Allgemeine Frage zum Traffic Routing bei VPN-Verbindungen

[Hammelkopp]

Doch, natürlich geht das. Man muss nur das Konzept der Routingtabelle verstanden haben und dann kann man sie auch nach Belieben anpassen. Bei einem FirmenVPN ist das in keinster Weise zu empfehlen und sollte ausschließlich über die IT geregelt werden, aber technisch möglich ist es in jedem Fall.

Ok hätte mich präzieser ausdrücken sollen. Im Betriebssystem kenne ich keinen Weg. Das ich die OVPN Config so drehen kann, dass ich selbst angebe welche Netze getunnelt werden war mit neu. Ob das Sinn macht lasse ich mal unkommentiert.

In anderen Lösung (z.B. Cisco Anyconnect) hat man als Client keinen Einfluss auf die Routen. Zumindest nicht unter Windows. Vielleicht gibt es da ein paar Möglichkeiten unter Linux. Nur die Frage wie hoch der Anteil an Linux Clients in Firmen so ist.

 

[Raijin]

Ok hätte mich präzieser ausdrücken sollen. Im Betriebssystem kenne ich keinen Weg. Das ich die OVPN Config so drehen kann, dass ich selbst angebe welche Netze getunnelt werden war mit neu. Ob das Sinn macht lasse ich mal unkommentiert.

Meine Ausführungen handeln von den Bordmitteln des Betriebssystems. OpenVPN nutzt ganz einfach die Routingtabelle des Betriebssystems und etwaige Optionen wie redirect-gateway oder  route tun nichts anderes als zB unter Windows entsprechende route add Kommandos auszuführen, die man auch von Hand hinzufügen könnte. Das heißt natürlich noch lange nicht, dass die VPN-Gegenstelle auch etwas damit anfangen kann, wenn man irgendwas dorthin routet. Einfach so am Client entweder in der Client-Config redirect-gateway eintragen oder von Hand eine Route in die Routingtabelle einzutragen heißt also nicht, dass der VPN-Server es tatsächlich akzeptiert, dass man über ihn ins Internet gehen will. Das ist eine Frage der Server-Firewall.

 

[Hammelkopp]

Meine Ausführungen handeln von den Bordmitteln des Betriebssystems.

Gerade mal getestet. Ich bin per VPN (Sophos) verbunden per Split Tunnel. Ich hab jetzt mal händisch eine Hostroute zu einem der im Tunnel befindlichen IPs am Tunnel vorbei geschickt indem ich eine Random IP im lokalen Netz als Gateway eingetragen habe (Route add x.x.x.x mask 255.255.255.255 x.x.x.x) (Metric und IF händisch setzen habe ich auch probiert)
Laut seiner Theorie, müsste ja der Ping aussetzen - tut er aber nicht. Der Traffic geht weiter durch den Tunnel. In der Routing Tabelle taucht die neue Route auf, jedoch scheint diese nicht zu greifen.

 

[Raijin]

Ich hab jetzt mal händisch eine Hostroute zu einem der im Tunnel befindlichen IPs am Tunnel vorbei geschickt indem ich eine Random IP im lokalen Netz als Gateway eingetragen habe (Route add x.x.x.x mask 255.255.255.255 x.x.x.x) (Metric und IF händisch setzen habe ich auch probiert)

So funktioniert das aber nicht. Es muss ein valider Anwendungsfall sein und nicht eine "Random IP". Routing findet auf Layer 3 statt, aber unter der Haube wird beispielsweise mittels ARP die MAC-Adresse des Ziels bzw. des Gateways ermittelt, also Layer 2. Wenn das Gateway nicht gefunden wird, nutzt das OS auch alternative Routen, wenn die höher priorisierte Route nicht funktionsfähig ist. Wir können gerne einen konkreten und funktionierenden Fall diskutieren, aber dann an anderer Stelle, weil es zu OffTopic wird.

 

[Hammelkopp]

Als Random IP habe ich wie gesagt eine Adresse im Netz eingetragen. Ich bin im 192.168.2.0/24 und habe mal einen Switch mit der .10 eingetragen. Der ist erreichbar. Ping geht
trotzdem.
Einen andere Test habe ich ohne VPN gemacht. Hier einen Host 192.168.5.10 angepingt. Sobald ich eine statische Route auf die 192.168.2.10 setze, funktioniert der Ping nicht mehr. Nehme ich eine IP die es im 192.168.2.0/24 Netz nicht gibt z.B. .233 funktioniert der Ping weiterhin denn dann greift wieder meine Default Route.

 

[Raijin]

Wie gesagt, das gehört hier nicht hin. Aber wenn du Routen auf Switches setzt und es keine L3-Switches sind, die auch routen und an entsprechenden Subnetzen hängen, sind solche Tests witzlos, weil Windows im Hintergrund viele Automatismen hat, die fehlerhaftes Routing ausgleichen, wenn möglich. Sofern du jetzt also nicht mit WireShark genau hinschaust warum und wieso, ist es sinnfrei - oder du baust ein vernünftiges Routing-Setup und testest es damit. Aber nicht nutzlose Routen, die du dann als Nachweis anführst, weil Windows nicht so doof ist wie man manchmal glauben möchte

Das führt an dieser Stelle aber zu weit.

 

[Hammelkopp]

Hm naja ein Verweis auf "irgendwelche" Automatismen ist nicht wirklich hilfreich. Windows kann halt auch nicht zaubern 😉 Das vorgeschlagene Setup ist valide. Woher soll Windows denn deiner Meinung nach wissen, dass die angesprochene IP nicht routet?

Aber ja, gehört hier vielleicht nicht hin.

 

[h00bi]

lediglich die RDP-Verbindung zur festen Ziel-IP wird über OpenVPN geroutet, der Rest läuft normal am VPN vorbei ins offene Internet.

Da wäre ich mir nicht so vollumfänglich sicher.
Bei Split Tunneling wird häufig ein DNS-Server im VPN Netz verwendet.
Alle deine DNS Anfragen gehen dann per VPN zum hinterlegten DNS Server.
Der Traffic selbst geht jedoch direkt raus.
Dementsprechend könne man deine angesurften Seiten mitlesen, nicht aber den Traffic.

Kannst du ja einfach testen per "nslookup" in der powershell / cmd ob mit und ohne VPN Verbindung ein anderer Standardserver ausgegeben wird.