Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN - Verbindungen außerhalb des VPNs verbieten

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

07.04.2014 um 13:20 Uhr, 2332 Aufrufe, 4 Kommentare

Hallo!

Ich suche eine saubere Lösung für meine Außendienstler. Die Notebooks sollen ausschließlich durch den VPN-Tunnel kommunizieren.

Dazu habe ich einen OpenVPN-Server in der Zentrale, zu dem sich die Notebooks verbinden. Problematisch ist aktuell noch, dass so lange bis der Tunnel steht, die Geräte frei online kommen.


Kennt ihr eine Möglichkeit, dass der Client so lange bis der Tunnel steht keine anderen Verbindungen aufbauen kann?

Vielen Dank und Grüße
Phil
Mitglied: orcape
07.04.2014 um 17:32 Uhr
Hi Phil,
es gibt in der OpenVPN-Server.config die Möglichkeit, mit....
"Force all client generated traffic through the tunnel."
....den gesamten Traffic des Clients in den Tunnel zu leiten.
Da der Tunnelaufbau vom Client initiiert wird, sollte sich der Client dann eigentlich automatisch mit deinem Netz verbinden, so bald dessen Netzwerkverbindung steht.
Voraussetzung ist natürlich, das der OpenVPN-Server in der Zentrale auch läuft.
Eine Garantie, das ein versierter Aussendienstler da eine Möglichkeit findet, die Zwangsverbindung über das Firmennetz zu umgehen, gibt es natürlich nicht..
Gruß orcape
Bitte warten ..
Mitglied: aqui
08.04.2014 um 09:51 Uhr
Die Notebooks sollen ausschließlich durch den VPN-Tunnel kommunizieren.
Einfach das Default Gateway auf die Tunnel IP in der client.conf einstellen !
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Thema "Routing all client traffic (including web-traffic) through the VPN"
Steht ja oben schon....

Das Problem ohne VPN jeglichen LAN, WLAN oder sonstwie gearteten Netzwerk Traffic zu unterbinden ist eine Frage der Windows Rechte oder Group Settings.
Ob das allerdings wasserdicht umsetzbar ist ist mehr als fraglich.... Wird wohl letztlich nur über feste Firewall Regeln gehen die der User nicht manipulieren kann.
Als Workaround bootet er dann ein Live Linux wie z.B. Knoppix vom USB Stick uns umgeht das so.
Wer pfiffig ist hebelt alles aus was es gibt....
Bitte warten ..
Mitglied: Adomi66
08.04.2014 um 15:56 Uhr
Auch wenn es nicht so ganz zur Frage passt, möchte ich als OpenVPN-Nutzer gerne mal auf „OpenVPN4UCS“ von bytemine hinweisen. Ich bin unter anderem deshalb auf das nette Tool gestoßen, weil ich selber Univention Corporate Server für das Anbinden unserer Außendienstler nutze. Natürlich nicht nur dafür. An puren OpenVPN hat mich schon immer die aufwendige Konfiguration gestört. OpenVPN4UCS ist neu im App-Center von UCS ( http://www.univention.de/produkte/ucs/app-katalog/app/details/openvpn4u ... ). Daher bin ich ja überhaupt erst darauf gestoßen. Das Tool erlaubt nicht nur das einfache Installieren von OpenVPN (was ja auch so kein großen Problem ist), sondern stellt auch in der Weboberfläche von UCS bei „ externen Zugriff bereitstellen“ eine grafische Konfigurationsmöglichkeit zur Verfügung. Damit kann ich meinen Benutzern sehr einfach einen VPN Zugang bauen, wobei die erhebliche Vereinfachung gegenüber der manuellen OpenVPN-Konfiguration in der Kapselung der Erstellung von Benutzerzertifikaten und Authentifizierungen liegt. Das Tool kümmert sich um die vollständige Client-Konfiguration und das Erstellen der Zertifikate. Die neue App ist Open Source (GPLv3). Hier ( http://www.bytemine.net/files/openvpn4ucs_howto_de.pdf ) gibt´ s ne Doku.
Bitte warten ..
Mitglied: aqui
08.04.2014, aktualisiert um 18:33 Uhr
Vorab erstmal Danke für den hilfreichen Hinweis obwohl man eine deiner Anmerkungen so nicht unkommentiert stehen lassen kann.
An puren OpenVPN hat mich schon immer die aufwendige Konfiguration gestört.
Nun ja, im Einzelfall ist das ein kleine Konfig Textdatei mit 10 Zeilen die auch ein Azubi im ersten Lehrjahr mit dem Notepad Editor erstellen kann. Kompliziert kann man das eigentlich nicht nennen wenn man mit IT zu tun hat. Jeder der schon mal versucht hat IPsec auf einem Netgear zum Fliegen zu bringen kann ein Lied davon singen Will sagen auch GUIs wenn sie dumm und schlecht umgesetzt sind helfen nicht immer.
Abgesehen davon setzen verantwortungsvolle Netzwerker einen OpenVPN Server auch niemals auf einem Produktivserver ein der noch AD oder LDAP Server usw. ist und wohlmöglich noch vertrauliche Daten hält. Ein Fehler hier in der Konfig hätte fatale Folgen. Abgesehen fällt bei Wartungsarbeiten usw. am Server auch gleich das VPN Netz aus was nicht gewollt ist. Ein Server soll serven und nicht auch noch routen und die Sicherheit überwachen.
Sinn macht hier immer eine separate Firewall oder einen entsprechenden Router zu verwenden der OVPN supportet. Allein um schon das Gefrickel mit NAT zu umgehen bei Verwendung eines internen VPN Gateways. Zugegeben ist das bei OpenVPN als SSL Vertreter der VPNs recht einfach da nur ein Port (UDP 1194) involviert ist und nicht ein Zoo von Protokollen wie bei IPsec aber dennoch muss ein Loch in eine davorliegende NAT Firewall gebohrt werden was eine Sicherheitseinschränkung ist. Nicht so wenn es direkt auf dem Router oder Firewall rennt.
Alle diese Modelle haben ausnahmslos grafische Oberflächen mit denen eine OVPN Konfiguration auch für Laien in Minutenschnelle per GUI zusammengeklickt ist. Das hiesige Forumstutorial_zu_OVPN hat diverse Beispiele dazu.
Das sollte man auch bedenken.
Bitte warten ..
Ähnliche Inhalte
Netzwerkprotokolle
OpenVPN – Der Standard der Open-Source-VPNs in der Praxis

Link von runasservice zum Thema Netzwerkprotokolle ...

Netzwerkmanagement
gelöst OpenVPN Verbindung funktioniert. LAN dahinter ist nicht erreichbar (5)

Frage von istike2 zum Thema Netzwerkmanagement ...

Netzwerke
OpenVPN TLS (4)

Frage von fuddel18 zum Thema Netzwerke ...

Router & Routing
Wie OpenVPN zu TorVPN mit dem Linksys WRT54GL? (2)

Frage von 132767 zum Thema Router & Routing ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(5)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Statische Routen mit Shorewall, ISC-DHCP Server konfigurieren für Android Devices (25)

Frage von terminator zum Thema LAN, WAN, Wireless ...

Server
gelöst Wie erkennen, dass nur deutsche IPs Zugang zu einer Website haben? (22)

Frage von Coreknabe zum Thema Server ...

Hardware
16-20 Port POE Switch mit VLAN (19)

Frage von thomasreischer zum Thema Hardware ...

Windows Server
Exchange HyperV Prozessorlast (18)

Frage von theoberlin zum Thema Windows Server ...