Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

OpenVPN - Verbindungen außerhalb des VPNs verbieten

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

07.04.2014 um 13:20 Uhr, 2445 Aufrufe, 4 Kommentare

Hallo!

Ich suche eine saubere Lösung für meine Außendienstler. Die Notebooks sollen ausschließlich durch den VPN-Tunnel kommunizieren.

Dazu habe ich einen OpenVPN-Server in der Zentrale, zu dem sich die Notebooks verbinden. Problematisch ist aktuell noch, dass so lange bis der Tunnel steht, die Geräte frei online kommen.


Kennt ihr eine Möglichkeit, dass der Client so lange bis der Tunnel steht keine anderen Verbindungen aufbauen kann?

Vielen Dank und Grüße
Phil
Mitglied: orcape
07.04.2014 um 17:32 Uhr
Hi Phil,
es gibt in der OpenVPN-Server.config die Möglichkeit, mit....
"Force all client generated traffic through the tunnel."
....den gesamten Traffic des Clients in den Tunnel zu leiten.
Da der Tunnelaufbau vom Client initiiert wird, sollte sich der Client dann eigentlich automatisch mit deinem Netz verbinden, so bald dessen Netzwerkverbindung steht.
Voraussetzung ist natürlich, das der OpenVPN-Server in der Zentrale auch läuft.
Eine Garantie, das ein versierter Aussendienstler da eine Möglichkeit findet, die Zwangsverbindung über das Firmennetz zu umgehen, gibt es natürlich nicht..
Gruß orcape
Bitte warten ..
Mitglied: aqui
08.04.2014 um 09:51 Uhr
Die Notebooks sollen ausschließlich durch den VPN-Tunnel kommunizieren.
Einfach das Default Gateway auf die Tunnel IP in der client.conf einstellen !
https://openvpn.net/index.php/open-source/documentation/howto.html#redir ...
Thema "Routing all client traffic (including web-traffic) through the VPN"
Steht ja oben schon....

Das Problem ohne VPN jeglichen LAN, WLAN oder sonstwie gearteten Netzwerk Traffic zu unterbinden ist eine Frage der Windows Rechte oder Group Settings.
Ob das allerdings wasserdicht umsetzbar ist ist mehr als fraglich.... Wird wohl letztlich nur über feste Firewall Regeln gehen die der User nicht manipulieren kann.
Als Workaround bootet er dann ein Live Linux wie z.B. Knoppix vom USB Stick uns umgeht das so.
Wer pfiffig ist hebelt alles aus was es gibt....
Bitte warten ..
Mitglied: Adomi66
08.04.2014 um 15:56 Uhr
Auch wenn es nicht so ganz zur Frage passt, möchte ich als OpenVPN-Nutzer gerne mal auf „OpenVPN4UCS“ von bytemine hinweisen. Ich bin unter anderem deshalb auf das nette Tool gestoßen, weil ich selber Univention Corporate Server für das Anbinden unserer Außendienstler nutze. Natürlich nicht nur dafür. An puren OpenVPN hat mich schon immer die aufwendige Konfiguration gestört. OpenVPN4UCS ist neu im App-Center von UCS ( http://www.univention.de/produkte/ucs/app-katalog/app/details/openvpn4u ... ). Daher bin ich ja überhaupt erst darauf gestoßen. Das Tool erlaubt nicht nur das einfache Installieren von OpenVPN (was ja auch so kein großen Problem ist), sondern stellt auch in der Weboberfläche von UCS bei „ externen Zugriff bereitstellen“ eine grafische Konfigurationsmöglichkeit zur Verfügung. Damit kann ich meinen Benutzern sehr einfach einen VPN Zugang bauen, wobei die erhebliche Vereinfachung gegenüber der manuellen OpenVPN-Konfiguration in der Kapselung der Erstellung von Benutzerzertifikaten und Authentifizierungen liegt. Das Tool kümmert sich um die vollständige Client-Konfiguration und das Erstellen der Zertifikate. Die neue App ist Open Source (GPLv3). Hier ( http://www.bytemine.net/files/openvpn4ucs_howto_de.pdf ) gibt´ s ne Doku.
Bitte warten ..
Mitglied: aqui
08.04.2014, aktualisiert um 18:33 Uhr
Vorab erstmal Danke für den hilfreichen Hinweis obwohl man eine deiner Anmerkungen so nicht unkommentiert stehen lassen kann.
An puren OpenVPN hat mich schon immer die aufwendige Konfiguration gestört.
Nun ja, im Einzelfall ist das ein kleine Konfig Textdatei mit 10 Zeilen die auch ein Azubi im ersten Lehrjahr mit dem Notepad Editor erstellen kann. Kompliziert kann man das eigentlich nicht nennen wenn man mit IT zu tun hat. Jeder der schon mal versucht hat IPsec auf einem Netgear zum Fliegen zu bringen kann ein Lied davon singen Will sagen auch GUIs wenn sie dumm und schlecht umgesetzt sind helfen nicht immer.
Abgesehen davon setzen verantwortungsvolle Netzwerker einen OpenVPN Server auch niemals auf einem Produktivserver ein der noch AD oder LDAP Server usw. ist und wohlmöglich noch vertrauliche Daten hält. Ein Fehler hier in der Konfig hätte fatale Folgen. Abgesehen fällt bei Wartungsarbeiten usw. am Server auch gleich das VPN Netz aus was nicht gewollt ist. Ein Server soll serven und nicht auch noch routen und die Sicherheit überwachen.
Sinn macht hier immer eine separate Firewall oder einen entsprechenden Router zu verwenden der OVPN supportet. Allein um schon das Gefrickel mit NAT zu umgehen bei Verwendung eines internen VPN Gateways. Zugegeben ist das bei OpenVPN als SSL Vertreter der VPNs recht einfach da nur ein Port (UDP 1194) involviert ist und nicht ein Zoo von Protokollen wie bei IPsec aber dennoch muss ein Loch in eine davorliegende NAT Firewall gebohrt werden was eine Sicherheitseinschränkung ist. Nicht so wenn es direkt auf dem Router oder Firewall rennt.
Alle diese Modelle haben ausnahmslos grafische Oberflächen mit denen eine OVPN Konfiguration auch für Laien in Minutenschnelle per GUI zusammengeklickt ist. Das hiesige Forumstutorial_zu_OVPN hat diverse Beispiele dazu.
Das sollte man auch bedenken.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
VPN Verbindung via OpenWRT OpenVPN Client nicht möglich (4)

Frage von bfschmlan zum Thema Router & Routing ...

Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

Router & Routing
gelöst OpenVPN Zertifikat abgelaufen - Verbindung nicht möglich (31)

Frage von intane zum Thema Router & Routing ...

Router & Routing
gelöst OpenVPN pfsense (5)

Frage von sebastian2608 zum Thema Router & Routing ...

Neue Wissensbeiträge
Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(14)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

RedHat, CentOS, Fedora

Fedora 27 ist verfügbar

Information von Frank zum Thema RedHat, CentOS, Fedora ...

Heiß diskutierte Inhalte
Linux Desktop
Bildschirmauflösung unter Linux festlegen (12)

Frage von itebob zum Thema Linux Desktop ...

Windows Userverwaltung
gelöst Administrator hat alle Rechte verloren (10)

Frage von mrdead zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Gebäude mit WLAN ausstatten (9)

Frage von udobec zum Thema LAN, WAN, Wireless ...

Windows Server
Kennwort vergessen bei Hyper vserver 2012r (9)

Frage von jensgebken zum Thema Windows Server ...