Ein PC - Verschiedene Gateways

[RedSkall]

Hi Leute,

die Internetverbindung meines PCs läuft über ein VPN. Also zeigt mein Gateway auf das VPN-Gerät in meinem Heimnetzwerk (welches wiederum über meinen Router ins internet geht).

Zum Verständnis: Ich könnte auf meinem PC das Gateway auch auf den Router legen, dann würde ich ohne VPN normal die Internetverbindung aufbauen.

Jetzt zum Problem:
Auf meinem PC läuft ein FTP-Server der von aussen erreichbar sein soll.
Theoretisch müsste ich jetzt meinem FTP-Server sagen dass er die Internetverbindung über den Router nehmen soll. Der restliche Internetvekehr meines PCs soll über das VPN-Gerät laufen (Denke jetzt ist der Titel dieses Themas klar geworden).

Wie kann ich das am besten angehen?
Will demnächst Windows Server 2012 installieren, falls mir das weiter hilft.

Gruß,
Marco

 

[HominiLupus]

Nutze eine VM mit eigener IP im LAN (ohne VPN) Netzwerk für den FTP Server. Eine Linux Kiste mit FTP Server kann locker mit 16MB auskommen.

 

[Pupp3tm4st3r]

Zweites Interface mit anderem Gateway und FTP Server auf diese IP binden?

 

[Eagle_B5]

Oder lasse den Internet Gateway und konfigurier dein VPN so, dass nur die relevanten Netze dort durch geschlauft werden und nicht alles.

 

[RedSkall]

Die Lösung mit den zwei Interfaces gefällt mir gut.

Unter "Netzwerkverbindungen / Erweitert / Erweiterte Einstellungen" kann ich die Reihenfolge festlegen in der Netzwerkdienste auf Netzwerkadapter zugreifen.

Dort würde ich dann ja Netzwerkadapter 1 (verschlüsseltes Internet) VOR Netzwerkadapter 2 (offenes Internet) eingestellt werden. Wenn ich diese Reihenfolge aber vertausche geht mein Rechner immernoch über den verschlüsselten Adapter ins Internet.
Was mache ich falsch?

Gruß und danke,
Marco

 

[Eagle_B5]

Was zeigt dir in einem cmd das Kommando "route print" an?

 

[RedSkall]

Hier der Auszug wenn die verschlüsselte Verbindung als erstes angewählt ist:

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. [tweaked by QfG].

C:\Users\Administrator>route print
===========================================================================
Schnittstellenliste
 11...80 ee 73 41 b1 2f ......Realtek PCIe GBE Family Controller
 19...68 05 ca 46 d0 92 ......Intel(R) Gigabit-CT-Desktopadapter
 13...00 ac 45 e9 1a 2f ......VPN Client Adapter - SoftEther
  1...........................Software Loopback Interface 1
 21...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter
 12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 14...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2
 20...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3
===========================================================================

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.100.1   192.168.100.11     11
          0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.11    266
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
    130.158.6.115  255.255.255.255    192.168.100.1   192.168.100.11     11
      192.168.0.0    255.255.255.0   Auf Verbindung      192.168.0.11    266
     192.168.0.11  255.255.255.255   Auf Verbindung      192.168.0.11    266
    192.168.0.255  255.255.255.255   Auf Verbindung      192.168.0.11    266
     192.168.30.0    255.255.255.0   Auf Verbindung     192.168.30.11    276
    192.168.30.11  255.255.255.255   Auf Verbindung     192.168.30.11    276
   192.168.30.255  255.255.255.255   Auf Verbindung     192.168.30.11    276
    192.168.100.0    255.255.255.0   Auf Verbindung    192.168.100.11    266
    192.168.100.1  255.255.255.255   Auf Verbindung    192.168.100.11    266
   192.168.100.11  255.255.255.255   Auf Verbindung    192.168.100.11    266
  192.168.100.255  255.255.255.255   Auf Verbindung    192.168.100.11    266
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung    192.168.100.11    266
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.0.11    266
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.30.11    276
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung    192.168.100.11    266
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.0.11    266
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.30.11    276
===========================================================================
Ständige Routen:
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
          0.0.0.0          0.0.0.0      192.168.0.1  Standard
          0.0.0.0          0.0.0.0    192.168.100.1       1
===========================================================================

IPv6-Routentabelle
===========================================================================
Aktive Routen:
 If Metrik Netzwerkziel             Gateway
 11    266 ::/0                     fe80::44:3ff:fe42:51e1
 19    266 ::/0                     fe80::44:3ff:fe42:51e1
  1    306 ::1/128                  Auf Verbindung
 11     18 fdfa::/64                Auf Verbindung
 19     18 fdfa::/64                Auf Verbindung
 11    266 fdfa::447:85fd:21e0:a3b5/128
                                    Auf Verbindung
 19    266 fdfa::4974:7e34:7cb4:f594/128
                                    Auf Verbindung
 11    266 fdfa::591d:e05d:7eb2:d3c1/128
                                    Auf Verbindung
 19    266 fdfa::6822:45b7:b379:cc87/128
                                    Auf Verbindung
 11    266 fe80::/64                Auf Verbindung
 19    266 fe80::/64                Auf Verbindung
 11    266 fe80::447:85fd:21e0:a3b5/128
                                    Auf Verbindung
 19    266 fe80::4974:7e34:7cb4:f594/128
                                    Auf Verbindung
  1    306 ff00::/8                 Auf Verbindung
 11    266 ff00::/8                 Auf Verbindung
 19    266 ff00::/8                 Auf Verbindung
===========================================================================
Ständige Routen:
  Keine

Wenn die unverschlüsselte Verbindung zuerst benutzt werden soll sind die ersten beiden Einträge getauscht (ergibt ja sinn).

 

[Eagle_B5]

das ist das Problem mit zwei default Gateways... jeder der beiden (192.168.0.1 und 192.168.100.1) routet alles, was nicht genauer spezifiziert wurde. Jetzt kommt es auf die Metrik an, welcher zuerst kommt. Wenn du bestimmte Netze zB. 10.0.0.0/24 über den anderen Gateway routen möchtest, werden statische Einträge pflichtig.

Eine Möglichkeit ist den default Gateway, auf dem der FTP Server laufen soll, zu entfernen. Wenn sich Router und FTP Server im selben Subnetz befinden, kann der FTP Server über einen DNAT Eintrag auf dem Router im Internet über die öffentliche IP verfügbar gemacht werden.
(Wenn sich Router und FTP Server in unterschiedlichen Subnetzen befinden, aber Geroutet sind, wird ein statischer Routing Eintrag nötig.)

 

[RedSkall]

hi und danke für aus ausführliche info!

der router hat einen dynamischen dns und der ftp- und vpn-server sind über portweiterleitung auf meinen rechner weitergeleitet.

das default gateway auf dem ftp-lan-adapter habe ich rausgenommen, aber noch ohne erfolg.
ftp und router sind aber beide im selben netz (192.168.0.0)..

 

[Raijin]

Nur mal so am Rande: Du bist dir des Risikos bewusst, einen FTP ins Netz zu stellen? FTP ist unverschlüsselt und sogar Logins werden in Klartext übertragen.

Mein Rat: Nutze statt nacktem FTP lieber SFTP bzw FTPS (nicht dasselbe). Beides sind verschlüsselte FTP Protokolle.

Zum Routing: Soweit ich weiß kann Windows kein PBR (Policy Based Routing). Das hat Microsoft ganz bewusst weggelassen. Mit PBR könnte man zB anstelle vom Ziel nach der Quelle routen. Mit Linux geht PBR und da legt man zB 2 separate Routingtabellen an (zB eine via Default VPN, eine via Standard Router) und selektiert die entsprechende Tabelle zB anhand des FTP-Ports 21. Alles was den PC dann auf Port 21 verlässt, ginge stets über die Routingtabelle ohne VPN, während der Rest die andere Routingtabelle mit VPN-Gateway nutzt..

Leider geht das mit Windows so nicht. Du müsstest also entweder einen Router mit Linux (zB OpenWRT oder ein PI) vorschalten, der das übernimmt, oder du machst es wie vorgeschlagen mit einer VM. Bei der VM muss das LAN dann auf bridged stehen damit die VM eine eigene IP im LAN bekommt. Dann kannst du in der VM das Standardgateway auf den Internetrouter stellen und gut is.

Steht das VM-LAN dagegen auf NAT, sind VM und Host in einem eigenen Subnetz und der Host-Pc fungiert quasi als Router - mit obigen Konsequenzen bei einem Windows-Host als Router. Der Host würde die VM also normal über sein eigenes Gateway routen, die VPN Box, weil Windows eben ausschließlich anhand der Ziel-IP routet.

 

[Eagle_B5]

Mach mir mal eine Zeichnung mit allen relevanten Verbindungen und IP Adressen.

 

[RedSkall]

Der FTP Server ist genaugenommen natürlich ein FTPS-Server

Muss leider schon bei Windows bleiben, auch wenn ich schon öfter mal überlegt hatte Linux zu installieren.. Windows 2012 Server kann auch kein PBR?

Das VPN Gerät ist nen Pi (Enigmabox mit OpenWRT). Der könnte es ja übernehmen.
Dann hätte ich in meinem PC:
- nach wievor einen einzigen Netzwerkadapter mit 2 IP-Adressen (für beide Subnetze)
- ein Gateway auf den Pi (und der routet dann entsprechend)

richtig?

 

[Raijin]

Ich kann nicht aus eigener Erfahrung sprechen, weil ich kein Windows Server einsetze oder eingesetzt habe, aber Microsoft hat im Technet dazu gesagt, das sie PBR nicht bieten, weil das ihrer Meinung nach Aufgabe eines Hardware-Routers ist. Ob sie sich in neueren Versionen vom Gegenteil überzeugen ließen kann ich nicht sagen, da ich Windows Server nicht nutze.

Das erinnert mich irgendwie an den "Start"-Button und den klassischen Desktop, den ja nach Meinung von Microsoft auch niemand brauchte. Wie überrascht man in Redmond war als sie begriffen haben, dass der Rest der Welt anders denkt......


Als Host kannst du ja gerne weiterhin Windows einsetzen, aber eine kleine Linux-VM als FTP ist doch kein Ding. Oder warum versteifst du dich so auf Windows?

Wenn du einen Router mit Linux vorschaltest (OpenWRT, PI, etc) kannst du mit PBR zB so routen, dass Pakete von der Server-IP + Quell-Port 21 über eine zweite Routingtabelle mit Default-Gateway=Internetrouter gehen sollen. Der Rest geht per default über die Routingtabelle via VPN-Gateway.

Grundsätzlich rate ich im übrigen davon ab, den gesamten Traffic immer per VPN zu routen. Es gibt vereinzelt - aber künftig immer mehr - Dienste, die bekannten VPNs blacklisten. Ich hab zB schon durch Zufall zwei OnlineShops entdeckt, die meine Bestellung geblockt haben, weil ich vergessen hatte, mein Cyberghost auszumachen. Netflix hat zu dem vor einem halben Jahr oder so angekündigt, VPNs zu blacklisten, um Regionalsperren künftig besser durchsetzen zu können.


Tunnelt man also grundsätzlich alles, kann man sich im worst case ins eigene Knie schießen. Zumal dann die effektive Internetbandbreite nicht zuletzt auch vom VPN Anbieter abhängt, wenn dieser nicht den vollen Speed des Anschlusses bieten kann. Ich persönlich nutze VPN-Dienste nur bei Bedarf (durch manuelle Gateway Umschaltung) und wenn, würde ich PBR per default via Router und nur gezielte Dinge via VPN leiten statt andersherum.

 

[RedSkall]

Stimmt, Microsoft ist teilweise echt resistent gegenüber anderer Ansichten..

Ich benutze Windows weil ich mich besser damit auskenne. Aber ne VM einrichten will ich eigentlich nicht weil ich die Lösung 'unschön' finde - ist zugegeben nen Tick von mir, möchte diese Aufgabe von physikalischen Maschinen gelöst haben

Ich werde mit meinem Pi experimentieren. Vielleicht melde ich mich dann dazu nochmal in nem separaten Thread.

Danke für eure Hilfe! Gruß,
Marco