Randbemerkung: Es stellt sich heraus, dass unser OpenVPN-Server tatsächlich für Split-Tunneling eingerichtet ist, unsere Clients jedoch ihre eigenen Gateways verwenden:
redirect-gateway def1 bypass-dhcp bypass-dns
Dies wurde als Workaround durchgeführt, um auf einige interne Dienste zuzugreifen, die sonst von außen nicht erreichbar sind. Eine passendere Frage wäre: Was ist ein geeigneter Weg, um auf VPN-interne Dienste zuzugreifen, ohne ein Gateway zu verwenden, das den gesamten Datenverkehr über das VPN leiten würde, obwohl ich denke, dass dies ehereine andere Frage für sich.
Ich bin im Homeoffice und habe zwar über den Network Manager eine stabile VPN-Verbindung eingerichtet, allerdings ist deren Geschwindigkeit sehr begrenzt. Zu Hause habe ich eine 1 GBit Verbindung, die VPN-Verbindung bietet im Moment nur 10 MBit.
Während bestimmte Dienste über eine VPN-Verbindung laufen müssen, könnte der Großteil des Datenverkehrs diese problemlos umgehen, da das VPN die Dinge nur verlangsamen würde. (Ich schaue mir insbesondere öffentliche datenintensive Dienste an, wie das Herunterladen von Bildern vom offiziellen Docker-Hub oder dem NPM-Register. Aber nur um es einzurichten, nehmen wir einen Dienst wie fast.com.)
Wie kann ich bestimmte Websites auf die Whitelist setzen, damit sie die VPN-Verbindung nutzen können, oder andere Websites auf die Blacklist setzen, damit sie die VPN-Verbindung nicht nutzen können?
Antwort1
Besprechen Sie es mit den Leuten, die das VPN für Sie eingerichtet haben.
Dies wird allgemein als Split-Routing bezeichnet, wobei der VPN-Tunnel für Ressourcen innerhalb des Unternehmensnetzwerks verwendet wird, während für den Rest das Standard-Gateway verwendet wird. Dies ist normalerweise einfacher als das Filtern nach Dienst. Normalerweise hat das Unternehmenmancheeine Art interner Plan über das Netzwerk, der die Bereitstellung eines Split-Routings erleichtert.
Sie sollten prüfen, ob dies in Ihrer Organisation zulässig ist. Nicht alle Organisationen erlauben Split Routing, weil sie beispielsweise Datenverluste in Ihrem Datenverkehr verhindern möchten.
Antwort2
Hier sind einige Alternativen, die man ausprobieren kann:
- Standard-Gateway nicht ändern:
Ändern der Option „redirect-gateway“ in Ihrer Konfigurationsdirektive in „redirect-private“
- Leiten Sie den Verkehr für VPN nur über VPN weiter:
(funktioniert, wenn der Server explizite Routen an den Client sendet)
Aktivieren Sie das Kontrollkästchen unter VPN-Einstellungen -> IPV4 ->
„Verwenden Sie diese Verbindung nur für Ressourcen in ihrem Netzwerk.“
Wenn sie explizite Routen vorantreiben, wird nur dieser Datenverkehr über das VPN geleitet.
- Pushen von Nicht-VPN-Verkehrdraußendes Tunnels:
Stellen Sie eine Verbindung zu Ihrem VPN her und gehen Sie dann ins Terminal:
host www.sl.se # host you want outside tunnel
194.68.78.65 # the ip of the host above
sudo ip route add 194.68.78.65 dev eth0 # route traffic outside VPN
Dadurch wird der Verkehr außerhalb des VPN an www.sl.se weitergeleitet.
- Push-VPN-VerkehrInnenTunnel Host für Host
Stellen Sie eine Verbindung zu Ihrem VPN her und gehen Sie dann ins Terminal:
host your-vpn-onlyhost.com # host you want inside of tunnel
1.1.1.1.1 # the ip of the host above
sudo ip route add 1.1.1.1 dev tun0 # route traffic inside VPN
Bei allen Beispielen wird davon ausgegangen, dass der Name der VPN-Schnittstelle tun0 und der Name Ihrer Netzwerkkarte eth0 ist. Außerdem wird davon ausgegangen, dass DNS-Namen im Internet löschbar sind.
Antwort3
Was Sie wollen, heißt Split Tunneling.
Was Sie tun können, hängt von der Art des Benutzers ab, der Sie auf Ihrem Client-Rechner sind. Wenn Sie kein Sudoer sind, muss dies von einem solchen Benutzer behoben werden, normalerweise einem Systemadministrator.
Wenn Sie ein Sudoer sind (und vorausgesetzt, dass Ihre Organisation damit einverstanden ist, dass Sie solche Änderungen vornehmen; dies müssen Sie selbst herausfinden), können Siedieser Leitfaden.
Anmerkungen:
Zwischen dem 16.04. und dem 18.04. haben einige Änderungen stattgefunden, deshalb sind ältere Anleitungen möglicherweise nicht vollständig.
Ich weiß nicht, ob es zwischen dem 18.04. und dem 19.10. eine Änderung gab, die dazu führt, dass die Anleitung nicht funktioniert.
Verwandt: