Wie kann ich das Standardziel nicht über einen VPN-Tunnel weiterleiten?

Wie kann ich das Standardziel nicht über einen VPN-Tunnel weiterleiten?

Es gibt Millionen von Websites, die beschreiben, wie man das Netzwerkrouting so konfiguriert, dass der gesamte Datenverkehr durch den VPN-Tunnel geleitet wird. Doch was ist das genaue Gegenteil?

Auf der pfSense-Firewall ist ein OpenVPN-Server konfiguriert und nur bestimmte Ziele sollten den VPN-Tunnel passieren. Die Standardroute sollte den Tunnel nicht verwenden.

route -n
Ziel    Router       Genmask    Flags Metric Ref Use Iface
0.0.0.0 192.168.x.x  0.0.0.0    UG    50     0   0   tun0
0.0.0.0 192.168.y.y  0.0.0.0    UG    600    0   0   wlp2s0

(Offensichtlich ist entweder die 1. Zeile zu viel oder ihre Metrik sollte >600 sein).

Ich möchte, dass dies im Linux Networkmanager und in Windows 10 eingestellt wird. Wie geht das? PfSense kann das Standard-Gateway nur zwingen, auf den Tunnel zu verweisen. Daher denke ich, dass die Entscheidung, den Tunnel nicht für die Standardroute zu verwenden, beim Client liegt.

Antwort1

Mit anderen Worten möchten Sie Folgendes erreichen: _ Senden Sie den spezifischen VPN-Verkehr über den VPN-Tunnel. _ Der gesamte restliche Verkehr sollte das Standard-Gateway verwenden.

Sie benötigen statische Routen und ein Standard-Gateway. Lassen Sie das Standard-Gateway so wie es ist: nicht durch den Tunnel.

Der gesamte VPN-Tunnelverkehr sollte jetzt über statische Routen abgewickelt werden. Da es sich um VPNs handelt, sollten Sie Ihre Zielsubnetze kennen. Unabhängig davon, ob es sich um SSL-VPN im Tunnelmodus oder IPSEC-VPN handelt, sollten Sie wahrscheinlich wissen, wohin Sie den Verkehr senden.

Wenn das Zielsubnetz beispielsweise 10.0.3.0/24 ist, erstellen Sie eine statische Route auf dem pfSense-Router: Ziel: 10.0.3.0/24 Gateway: IP des Tunnels

Wenn Sie googeln, erhalten Sie diese Seite:https://doc.pfsense.org/index.php/Static_Routes

Zu Ihrer Frage „Ich möchte, dass dies im Linux Networkmanager und in Windows 10 eingestellt wird.“: Nun, das hängt alles von Ihrem Setup ab. Ehrlich gesagt ist dies nicht erforderlich und es wird schnell chaotisch, je mehr Arbeitsstationen und Subnetze Sie haben. Wenn Ihre Benutzer auf Apps zugreifen, verwenden Sie einfach FQDN und überlassen Sie die Arbeit pfSense.

Bei einigen Anbietern besteht die Möglichkeit, Clients wie FortiClient oder Cisco Anyconnect zu installieren, die die Routing-Tabelle des Geräts direkt ändern. Das könnte Ihnen auch helfen. Übrigens, FortiClient, aber Sie müssen die Kompatibilität für die Tunnelerstellung prüfen.

Grüße

verwandte Informationen