alle
Gibt es eine Möglichkeit, festzustellen, ob der OpenVPN-Server von allen „wie vorgesehen“ verwendet wird? Die Unternehmensregel besagt, dass nur das lokale Netzwerk über das VPN zugelassen wird, nicht das „gesamte“ Internet. Aber manchmal richten es einige Benutzer falsch ein und meines Wissens kann man das nicht einmal serverseitig erzwingen, oder? Deshalb möchte ich es zumindest überwachen.
Antwort1
Die Unternehmensregel besteht darin, nur das lokale Netzwerk über das VPN zuzulassen, nicht das „gesamte“ Internet.
Ich gehe davon aus, dass Sie meinen, Benutzer sollten das VPN nur für den Zugriff auf interne Ressourcen verwenden, nicht für den Zugriff auf das Internet (auf das sie auch ohne VPN zugreifen können).
Dies ist bekannt alsSplit-Tunneling.
Wenn dies der Fall ist,Sie können dies tatsächlich auf dem OpenVPN-Server erzwingen:
Wie richte ich es im OpenVPN Access Server ein?
In der Admin-Web-Benutzeroberfläche können Sie Split-Tunneling mit einem einfachen Klick auf einen Umschaltknopf starten. Stellen Sie unter „Konfiguration > VPN-Einstellungen > Routing“ die Option „Soll der Internetverkehr des Clients über das VPN geleitet werden?“ auf „Nein“. Wenn Sie „Nein“ wählen, durchläuft der für Ihre privaten Netzwerke bestimmte Verkehr das VPN. Der übrige Verkehr umgeht das VPN.
Zusätzlich zu dieser Einstellung müssen Sie auch die privaten Subnetze definieren, auf die die Clients zugreifen sollen. Dies können Sie unter Konfiguration > VPN-Einstellungen > Routing tun, indem Sie die Subnetze im Eingabefeld mit der Beschriftung: „Geben Sie die privaten Subnetze an, auf die alle Clients Zugriff erhalten sollen (eins pro Zeile)“ angeben.
Selbst wenn dies nicht möglich wäre oder Split-Tunneling nicht das ist, was Sie eigentlich meinten, können Sie diese Art der Nutzung immer mit einer Firewall-Regel überwachen oder unterbinden, die jeglichen Datenverkehr über den VPN-Server zum Internet blockiert (oder nur protokolliert).