Anzeige:
Ergebnis 1 bis 14 von 14

Thema: Internet nur noch über VPN zulassen

  1. #1
    Registrierter Benutzer Avatar von rico.danne
    Registriert seit
    Jun 2016
    Beiträge
    7

    Internet nur noch über VPN zulassen

    Hallo Profis, ich suche jemanden der sich mit Iptables auskennt. Mein System startet mit einer OpenVPN Verbindung und ich möchte, dass es garantiert wird das auch nur diese benutzt wird. Meine reale IP darf nur noch das Recht haben zum OpenVPN Server zu kommunizieren und mit der zugewiesenen VPN-IP soll dann der Zugriff ins Internet erlaubt werden.

  2. #2
    Universaldilletant Avatar von fork
    Registriert seit
    Dec 2001
    Ort
    Frankfurt/Main
    Beiträge
    1.175
    Auf deiner lokalen Büchse(statische IP-Konfiguration!)
    Code:
    route del default
    route add default IP-REMOTE-ENDPOINT.DER.VPN-VERBINDUNG gw LOCAL.GATEWAY.IP
    route add default gw IP-REMOTE-ENDPOINT.DER.VPN-VERBINDUNG
    iptables -A OUTPUT -d IP-REMOTE-ENDPOINT.DER.VPN-VERBINDUNG -j ACCEPT
    iptables -A OUTPUT -J REJECT
    ...und dann noch das NAT auf dem VPN-Server
    Code:
    echo 1 >/proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -o PUBLIC_INTERFACE_NAME_VPN_SERVER -j MASQUERADE
    Dann klappt das auch damit, dass nur noch das die IP des Servers bei den Torrentz sichtbar ist.

  3. #3
    Registrierter Benutzer Avatar von rico.danne
    Registriert seit
    Jun 2016
    Beiträge
    7
    Super, vielen Dank schonmal für deine Hilfe, werde es nachher mal testen. Kannst du mir bitte noch erklären was diese Texte zu bedeuten haben...

    IP-REMOTE-ENDPOINT.DER.VPN-VERBINDUNG
    = VPN-IP? z.B. 125.545.147.85

    LOCAL.GATEWAY.IP
    = 127.0.0.1 oder 192.168.192.24?

    PUBLIC_INTERFACE_NAME_VPN_SERVER
    = ?

  4. #4
    Universaldilletant Avatar von fork
    Registriert seit
    Dec 2001
    Ort
    Frankfurt/Main
    Beiträge
    1.175
    IP-REMOTE-ENDPOINT.DER.VPN-VERBINDUNG:

    Bei VPN das via tun hergestellt wird hast Du einen lokalen IP-Endpunkt und einen entfernten Endpunkt. Die entfernte Endpunkt-Adresse ist Dein Router hier.

    LOCAL.GATEWAY.IP:

    Das ist dein lokaler Router, der dich ins Internet bringt. Also Fritz-Box oder so etwas.

    PUBLIC_INTERFACE_NAME_VPN_SERVER:

    Das ist der Name des Netzwerkgerätes auf deinem VPN-Server, das die öffentliche IP konfiguriert hat. Bekommst Du raus mit ifconfig oder ip addr show

  5. #5
    Registrierter Benutzer Avatar von rico.danne
    Registriert seit
    Jun 2016
    Beiträge
    7
    Ok, danke. Ich möchte nochmal darauf zurück kommen was ich eigentlich mit Iptables bezwecken möchte. Da ich mir nicht sicher bin ob das hier auch wirklich die Lösung für mein Problem ist. Ich habe ja bereits eine aktive VPN Verbindung auf meinem PC nur möchte ich mit Iptables eine Art "Kill Switch" schaffen. Damit wirklich nur der VPN Verkehr für Internet benutzt wird. Mit der realen IP darf nur die Verbindung zum OpenVPN Server stattfinden. Es wäre dabei auch wichtig das ich die Regeln nicht speziell auf eine IP Verbindung beziehe. Ich kenne "Kill Switch" nur von diversen VPN Anbietern.

  6. #6
    Universaldilletant Avatar von fork
    Registriert seit
    Dec 2001
    Ort
    Frankfurt/Main
    Beiträge
    1.175
    D. h. Du möchtest bei Bedarf den Internetzugang die Netzwerkgeräte in Deinem LAN unterbrechen? Da brauchst Du aber kein VPN für. Da setzt Du Deinen PC zwischen interne Geräte und Router und dann kannst Du immer halt Befehlen - sprich keinen Traffic mehr durchlassen - wenn Du möchtest.

  7. #7
    Registrierter Benutzer Avatar von rico.danne
    Registriert seit
    Jun 2016
    Beiträge
    7
    Ich möchte das die Internetverbindung garantiert über den VPN-Tunnel stattfindet. Sprich, wenn meine aktive VPN Verbindung aus irgendeinem Grund abbricht und auch kein reconnect möglich ist, darf keine Verbindung mit meiner realen IP hergestellt werden, also muss dieser Traffic geblockt werden.

    Momentan ist es halt so, dass wenn ich die Verbindung zum OpenVPN Server trenne, mein PC über die reale IP online geht.

    Ich hatte ja schon was gefunden:

    Code:
        
    #!/bin/bash
         
        # Set your LAN subnet here
        LANIP='192.168.1.0/24'
         
        # Set the allowed destination IP (or IP range), port and protocol
        DSTIP='8.8.8.8/32'
        DSTPORT='1194'
        DSTPROT='udp'
         
        # flush all previous rules (reset iptables)
        iptables -F
         
        # drop INPUT and FORWARD if not matched (-P stands for policy, we're setting the default policy to DROP the packet if nothing below is matched)
        iptables -P INPUT DROP 
        iptables -P FORWARD DROP
         
        # allow established sessions and localhost traffic (many programs rely on localhost connections)
        iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
        iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
         
        # allow LAN traffic and traffic going to the VPN
        iptables -A OUTPUT -d $LANIP -j ACCEPT
        iptables -A OUTPUT -d $DSTIP -p $DSTPROT -m $DSTPROT --dport $DSTPORT -j ACCEPT
         
        # drop everything else (on the real devices)
        iptables -A OUTPUT -o wlan0 -j DROP
        iptables -A OUTPUT -o eth0 -j DROP
    Quelle: http://heapspray.net/post/allow-traf...with-iptables/

    Aber leider habe ich dann nach einem Neustart überhaupt keine Internet verbindung mehr.
    Geändert von rico.danne (23.06.16 um 20:11 Uhr)

  8. #8
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.814
    Hallo,

    ich finde ja das Richtige wurde dir schon gesagt.
    Zum einen ist es üblich das Routing dafür anzupassen, dass machen viele VPN Lösungen so, problematisch ist, dass die "VPN-Anwendung" dafür weit reichende Rechte braucht, was bei Windows oft bedeutet, dass VPN User Adminrechte besitzen (was unnötig ist, aber Theorie und Praxis ), die können dann natürlich wieder selber fummeln (und das ist irgendwie auch gut so ). Der Grund dafür ist dabei meiner Meinung nach, das Windows keine IP-Tables kennt, also nimmt man eine Lösung, die es auf möglichst vielen System so gibt -> Routing.

    Zum anderen, wurde darauf hingewiesen, dass du für die volle Kontrolle einen "Rechner" dazwischen schalten musst, verschiebe die VPN Verbindung auf das Gateway, das Gateway ist ein "Rechner" der nur von dir Administriert werden darf bzw. sollte:
    Code:
    LAN (VPN) <-> Router <-> Internet
    vs
    LAN <-> Gateway für LAN Teilnehmer (VPN) <-> Router <-> Internet
    Egal welche Geräte im LAN sind, sie müssen durch deine "Zollstation", wenn die bemerkt (dafür musst natürlich du sorgen), dass die VPN Verbindung weg ist, einfach die Route zum Router löschen...

    Vielleicht magst du ein bisschen erzählen, warum was dein Ziel ist, denn ich sehe da gerade kein sinnvolles Szenario, aber das ist nicht so wichtig.
    Am Ende gilt halt, du brauchst eine zentrale Stelle, da "alles" (ok ist etwas zu grob gesagt, aber dürfte passen, außer du hast mehrere LANs) was nicht LAN zum Gateway geschickt wird, ist das die beste Stelle dafür und Software Lösungen sind angreifbarer, schon allein, weil sie außerhalb deiner Zugriffsmöglichkeiten arbeiten.

    Überlege dir auch und sag gerne warum unbedingt diese Lösung über eine Firewall, wo doch alle gängigen Lösungen das Routing ändern, oder als Gateway arbeiten.
    Geändert von nopes (23.06.16 um 21:15 Uhr)
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  9. #9
    Registrierter Benutzer Avatar von rico.danne
    Registriert seit
    Jun 2016
    Beiträge
    7
    Zunächst mal Danke ich auch dir "nopes" für deine Unterstützung.

    Also zunächst möchte ich euch sagen das der "PC" mein Raspberry Pi2 ist auf dem ich ein auf Linux basiertes Multimediasystem (LibreELEC), also eine Weiterentwicklung von Kodi installiert ist.

    Ich besitze einen V-Server (KVM) auf dem Ubuntu installiert ist und dort habe ich einen OpenVPN Server eingerichtet.

    Jetzt möchte ich meinen Pi2 und ggf. auch weitere mit dem OpenVPN Server verbinden, damit der Datenaustausch nur noch über den OpenVPN Server stattfindet.

    Aber ich möchte dem Pi2 wirklich nur Internetzugriff gewähren, wenn die VPN-Verbingung besteht, daher denke ich ist es doch sinnvoll dem Pi2 jeglichen Zugang außer zum OpenVPN zu verbieten.

    Meine eigentliche Vorstellung von dem ganzen wäre eine Iptables Reglung die besagt:

    Pi2 -> OpenVPN erlaubt
    Pi2 -> Internet verboten
    Pi2-(OpenVPN) -> Internet erlaubt

    geht das irgendwie?

    Ich habe leider wirklich keine Ahnung von Iptables aber ich denke man versteht meine Theorie, oder?

  10. #10
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.814
    Hallo noch mal,

    ich glaube zu nächst ist es doch so, dass du gerade ein Dreher in der Logik hast, glaube ich jedenfalls

    Im Grunde willst du von irgendwo auf deinen PI kommen, so in der Art:
    Code:
    laptop <-> access point <-> router <-> internet <-> router <-> pi
    So rum macht es eher sinn, oder anders gesagt, es ist durchaus legitim das dein Fernseher ins Internet will. Davon ab kann man deine Idee schon machen, ist auch eigentlich nebensächlich, wie genau, also ob mit Routing oder Firewall, der Punkt ist du musst so oder so erstmal lernen, die VPN Verbindung zu überwachen, wo es scheinbar keinen standard Weg gibt - für den groben einstieg siehe dazu hier: http://stackoverflow.com/questions/2...hange-on-linux
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  11. #11
    Registrierter Benutzer Avatar von rico.danne
    Registriert seit
    Jun 2016
    Beiträge
    7
    Ich weiß nicht wie du das meinst, aber ich will das der PI ganz normal zuhause im LAN-Netzwerk online ist. So ist es ja auch, der PI ist im LAN verbindet sich dann über das Internet mit dem OpenVPN-Server, dann bekommt er eine durch den Tunnel eine neue IP. Soweit habe ich auch alles, aber jetzt möchte ich, dass der PI auch versteht das er sich nur zum OpenVPN ohne Tunnelverbindung verinden darf und danach keine Internetverbindung mehr ohne Tunnel bzw. ohne die VPN-IP mehr aufnehmen darf.

    Die IP vom VPN ist übrigens immer die selbe.

    Also wäre es doch so
    Code:
    ROUTER <-> PI <-> VPN-SERVER <-> PI (tun0) <-> INTERNET
    so ist es auch momentan.
    Und das sollte überhaupt nicht mehr erlaubt sein
    Code:
    ROUTER <-> PI <-> INTERNET
    Eigentlich scheinen diese Regeln doch nah dran zu sein oder?

    Code:
        #!/bin/bash
         
        # Set your LAN subnet here
        LANIP='192.168.1.0/24'
         
        # Set the allowed destination IP (or IP range), port and protocol
        DSTIP='8.8.8.8/32'
        DSTPORT='1194'
        DSTPROT='udp'
         
        # flush all previous rules (reset iptables)
        iptables -F
         
        # drop INPUT and FORWARD if not matched (-P stands for policy, we're setting the default policy to DROP the packet if nothing below is matched)
        iptables -P INPUT DROP 
        iptables -P FORWARD DROP
         
        # allow established sessions and localhost traffic (many programs rely on localhost connections)
        iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
        iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT
         
        # allow LAN traffic and traffic going to the VPN
        iptables -A OUTPUT -d $LANIP -j ACCEPT
        iptables -A OUTPUT -d $DSTIP -p $DSTPROT -m $DSTPROT --dport $DSTPORT -j ACCEPT
         
        # drop everything else (on the real devices)
        iptables -A OUTPUT -o wlan0 -j DROP
        iptables -A OUTPUT -o eth0 -j DROP

  12. #12
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.814
    ja denk schon, jedenfalls wenn dein Plan ist, dass der PI von keinem im LAN angesprochen werden kann, der PI darf aber LAN Teilnehmer anquatschen, er darf außerdem eine IP mit Port 1194 und UDP ansprechen (ob das über das VPN geht ist da nicht definiert - so von wegen Garantie )
    Ansonsten, input könnte etwas streng sein, ich würde jedenfalls vom LAN aus auf den PI zugreifen wollen.
    [edit]ok bin gerade selber konfus, daher mal raus damit - aber mir fehlt so tun0 dadrin, nur so am Rande...

    [edit2]verstehe inzwischen wo drauf du hinaus willst, verfolgen, meiner Meinung nach der richtiger Weg, so kommst du jedenfalls um das Monitoren herum - auf der anderen Seite kann man ja Skripte ausführen, wenn ein Interface hoch- oder runterfährt

    [edit3]ok routing liegt tiefer als eine Firewall, also wohl doch zu bevorzugen
    Geändert von nopes (23.06.16 um 23:24 Uhr)
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  13. #13
    Registrierter Benutzer Avatar von rico.danne
    Registriert seit
    Jun 2016
    Beiträge
    7
    Ok die Iptables regeln könnte man ja irgendwie anpassen, dass statt nur Port 1194 die IP:1194 erlaubt wird, auch SSH Zugang Port 22 im LAN sollte zugänglich gemacht werden. Leider weiß ich nicht wie ich die Regeln für meine Zwecke anpassen muss damit es funktioniert.

    Ich würde auch das Routing anwenden, wenn dieses nicht viel umständlicher ist. Ich möchte aber vermeiden das ich jedes mal an den OpenVPN Server irgendwas festlegen muss damit das Routing funktioniert, also meine Frage: Kann ich ein Routing nur auf meinem PI installieren, welches dem PI sagt das es nur zum VPN kommunizieren darf und mit dem tun0 auch ins Internet?

  14. #14
    Universaldilletant Avatar von fork
    Registriert seit
    Dec 2001
    Ort
    Frankfurt/Main
    Beiträge
    1.175
    Wollte das(alles durch das vpn routen) auch gerade tun. Kurzes googeln hat das zu Tage gefördert:

    https://openvpn.net/index.php/open-s....html#redirect

    Funktioniert einwandfrei.

Ähnliche Themen

  1. Internet nur noch über vpn
    Von IngeMaus im Forum Router und Netzaufbau
    Antworten: 2
    Letzter Beitrag: 11.10.10, 17:04
  2. Internet nur noch über Proxy
    Von MaxxTc im Forum Router und Netzaufbau
    Antworten: 21
    Letzter Beitrag: 13.11.06, 07:13
  3. Antworten: 3
    Letzter Beitrag: 23.12.03, 11:40
  4. Antworten: 6
    Letzter Beitrag: 12.08.03, 08:34
  5. Nur bestimmte IP's über Router zulassen
    Von MadB im Forum Router und Netzaufbau
    Antworten: 11
    Letzter Beitrag: 31.05.01, 02:11

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •