Support Internetzugriff ohne OpenVPN Tunnel verhindern

[BigBear46]

Hallo,
ich suche eine Möglichkeit wie ich verhindern kann, dass vom Computer ohne aktive VPN Verbindung auf Internet zugegriffen werden kann.
Warum das Ganze? Nun wenn die Internetverbindung (warum auch immer) abreißt und dann wieder aufgebaut ist, gibt es ja einen kurzen Zeitraum bis OpenVPN den Tunnel aufgebaut hat, in dem der Computer "ungeschützt", sprich nicht durch den Tunnel, aufs Internet zugreift. Lässt sich das irgendwie unterbinden ohne externe Hardware wie Firewall o.Ä.
Mein Ansatz wäre bspw. alle Anfragen, die nicht an die IP des OpenVPN Servers gehen, zu blocken. Wie ich das möglichst trivial umsetze ist mir aber noch nicht klar.
Hat da jemand einen Tipp parat? Würde mich freuen.

 

[dezember2011]

Am Trivialsten machst du es mit einer Firewall. Alle Ports außer 1194 blocken fertig.

 

[BigBear46]

Vorschläge für die Umsetzung? iptables? Habe damit leider keine Erfahrung.

 

[dezember2011]

Was für ein OS läuft denn auf deinem PC?

 

[BigBear46]

Debian 10.6.0

 

[dezember2011]

Dann könntest Du nftables oder iptables einsetzen. Da bin ich aber kein Experte drin.

 

[dewildschwein500]

Hi @BigBear46,
man kann auch das Standard-Gateway löschen oder erst gar nicht setzen (lassen), dann finden die Pakete schon mal keinen Weg ins Internet: Befehl zum Standard-GW löschen ip route del default

Und OpenVPN mit der redirect-gateway Option einrichten:

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

 

[BigBear46]

Soweit ich das verstehe spielt das aber auf OpenVPN Server an, oder nicht? Ich bin in dem Fall Client.

 

[barci]

Das hier wäre mal ein Anfang:

Du musst dich Anmelden oder Registrieren um diesen link zusehen!

 

[Bodyfreak]

Ich habe das ganze mit einen Asus Router gelöst der über WAN mit der Fritzbox verbunden ist. Über die Firewall den Killswitch eingerichtet was auch wirklich sehr gut funktioniert. Vorteil ist halt auch man kann darüber mehrere Geräte laufen lassen.

 

[Osprey]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Nein, das machst du auf dem Client. Auf dem Server hast du wenn das ein öffentlicher ist bei dem du ein Abo hast keinen Zugriff auf die Configs.

 

[dewildschwein500]

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!

 

[BigBear46]

Hier mal meine client.conf:

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Dann erhalte ich folgenden OpenVPN Log beim Verbindungsaufbau:

Spoiler

Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

"VPN IP" ist als Zahl eingetragen, also kein DNS zur Auflösung erforderlich. Übersehe ich etwas, das dem redirect-gateway in die Quere kommt?

 

[dewildschwein500]

Hi,
stimmt .. mit dem Löschen vom Standard-Gateway kommt der OpenVPN-Client auch nicht mehr zum VPN-Server.
Teste mal diesen Befehl .. damit sollte der Weg zum VPN-Server wieder frei sein.
Da der VPN-Server anscheinend über eine feste IP erreichbar ist, sollte der Befehl klappen; %VPN IP% und %IP deines Standard Gateway% und evtl. eth0 musst du noch austauschen.
ip route add %VPN IP% via %IP deines Standard Gateway% dev eth0

 

[BigBear46]

Funktioniert es zwar, aber die Tatsache, dass ich dort hart die Gateway IP rein hämmere finde ich suboptimal. So muss ich immer händisch anpassen, wenn das Gateway sich ändert. Anderes Netzwerk o.Ä.