Wie kann ich ein Split Tunneling auf IP-Ebene zentral am Gateway/Router einrichten? Geht das mit Ubiquiti GW oder Opensense?

[Sani]

Hallo zusammen,

folgendes Scenario:

Mein Ziel ist: ich möchte für alle Rechner in meinem Home dass alle IPs "frei" ins Internet dürfen, bis auf ein paar IPs, die sollen über ein VPN geschickt werden.
Wie kann ich dieses Split-Tunneling machen?
Einfach auf "App-Ebene" wie viele VPNDienste es anbieten, passt es ja nicht, da der VPN auf einem Gateway/Router läuft und dort ja keine "App" bekannt ist.
Als VPN verwende ich im Moment Surfshark.
Ich bin am überlegen, ob ich mein Netz auf Ubiquiti/Unifi umstelle. Dort habe ich gesehen, dass man Firewallregeln erstellen kann und dazu auch ein VPN aufbauen kann. Meine Frage wäre: kann man das ganze dann so in der Firewall einrichten, dass bestimmte IP-Ranges auf den VPN geleitet werden?

Ist so etwas technisch möglich?

Oder ggf. auch mit einer anderen Netzwerktopologie wie z.B. einer Opensense?

 

[scooter010]

Was ist ein VNC? Meinst du VPN?
Und sollen ein paar Rechner deines Heimnetzes durch das VPN gehen oder nur beim Aufruf gewissen Ziel-IPs?

Am Einfachsten wäre es wohl, wenn der jeweilige Rechner selbst ein VPN auf baut und du die lokalen Routen entsprechend erstellst.

 

[HighTech-Freak]

Du meinst wohl VPN. Ja, das kann Unifi.

@scooter010 jain... wenn der Client der TV ist mit Netflix und Co drauf dann ist die vom OP vorgeschlagene Lösung mE die beste. Unter anderem kann ma so auch sehr easy eine separate SSID erstellen, die übers VPN geleitet wird. Das is von der Usability her ziemlich smooth.

 

[till69]

Wie kann ich dieses Split-Tunneling machen?

Mit einem zweiten Gateway (z.B. RasPi)

 

[Martin.80]

In Unifi kannst du dafür „Policy-based Routes“ erstellen, damit kannst du einzelne lokale Geräte (IPs) über komplett über ein VPN Interface schicken.

 

[Sani]

Was ist ein VNC? Meinst du VPN?
Und sollen ein paar Rechner deines Heimnetzes durch das VPN gehen oder nur beim Aufruf gewissen Ziel-IPs?

Am Einfachsten wäre es wohl, wenn der jeweilige Rechner selbst ein VPN auf baut und du die lokalen Routen entsprechend erstellst.

Ja.. Ich meine VPN. Habe es korrigiert. Sorry.

Du meinst wohl VPN. Ja, das kann Unifi.

Das unifi das kann weiss ich. Frage ist: kann der dass auch nur für einzelne IPs über das VPN schicken?

Mit einem zweiten Gateway (z.B. RasPi)

Habe hier ein Proxmox am laufen. Konnte das also einreichen, anbei wie müsste das korrigiert werden, das nur einzelne IP Adressen über darf anderer Gateway gehen?

 

[scooter010]

Ansonsten ginge ein zweites Gateway. Problem ist, dann eben DHCP. Normalerweise verwendet man für sowas ein Gateway, dass durch entsprechende Regeln gesteuert wird. Eigentlich werden Clients, die wo anders hin reden sollen, sogar in ein anderes Netzwerk gepackt. Ich verstehe ja den Sinn der Aktion noch nicht.

Am einfachsten ist es immer noch, wenn die Clients das selber machen. Wenn es um Sicherheit geht, dann muss separates Netzwerk. Alles dazwischen ist IMHO Quatsch, da sich ein Client ja eine beliebige Adresse selbst geben kann, egal was dhcp sagt.

 

[till69]

dass bestimmte IP-Ranges auf den VPN geleitet werden?

Für Ziel-IP-Ranges kann das schon eine Fritzbox (Beispiel für Zattoo CH):

 

[HighTech-Freak]

Auf dein PROXMOX eine Router-Distri installieren und gut is... Ist halt dann die multi-gateway Lösung wie von @scooter010 beschrieben die manuelle IPs benötigt (DHCP weist ja das "falsche" Gateway zu). Alternativer Ansatz ist ein VLAN für die entsprechenden Geräte aufspannen und das auf eine SSID mappen. Dann hat man die gleiche Usability wie in der Unifi Lösung.

(Wenn Alexas oder ähnliches über das VPN geschickt werden sollen brauchts defintiv eine Lösung mit DHCP sonst endet das in Frickelei)

EDIT: Ja, auch Unifi kann einzelne Geräte übers VPN routen.

 

[Sani]

Für Ziel-IP-Ranges kann das schon eine Fritzbox (Beispiel für Zattoo CH):

Anhang anzeigen 1499617

Und das bedeutet: Alle IPs mit dem Ziel 91.123.96.0/20 und 193.247.42.0/24 werden in den VPN geroutet?

Ansonsten ginge ein zweites Gateway. Problem ist, dann eben DHCP. Normalerweise verwendet man für sowas ein Gateway, dass durch entsprechende Regeln gesteuert wird. Eigentlich werden Clients, die wo anders hin reden sollen, sogar in ein anderes Netzwerk gepackt. Ich verstehe ja den Sinn der Aktion noch nicht.

Am einfachsten ist es immer noch, wenn die Clients das selber machen. Wenn es um Sicherheit geht, dann muss separates Netzwerk. Alles dazwischen ist IMHO Quatsch, da sich ein Client ja eine beliebige Adresse selbst geben kann, egal was dhcp sagt.

Hm..genau das geht so nicht. Haben alle den gleichen DHCP-Server.

Meine Idee ist / war: Alle Pakete mit der IP X1 oder X2 oder X3 sollen (durch die Firewall?) in den VPN Tunnel geroutet werden und alle anderen IPs sollen mit dem Standardgateway geroutet werden.

Ergänzung (7. Juli 2024)

EDIT: Ja, auch Unifi kann einzelne Geräte übers VPN routen.

Jo.. Geräte wäre kein Thema...aber auf den Geräten gibt es nur einzelne IPs die anderes geroutet werden sollen und nicht pauschal ein Gerät.
Bleiben wir bei dem Beispiel von oben: Zattoo CH
Egal welches Geräte Zattoo verwendet, die Zattoo Datenpakete sollen über Wireguard in den VPN geschickt werden.
Alle anderen Pakete sollen nicht mit Wireguard behandelt werden und normal ins Internet geroutet werden.
Wie mache ich das? So ganz blicke ich es noch nicht....

 

[scooter010]

Das ist normales routing. Also doch nicht abhängig von der quell-ip (gerät in deinem Netzwerk) sondern von der Ziel IP soll geroutet werden? Das ist einfach und wurde auch schon genannt hier im thread.

 

[till69]

Und das bedeutet: Alle IPs mit dem Ziel 91.123.96.0/20 und 193.247.42.0/24 werden in den VPN geroutet?

Jep