themroc
Anmeldungsdatum: 5. November 2006
Beiträge: 1550
Wohnort: JWD bei Berlin
|
Meine Frage steht im Titel: OpenVPN: Nur einzelne Programme über VPN leiten. Wie macht man das? Ich habe von meinem Arbeitgeber eine vorkonfigurierte ovpn-Datei mit der ich mich verbinde. Dann laufen allerdings alle Programme über den restriktiven Arbeitsproxy, obwohl ich nur wenige Programme über den Proxy und vpn brauche. Ich verbinde mich mit sudo so:
/usr/sbin/openvpn --config blabla.ovpn In blabla.ovpn steht u.a. folgendes:
client
dev tun
<connection>
proto udp
remote openvpn.firma.de
port 1194
explicit-exit-notify
nobind
</connection>
<connection>
proto tcp
remote openvpn.firma.de
port 1194
</connection>
...
# FuerSysteme mit "resolvconf" (ubuntu & Debian)
up "/etc/openvpn/client.sh up"
down "/etc/openvpn/client.sh down" Mit /etc/openvpn/client.sh:
#!/bin/sh
UPORDOWN=$1
DEV=$2
case $UPORDOWN in
up)
set |
sed -n "s/^foreign_option_.* DNS \(.*\)'/nameserver \1/; T next; p;
:next; s/^foreign_option_.* DOMAIN \(.*\)'/domain \1/; T; p;" |
resolvconf -a $DEV && resolvconf -u ;;
down)
resolvconf -d $DEV && resolvconf -u ;;
*) echo das war wohl nichts ;;
esac
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
themroc schrieb: Dann laufen allerdings alle Programme über den restriktiven Arbeitsproxy, obwohl ich nur wenige Programme über den Proxy und vpn brauche.
Kannst du spezifizieren welche du über die Arbeit und welche "normal" haben möchtest? Du musst deiner Kiste das ja auch mitteilen, dann könnte man sich Gedanken machen wie genau man das umsetzt. mfg Stefan Betz
|
themroc
(Themenstarter)
Anmeldungsdatum: 5. November 2006
Beiträge: 1550
Wohnort: JWD bei Berlin
|
encbladexp schrieb: Kannst du spezifizieren welche du über die Arbeit und welche "normal" haben möchtest? Du musst deiner Kiste das ja auch mitteilen, dann könnte man sich Gedanken machen wie genau man das umsetzt.
Das kommt darauf an, was geht. Z.B.: 1. Nur Thunderbird und Firefox 2. Alles aber nicht Akonadi (Kmail) und Plasma (Desktopapps) ??
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
OK, was für Dienste willst bzw. musst du von deinem Arbeitgeber nutzen? In der Regel ist das nämlich nur eine Frage vom richtigen Routing, dann kannst du ganz normal surfen und Firmendinge gehen über das VPN. mfg Stefan Betz
|
themroc
(Themenstarter)
Anmeldungsdatum: 5. November 2006
Beiträge: 1550
Wohnort: JWD bei Berlin
|
encbladexp schrieb: OK, was für Dienste willst bzw. musst du von deinem Arbeitgeber nutzen? In der Regel ist das nämlich nur eine Frage vom richtigen Routing, dann kannst du ganz normal surfen und Firmendinge gehen über das VPN.
OK, was meinst Du mit Diensten? Wenn ich sage http und https und imap und smb (also kio für windowsshares) und krdc.
Aber z.B. imap nur für meine Arbeitsmail (Thunderbird mit exchange über imap) und nicht Akonadi (Kmail), dann habe ich da ja schon das Problem, oder?
|
themroc
(Themenstarter)
Anmeldungsdatum: 5. November 2006
Beiträge: 1550
Wohnort: JWD bei Berlin
|
Ich hätte es gerne wie auf meinem Android: Nur bestimmte Apps über VPN leiten: Hier nur LAN-Plugin von Totalcommander und Remote-Desktop-App.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Kann doch nicht so schwer sein:
Ich will den Mailserver (IMAP/SMTP) der Firma nutzen die ich wie XYZ (IPs, Hostname, …) erreiche. Ich muss auf das Intranet mit der Domain XYZ Das Firmennetz sind alles die Dienste welche unter IP Range 10.0.0.0/8 laufen…
Solche Aussagen brauchen damit man deine Frage beantworten kann. In der Regel besteht die Lösung nämlich darin das man sich vom VPN nicht einfach das VPN Gateway als Default Gateway setzen lässt, sondern nur das Netz zur Firma. Dann geht auch alles ohne mehr oder weniger großes gebastel. mfg Stefan Betz
|
themroc
(Themenstarter)
Anmeldungsdatum: 5. November 2006
Beiträge: 1550
Wohnort: JWD bei Berlin
|
encbladexp schrieb: Kann doch nicht so schwer sein:
Ich will den Mailserver (IMAP/SMTP) der Firma nutzen die ich wie XYZ (IPs, Hostname, …) erreiche. Ich muss auf das Intranet mit der Domain XYZ Das Firmennetz sind alles die Dienste welche unter IP Range 10.0.0.0/8 laufen…
Solche Aussagen brauchen damit man deine Frage beantworten kann. In der Regel besteht die Lösung nämlich darin das man sich vom VPN nicht einfach das VPN Gateway als Default Gateway setzen lässt, sondern nur das Netz zur Firma. Dann geht auch alles ohne mehr oder weniger großes gebastel.
Ich dachte die Informationen standen im Post 1 schon drin:
remote openvpn.firma.de
port 1194
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Nein, das ist die Info wie man deine Firma mit dem VPN erreicht. Das sagt aber nicht welche Server/Ziele du mit welchen Anforderungen über das VPN auch tatsächlich erreichen musst. mfg Stefan Betz
|
themroc
(Themenstarter)
Anmeldungsdatum: 5. November 2006
Beiträge: 1550
Wohnort: JWD bei Berlin
|
encbladexp schrieb: Nein, das ist die Info wie man deine Firma mit dem VPN erreicht. Das sagt aber nicht welche Server/Ziele du mit welchen Anforderungen über das VPN auch tatsächlich erreichen musst.
Hallo, war zwischenzeitlich leider zu beschäftigt. Ich würde z.B. gern das Ziel exchange.arbeit.de über Port 143 und smtp.arbeit.de über Port 578 über VPN erreichen. Dann wären die cifs Freigaben von Arbeit noch nett: Welche Ports sind das? Die Adressen kenne ich ja. Hier wäre auch die Frage: Wird immer der Traffic über einen Port umgeleitet? Denn dann könnte ich ja in dem Moment meine privaten Mails, die den gleichen Port benutzen, nicht mehr lesen.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
themroc schrieb: Ich würde z.B. gern das Ziel exchange.arbeit.de über Port 143 und smtp.arbeit.de über Port 578 über VPN erreichen.
Das ist doch schon mal schön, was du jetzt machen musst: Diese Ziele über das VPN Routen. Das kann man z.b. so machen:
ip route add ZIELADRESSE via GATEWAYADRESSEVOMVPN
Hier wäre auch die Frage: Wird immer der Traffic über einen Port umgeleitet? Denn dann könnte ich ja in dem Moment meine privaten Mails, die den gleichen Port benutzen, nicht mehr lesen.
Du routest auf Basis von Zielhosts, der Port juckt dich da nicht. Das ist auch sowohl im OSI/ISO als auch DOD Modell der Netzwerktechnik ein komplett anderer Layer. mfg Stefan Betz
|
themroc
(Themenstarter)
Anmeldungsdatum: 5. November 2006
Beiträge: 1550
Wohnort: JWD bei Berlin
|
encbladexp schrieb: ip route add ZIELADRESSE via GATEWAYADRESSEVOMVPN
Und das gebe ich im Verbindungsskript am Ende mit ein? Und muss es vermutlich nach dem Trennen wieder rückgängig machen, oder?
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
themroc schrieb: Und das gebe ich im Verbindungsskript am Ende mit ein?
Dazu müsste ich wissen wie du dein VPN aufbaust. Ausgehend davon das dein VPN nicht das Default Gateway ersetzt (ip route show sagt uns das wenn das VPN steht) tut dieser Befehl direkt in einer Konsole mit sudo auch direkt. So kannst du testen ob es funktioniert.
Und muss es vermutlich nach dem Trennen wieder rückgängig machen, oder?
Nein. Kannst du, musst du aber nicht unbedingt. mfg Stefan Betz
|
themroc
(Themenstarter)
Anmeldungsdatum: 5. November 2006
Beiträge: 1550
Wohnort: JWD bei Berlin
|
encbladexp schrieb: themroc schrieb: Und das gebe ich im Verbindungsskript am Ende mit ein?
Dazu müsste ich wissen wie du dein VPN aufbaust. Ausgehend davon das dein VPN nicht das Default Gateway ersetzt (ip route show sagt uns das wenn das VPN steht) tut dieser Befehl direkt in einer Konsole mit sudo auch direkt. So kannst du testen ob es funktioniert.
Und muss es vermutlich nach dem Trennen wieder rückgängig machen, oder?
Nein. Kannst du, musst du aber nicht unbedingt. mfg Stefan Betz
OK, vielen vielen Dank erstmal. Ich melde mich wieder, wenn ich es getestet und mich bisschen eingearbeitet habe.
|
themroc
(Themenstarter)
Anmeldungsdatum: 5. November 2006
Beiträge: 1550
Wohnort: JWD bei Berlin
|
encbladexp schrieb: Dazu müsste ich wissen wie du dein VPN aufbaust. Ausgehend davon das dein VPN nicht das Default Gateway ersetzt (ip route show sagt uns das wenn das VPN steht) tut dieser Befehl direkt in einer Konsole mit sudo auch direkt. So kannst du testen ob es funktioniert.
Also ip route show bei stehender VPN-Verbindung sagt:
0.0.0.0/1 via 172.29.0.1 dev tun0
default via 192.168.178.1 dev wlan0 proto static metric 600
128.0.0.0/1 via 172.29.0.1 dev tun0
169.254.0.0/16 dev wlan0 scope link metric 1000
172.29.0.0/18 dev tun0 proto kernel scope link src 172.29.1.72
192.168.178.0/24 dev wlan0 proto kernel scope link src 192.168.178.37 metric 600
193.175.73.200 via 192.168.178.1 dev wlan0 Verbinden tue ich mich in der Konsole durch Aufruf eines Bash-Skript in dem folgendes steht:
| #!/bin/sh
cd `dirname $0`
/usr/sbin/openvpn --config blabla.ovpn
|
Alles wie in meinem Eröffnungspost beschrieben. Am Ende von blabla.ovpn wird dann /etc/openvpn/client.sh aufgerufen:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15 | #!/bin/sh
UPORDOWN=$1
DEV=$2
case $UPORDOWN in
up)
set |
sed -n "s/^foreign_option_.* DNS \(.*\)'/nameserver \1/; T next; p;
:next; s/^foreign_option_.* DOMAIN \(.*\)'/domain \1/; T; p;" |
resolvconf -a $DEV && resolvconf -u ;;
down)
resolvconf -d $DEV && resolvconf -u ;;
*) echo das war wohl nichts ;;
esac
|
|