Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN - Verbindungen außerhalb des VPNs verbieten

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

07.04.2014 um 13:20 Uhr, 2310 Aufrufe, 4 Kommentare

Hallo!

Ich suche eine saubere Lösung für meine Außendienstler. Die Notebooks sollen ausschließlich durch den VPN-Tunnel kommunizieren.

Dazu habe ich einen OpenVPN-Server in der Zentrale, zu dem sich die Notebooks verbinden. Problematisch ist aktuell noch, dass so lange bis der Tunnel steht, die Geräte frei online kommen.


Kennt ihr eine Möglichkeit, dass der Client so lange bis der Tunnel steht keine anderen Verbindungen aufbauen kann?

Vielen Dank und Grüße
Phil
Mitglied: orcape
07.04.2014 um 17:32 Uhr
Hi Phil,
es gibt in der OpenVPN-Server.config die Möglichkeit, mit....
"Force all client generated traffic through the tunnel."
....den gesamten Traffic des Clients in den Tunnel zu leiten.
Da der Tunnelaufbau vom Client initiiert wird, sollte sich der Client dann eigentlich automatisch mit deinem Netz verbinden, so bald dessen Netzwerkverbindung steht.
Voraussetzung ist natürlich, das der OpenVPN-Server in der Zentrale auch läuft.
Eine Garantie, das ein versierter Aussendienstler da eine Möglichkeit findet, die Zwangsverbindung über das Firmennetz zu umgehen, gibt es natürlich nicht..
Gruß orcape
Bitte warten ..
Mitglied: aqui
08.04.2014 um 09:51 Uhr
Die Notebooks sollen ausschließlich durch den VPN-Tunnel kommunizieren.
Einfach das Default Gateway auf die Tunnel IP in der client.conf einstellen !
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Thema "Routing all client traffic (including web-traffic) through the VPN"
Steht ja oben schon....

Das Problem ohne VPN jeglichen LAN, WLAN oder sonstwie gearteten Netzwerk Traffic zu unterbinden ist eine Frage der Windows Rechte oder Group Settings.
Ob das allerdings wasserdicht umsetzbar ist ist mehr als fraglich.... Wird wohl letztlich nur über feste Firewall Regeln gehen die der User nicht manipulieren kann.
Als Workaround bootet er dann ein Live Linux wie z.B. Knoppix vom USB Stick uns umgeht das so.
Wer pfiffig ist hebelt alles aus was es gibt....
Bitte warten ..
Mitglied: Adomi66
08.04.2014 um 15:56 Uhr
Auch wenn es nicht so ganz zur Frage passt, möchte ich als OpenVPN-Nutzer gerne mal auf „OpenVPN4UCS“ von bytemine hinweisen. Ich bin unter anderem deshalb auf das nette Tool gestoßen, weil ich selber Univention Corporate Server für das Anbinden unserer Außendienstler nutze. Natürlich nicht nur dafür. An puren OpenVPN hat mich schon immer die aufwendige Konfiguration gestört. OpenVPN4UCS ist neu im App-Center von UCS ( http://www.univention.de/produkte/ucs/app-katalog/app/details/openvpn4u ... ). Daher bin ich ja überhaupt erst darauf gestoßen. Das Tool erlaubt nicht nur das einfache Installieren von OpenVPN (was ja auch so kein großen Problem ist), sondern stellt auch in der Weboberfläche von UCS bei „ externen Zugriff bereitstellen“ eine grafische Konfigurationsmöglichkeit zur Verfügung. Damit kann ich meinen Benutzern sehr einfach einen VPN Zugang bauen, wobei die erhebliche Vereinfachung gegenüber der manuellen OpenVPN-Konfiguration in der Kapselung der Erstellung von Benutzerzertifikaten und Authentifizierungen liegt. Das Tool kümmert sich um die vollständige Client-Konfiguration und das Erstellen der Zertifikate. Die neue App ist Open Source (GPLv3). Hier ( http://www.bytemine.net/files/openvpn4ucs_howto_de.pdf ) gibt´ s ne Doku.
Bitte warten ..
Mitglied: aqui
08.04.2014, aktualisiert um 18:33 Uhr
Vorab erstmal Danke für den hilfreichen Hinweis obwohl man eine deiner Anmerkungen so nicht unkommentiert stehen lassen kann.
An puren OpenVPN hat mich schon immer die aufwendige Konfiguration gestört.
Nun ja, im Einzelfall ist das ein kleine Konfig Textdatei mit 10 Zeilen die auch ein Azubi im ersten Lehrjahr mit dem Notepad Editor erstellen kann. Kompliziert kann man das eigentlich nicht nennen wenn man mit IT zu tun hat. Jeder der schon mal versucht hat IPsec auf einem Netgear zum Fliegen zu bringen kann ein Lied davon singen Will sagen auch GUIs wenn sie dumm und schlecht umgesetzt sind helfen nicht immer.
Abgesehen davon setzen verantwortungsvolle Netzwerker einen OpenVPN Server auch niemals auf einem Produktivserver ein der noch AD oder LDAP Server usw. ist und wohlmöglich noch vertrauliche Daten hält. Ein Fehler hier in der Konfig hätte fatale Folgen. Abgesehen fällt bei Wartungsarbeiten usw. am Server auch gleich das VPN Netz aus was nicht gewollt ist. Ein Server soll serven und nicht auch noch routen und die Sicherheit überwachen.
Sinn macht hier immer eine separate Firewall oder einen entsprechenden Router zu verwenden der OVPN supportet. Allein um schon das Gefrickel mit NAT zu umgehen bei Verwendung eines internen VPN Gateways. Zugegeben ist das bei OpenVPN als SSL Vertreter der VPNs recht einfach da nur ein Port (UDP 1194) involviert ist und nicht ein Zoo von Protokollen wie bei IPsec aber dennoch muss ein Loch in eine davorliegende NAT Firewall gebohrt werden was eine Sicherheitseinschränkung ist. Nicht so wenn es direkt auf dem Router oder Firewall rennt.
Alle diese Modelle haben ausnahmslos grafische Oberflächen mit denen eine OVPN Konfiguration auch für Laien in Minutenschnelle per GUI zusammengeklickt ist. Das hiesige Forumstutorial_zu_OVPN hat diverse Beispiele dazu.
Das sollte man auch bedenken.
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
Netzwerkprotokolle
OpenVPN – Der Standard der Open-Source-VPNs in der Praxis

Link von runasservice zum Thema Netzwerkprotokolle ...

Router & Routing
gelöst über OpenVPN auf Client mit 3-Netzwerkarten zugreifen und Routen der Netze (10)

Frage von DerosaMH zum Thema Router & Routing ...

Netzwerke
Zugriff vom LAN zu OpenVPN Server (22)

Frage von Aubanan zum Thema Netzwerke ...

Heiß diskutierte Inhalte
CPU, RAM, Mainboards
Kaufberatung für mind. 8 verschiedene HighEnd-Mainboards (23)

Frage von yperiu zum Thema CPU, RAM, Mainboards ...

Mac OS X
Mac kann nicht im LAN pingen alle anderen schon (19)

Frage von smartino zum Thema Mac OS X ...

Hyper-V
Langsames Netzwerk i210 LAN Karte (10)

Frage von Akcent zum Thema Hyper-V ...

Netzwerke
Abisolierwerkzeug (9)

Frage von SarekHL zum Thema Netzwerke ...