragen.
Ich habe jetzt die Config Datei für OpenVPN wo die komplette Verbindung über VPN läuft.
Muss ich den push Route Befehl dann in die Config Datei eintragen?
z.B. push route IPvonWebseite 255.255.255.255 ?
Und dann würde nur die Verbindung zu der Webseite über VPN laufen?
Ich habe jetzt die Config Datei für OpenVPN wo die komplette Verbindung über VPN läuft.
Muss ich den push Route Befehl dann in die Config Datei eintragen?
z.B. push route IPvonWebseite 255.255.255.255 ?
Und dann würde nur die Verbindung zu der Webseite über VPN laufen?
Muss ich den push Route Befehl dann in die Config Datei eintragen?
Nein, das bringt nix, da der Server mit dem push "redirect-gateway def1 bypass-dhcp (Siehe hier) dann den Client zwingt ALLES in den Tunnel zu senden. Was hätte es dann für einen Sinn nochmal zusätzlich einzelnen Hosts anzugeben. Wäre unlogisch und doppelt gemoppelt. 
Das macht natürlich nur Sinn in einer Split Tunneling Konfig...
Moin Ceshie,
das ist eigentlich absolut kein Problem, hier sollten sich die Admins deiner UNI mal kurz mit dem Thema WPAD/PAC beschäftigen.
https://de.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Split VPN + WPAD und schon ist der Fisch geputzt. 😀
Beste Grüsse aus BaWü
Alex
Gibt es eine Möglichkeit, dass ich die Verbindung bei OpenVPN nur für selbst definierte Webseiten herstelle?
*.uni.de
webseite1.de
usw.
Das wäre super.
*.uni.de
webseite1.de
usw.
Das wäre super.
das ist eigentlich absolut kein Problem, hier sollten sich die Admins deiner UNI mal kurz mit dem Thema WPAD/PAC beschäftigen.
https://de.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Split VPN + WPAD und schon ist der Fisch geputzt. 😀
Beste Grüsse aus BaWü
Alex
Hallo,
Ich habe ein ähnliches Anliegen:
Netz 1:
192.168.178.0
255.255.255.0
192.168.178.1 (FritzBox)
VPN-Server 192.168.178.25 (OpenWRT)
Netz 2:
192.168.10.0
255.255.255.0
192.168.10.1 (FritzBox)
VPN-Client 192.168.10.40 (OpenWRT)
VPN-Netz:
10.8.0.0
255.255.255.0
10.8.0.1
OpenVPN läuft bestens.
Ich möchte gern, dass die IP Adresse (192.168.10.21) aus dem Netz 2 für sämtlichen Traffic das Gateway 192.168.178.1 aus Netz 1 nutzt, also durch den Tunnel (10.8.0.0) läuft. Ziel ist es, dass der ganze Traffic dieses einen Gerätes über den Internetanbieter vom Standort des Netz 1 läuft, um mit der externen IP-Adresse vom Netz 1 zu "surfen" (also quasi "redirect-gateway def1").
Der Rest aus Netz 2 soll aber für Internet-Traffic weiterhin das lokale Gateway (192.168.10.1) nutzen, VPN aber nutzen und darüber ereichbar sein.
Ginge das? Was muss ich wo einstellen? Änderung der vpn-client.conf oder Einstellung im Router 2?
VG
René
Ich habe ein ähnliches Anliegen:
Netz 1:
192.168.178.0
255.255.255.0
192.168.178.1 (FritzBox)
VPN-Server 192.168.178.25 (OpenWRT)
Netz 2:
192.168.10.0
255.255.255.0
192.168.10.1 (FritzBox)
VPN-Client 192.168.10.40 (OpenWRT)
VPN-Netz:
10.8.0.0
255.255.255.0
10.8.0.1
OpenVPN läuft bestens.
Ich möchte gern, dass die IP Adresse (192.168.10.21) aus dem Netz 2 für sämtlichen Traffic das Gateway 192.168.178.1 aus Netz 1 nutzt, also durch den Tunnel (10.8.0.0) läuft. Ziel ist es, dass der ganze Traffic dieses einen Gerätes über den Internetanbieter vom Standort des Netz 1 läuft, um mit der externen IP-Adresse vom Netz 1 zu "surfen" (also quasi "redirect-gateway def1").
Der Rest aus Netz 2 soll aber für Internet-Traffic weiterhin das lokale Gateway (192.168.10.1) nutzen, VPN aber nutzen und darüber ereichbar sein.
Ginge das? Was muss ich wo einstellen? Änderung der vpn-client.conf oder Einstellung im Router 2?
VG
René
Nennt sich PBR (Policy-Based Routing) und lässt sich über routing rules steuern.
https://openwrt.org/docs/guide-user/network/routing/pbr
https://openwrt.org/docs/guide-user/network/routing/pbr
Vielen Dank für die Info.
Ich habe gerade mal geschaut, in OpenWRT unter System und dann Software kann diese Anwendung nachinstalliert werden. Müsste ich PBR auf dem OpenWRT Router am Standort des VPN-Clienten oder am OpenWRT-Router des VPN-Servers einrichten. Ich vermute beim Clienten, da die IP-Adresse 192.168.10.21 sich ja im Client-Subnetz befindet und das VPN-Gateway nutzen soll?
Ich habe gerade mal geschaut, in OpenWRT unter System und dann Software kann diese Anwendung nachinstalliert werden. Müsste ich PBR auf dem OpenWRT Router am Standort des VPN-Clienten oder am OpenWRT-Router des VPN-Servers einrichten. Ich vermute beim Clienten, da die IP-Adresse 192.168.10.21 sich ja im Client-Subnetz befindet und das VPN-Gateway nutzen soll?
Natürlich.