der-phil
Goto Top

OpenVPN - Verbindungen außerhalb des VPNs verbieten

Hallo!

Ich suche eine saubere Lösung für meine Außendienstler. Die Notebooks sollen ausschließlich durch den VPN-Tunnel kommunizieren.

Dazu habe ich einen OpenVPN-Server in der Zentrale, zu dem sich die Notebooks verbinden. Problematisch ist aktuell noch, dass so lange bis der Tunnel steht, die Geräte frei online kommen.


Kennt ihr eine Möglichkeit, dass der Client so lange bis der Tunnel steht keine anderen Verbindungen aufbauen kann?

Vielen Dank und Grüße
Phil

Content-ID: 234750

Url: https://administrator.de/contentid/234750

Ausgedruckt am: 16.11.2024 um 07:11 Uhr

orcape
orcape 07.04.2014 um 17:32:06 Uhr
Goto Top
Hi Phil,
es gibt in der OpenVPN-Server.config die Möglichkeit, mit....
"Force all client generated traffic through the tunnel."
den gesamten Traffic des Clients in den Tunnel zu leiten.
Da der Tunnelaufbau vom Client initiiert wird, sollte sich der Client dann eigentlich automatisch mit deinem Netz verbinden, so bald dessen Netzwerkverbindung steht.
Voraussetzung ist natürlich, das der OpenVPN-Server in der Zentrale auch läuft.
Eine Garantie, das ein versierter Aussendienstler da eine Möglichkeit findet, die Zwangsverbindung über das Firmennetz zu umgehen, gibt es natürlich nicht..face-wink
Gruß orcape
aqui
aqui 08.04.2014 um 09:51:45 Uhr
Goto Top
Die Notebooks sollen ausschließlich durch den VPN-Tunnel kommunizieren.
Einfach das Default Gateway auf die Tunnel IP in der client.conf einstellen !
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Thema "Routing all client traffic (including web-traffic) through the VPN"
Steht ja oben schon....

Das Problem ohne VPN jeglichen LAN, WLAN oder sonstwie gearteten Netzwerk Traffic zu unterbinden ist eine Frage der Windows Rechte oder Group Settings.
Ob das allerdings wasserdicht umsetzbar ist ist mehr als fraglich.... Wird wohl letztlich nur über feste Firewall Regeln gehen die der User nicht manipulieren kann.
Als Workaround bootet er dann ein Live Linux wie z.B. Knoppix vom USB Stick uns umgeht das so.
Wer pfiffig ist hebelt alles aus was es gibt....
Adomi66
Adomi66 08.04.2014 um 15:56:55 Uhr
Goto Top
Auch wenn es nicht so ganz zur Frage passt, möchte ich als OpenVPN-Nutzer gerne mal auf „OpenVPN4UCS“ von bytemine hinweisen. Ich bin unter anderem deshalb auf das nette Tool gestoßen, weil ich selber Univention Corporate Server für das Anbinden unserer Außendienstler nutze. Natürlich nicht nur dafür. An puren OpenVPN hat mich schon immer die aufwendige Konfiguration gestört. OpenVPN4UCS ist neu im App-Center von UCS ( http://www.univention.de/produkte/ucs/app-katalog/app/details/openvpn4u ... ). Daher bin ich ja überhaupt erst darauf gestoßen. Das Tool erlaubt nicht nur das einfache Installieren von OpenVPN (was ja auch so kein großen Problem ist), sondern stellt auch in der Weboberfläche von UCS bei „ externen Zugriff bereitstellen“ eine grafische Konfigurationsmöglichkeit zur Verfügung. Damit kann ich meinen Benutzern sehr einfach einen VPN Zugang bauen, wobei die erhebliche Vereinfachung gegenüber der manuellen OpenVPN-Konfiguration in der Kapselung der Erstellung von Benutzerzertifikaten und Authentifizierungen liegt. Das Tool kümmert sich um die vollständige Client-Konfiguration und das Erstellen der Zertifikate. Die neue App ist Open Source (GPLv3). Hier ( http://www.bytemine.net/files/openvpn4ucs_howto_de.pdf ) gibt´ s ne Doku.
aqui
aqui 08.04.2014 aktualisiert um 18:33:56 Uhr
Goto Top
Vorab erstmal Danke für den hilfreichen Hinweis obwohl man eine deiner Anmerkungen so nicht unkommentiert stehen lassen kann.
An puren OpenVPN hat mich schon immer die aufwendige Konfiguration gestört.
Nun ja, im Einzelfall ist das ein kleine Konfig Textdatei mit 10 Zeilen die auch ein Azubi im ersten Lehrjahr mit dem Notepad Editor erstellen kann. Kompliziert kann man das eigentlich nicht nennen wenn man mit IT zu tun hat. Jeder der schon mal versucht hat IPsec auf einem Netgear zum Fliegen zu bringen kann ein Lied davon singen face-wink Will sagen auch GUIs wenn sie dumm und schlecht umgesetzt sind helfen nicht immer.
Abgesehen davon setzen verantwortungsvolle Netzwerker einen OpenVPN Server auch niemals auf einem Produktivserver ein der noch AD oder LDAP Server usw. ist und wohlmöglich noch vertrauliche Daten hält. Ein Fehler hier in der Konfig hätte fatale Folgen. Abgesehen fällt bei Wartungsarbeiten usw. am Server auch gleich das VPN Netz aus was nicht gewollt ist. Ein Server soll serven und nicht auch noch routen und die Sicherheit überwachen.
Sinn macht hier immer eine separate Firewall oder einen entsprechenden Router zu verwenden der OVPN supportet. Allein um schon das Gefrickel mit NAT zu umgehen bei Verwendung eines internen VPN Gateways. Zugegeben ist das bei OpenVPN als SSL Vertreter der VPNs recht einfach da nur ein Port (UDP 1194) involviert ist und nicht ein Zoo von Protokollen wie bei IPsec aber dennoch muss ein Loch in eine davorliegende NAT Firewall gebohrt werden was eine Sicherheitseinschränkung ist. Nicht so wenn es direkt auf dem Router oder Firewall rennt.
Alle diese Modelle haben ausnahmslos grafische Oberflächen mit denen eine OVPN Konfiguration auch für Laien in Minutenschnelle per GUI zusammengeklickt ist. Das hiesige Forumstutorial_zu_OVPN hat diverse Beispiele dazu.
Das sollte man auch bedenken.