Support Internetzugriff ohne OpenVPN Tunnel verhindern

[BigBear46]

Hallo,
ich suche eine Möglichkeit wie ich verhindern kann, dass vom Computer ohne aktive VPN Verbindung auf Internet zugegriffen werden kann.
Warum das Ganze? Nun wenn die Internetverbindung (warum auch immer) abreißt und dann wieder aufgebaut ist, gibt es ja einen kurzen Zeitraum bis OpenVPN den Tunnel aufgebaut hat, in dem der Computer "ungeschützt", sprich nicht durch den Tunnel, aufs Internet zugreift. Lässt sich das irgendwie unterbinden ohne externe Hardware wie Firewall o.Ä.
Mein Ansatz wäre bspw. alle Anfragen, die nicht an die IP des OpenVPN Servers gehen, zu blocken. Wie ich das möglichst trivial umsetze ist mir aber noch nicht klar.
Hat da jemand einen Tipp parat? Würde mich freuen.

 

[dezember2011]

Am Trivialsten machst du es mit einer Firewall. Alle Ports außer 1194 blocken fertig.

 

[BigBear46]

Vorschläge für die Umsetzung? iptables? Habe damit leider keine Erfahrung.

 

[dezember2011]

Was für ein OS läuft denn auf deinem PC?

 

[BigBear46]

Debian 10.6.0

 

[dezember2011]

Dann könntest Du nftables oder iptables einsetzen. Da bin ich aber kein Experte drin.

 

[dewildschwein500]

Hi @BigBear46,
man kann auch das Standard-Gateway löschen oder erst gar nicht setzen (lassen), dann finden die Pakete schon mal keinen Weg ins Internet: Befehl zum Standard-GW löschen ip route del default

Und OpenVPN mit der redirect-gateway Option einrichten:

Sie müssen registriert sein, um Links zu sehen.

 

[BigBear46]

Soweit ich das verstehe spielt das aber auf OpenVPN Server an, oder nicht? Ich bin in dem Fall Client.

 

[barci]

Das hier wäre mal ein Anfang:

Sie müssen registriert sein, um Links zu sehen.

 

[Bodyfreak]

Ich habe das ganze mit einen Asus Router gelöst der über WAN mit der Fritzbox verbunden ist. Über die Firewall den Killswitch eingerichtet was auch wirklich sehr gut funktioniert. Vorteil ist halt auch man kann darüber mehrere Geräte laufen lassen.

 

[Osprey]

Soweit ich das verstehe spielt das aber auf OpenVPN Server an, oder nicht? Ich bin in dem Fall Client.

Nein, das machst du auf dem Client. Auf dem Server hast du wenn das ein öffentlicher ist bei dem du ein Abo hast keinen Zugriff auf die Configs.

 

[dewildschwein500]

Soweit ich das verstehe spielt das aber auf OpenVPN Server an, oder nicht? Ich bin in dem Fall Client.

-redirect-gateway flags
Automatically execute routing commands to cause all outgoing IP traffic to be redirected over the VPN. This is a client-side option.This option performs three steps:

(1) Create a static route for the –remote address which forwards to the pre-existing default gateway. This is done so that (3) will not create a routing loop.
(2) Delete the default gateway route.
(3) Set the new default gateway to be the VPN endpoint address (derived either from –route-gateway or the second parameter to –ifconfig when –dev tun is specified).

When the tunnel is torn down, all of the above steps are reversed so that the original default route is restored.

 

[BigBear46]

Hier mal meine client.conf:

Spoiler

client
dev tun
proto udp
remote VPN IP 1194
resolv-retry infinite
remote-random
nobind
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
persist-key
persist-tun
ping 15
ping-restart 0
ping-timer-rem
reneg-sec 0
log /etc/openvpn/openvpn.log

remote-cert-tls server

auth-user-pass /etc/openvpn/password.conf

#comp-lzo
redirect-gateway local def1
verb 3
pull
fast-io
cipher AES-256-CBC

auth SHA512

<ca>
-----BEGIN CERTIFICATE-----

Dann erhalte ich folgenden OpenVPN Log beim Verbindungsaufbau:

Spoiler

Sun Nov  8 15:35:41 2020 WARNING: file '/etc/openvpn/password.conf' is group or others accessible
Sun Nov  8 15:35:41 2020 OpenVPN 2.4.3 sh4-oe-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] built on Jun 28 2019
Sun Nov  8 15:35:41 2020 library versions: OpenSSL 1.0.2m  2 Nov 2017, LZO 2.10
Sun Nov  8 15:35:41 2020 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Sun Nov  8 15:35:41 2020 Outgoing Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Sun Nov  8 15:35:41 2020 Incoming Control Channel Authentication: Using 512 bit message hash 'SHA512' for HMAC authentication
Sun Nov  8 15:35:41 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]VPN IP:1194
Sun Nov  8 15:35:41 2020 Socket Buffers: R=[105472->105472] S=[105472->105472]
Sun Nov  8 15:35:41 2020 UDP link local: (not bound)
Sun Nov  8 15:35:41 2020 UDP link remote: [AF_INET]VPN IP:1194
Sun Nov  8 15:35:41 2020 write UDP: Network is unreachable (code=101)
Sun Nov  8 15:35:41 2020 Network unreachable, restarting
Sun Nov  8 15:35:41 2020 SIGUSR1[soft,network-unreachable] received, process restarting
Sun Nov  8 15:35:41 2020 Restart pause, 5 second(s)
Sun Nov  8 15:35:46 2020 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Sun Nov  8 15:35:46 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]VPN IP:1194
Sun Nov  8 15:35:46 2020 Socket Buffers: R=[105472->105472] S=[105472->105472]
Sun Nov  8 15:35:46 2020 UDP link local: (not bound)
Sun Nov  8 15:35:46 2020 UDP link remote: [AF_INET]VPN IP:1194
Sun Nov  8 15:35:46 2020 write UDP: Network is unreachable (code=101)
Sun Nov  8 15:35:46 2020 Network unreachable, restarting
Sun Nov  8 15:35:46 2020 SIGUSR1[soft,network-unreachable] received, process restarting
Sun Nov  8 15:35:46 2020 Restart pause, 5 second(s)
Sun Nov  8 15:35:51 2020 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Sun Nov  8 15:35:51 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]VPN IP:1194
Sun Nov  8 15:35:51 2020 Socket Buffers: R=[105472->105472] S=[105472->105472]
Sun Nov  8 15:35:51 2020 UDP link local: (not bound)
Sun Nov  8 15:35:51 2020 UDP link remote: [AF_INET]VPN IP:1194
Sun Nov  8 15:35:51 2020 write UDP: Network is unreachable (code=101)
Sun Nov  8 15:35:51 2020 Network unreachable, restarting
Sun Nov  8 15:35:51 2020 SIGUSR1[soft,network-unreachable] received, process restarting
Sun Nov  8 15:35:51 2020 Restart pause, 5 second(s)
Sun Nov  8 15:35:56 2020 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Sun Nov  8 15:35:56 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]VPN IP:1194
Sun Nov  8 15:35:56 2020 Socket Buffers: R=[105472->105472] S=[105472->105472]
Sun Nov  8 15:35:56 2020 UDP link local: (not bound)
Sun Nov  8 15:35:56 2020 UDP link remote: [AF_INET]VPN IP:1194
Sun Nov  8 15:35:56 2020 write UDP: Network is unreachable (code=101)
Sun Nov  8 15:35:56 2020 Network unreachable, restarting
Sun Nov  8 15:35:56 2020 SIGUSR1[soft,network-unreachable] received, process restarting
Sun Nov  8 15:35:56 2020 Restart pause, 5 second(s)
Sun Nov  8 15:36:01 2020 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Sun Nov  8 15:36:01 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]VPN IP:1194
Sun Nov  8 15:36:01 2020 Socket Buffers: R=[105472->105472] S=[105472->105472]
Sun Nov  8 15:36:01 2020 UDP link local: (not bound)
Sun Nov  8 15:36:01 2020 UDP link remote: [AF_INET]VPN IP:1194
Sun Nov  8 15:36:01 2020 write UDP: Network is unreachable (code=101)
Sun Nov  8 15:36:01 2020 Network unreachable, restarting
Sun Nov  8 15:36:01 2020 SIGUSR1[soft,network-unreachable] received, process restarting
Sun Nov  8 15:36:01 2020 Restart pause, 10 second(s)
Sun Nov  8 15:36:11 2020 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Sun Nov  8 15:36:11 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]VPN IP:1194
Sun Nov  8 15:36:11 2020 Socket Buffers: R=[105472->105472] S=[105472->105472]
Sun Nov  8 15:36:11 2020 UDP link local: (not bound)
Sun Nov  8 15:36:11 2020 UDP link remote: [AF_INET]VPN IP:1194
Sun Nov  8 15:36:11 2020 write UDP: Network is unreachable (code=101)
Sun Nov  8 15:36:11 2020 Network unreachable, restarting
Sun Nov  8 15:36:11 2020 SIGUSR1[soft,network-unreachable] received, process restarting
Sun Nov  8 15:36:11 2020 Restart pause, 20 second(s)
Sun Nov  8 15:36:31 2020 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Sun Nov  8 15:36:31 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]VPN IP:1194
Sun Nov  8 15:36:31 2020 Socket Buffers: R=[105472->105472] S=[105472->105472]
Sun Nov  8 15:36:31 2020 UDP link local: (not bound)
Sun Nov  8 15:36:31 2020 UDP link remote: [AF_INET]VPN IP:1194
Sun Nov  8 15:36:31 2020 write UDP: Network is unreachable (code=101)
Sun Nov  8 15:36:31 2020 Network unreachable, restarting
Sun Nov  8 15:36:31 2020 SIGUSR1[soft,network-unreachable] received, process restarting
Sun Nov  8 15:36:31 2020 Restart pause, 40 second(s)
Sun Nov  8 15:37:11 2020 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Sun Nov  8 15:37:11 2020 TCP/UDP: Preserving recently used remote address: [AF_INET]VPN IP:1194
Sun Nov  8 15:37:11 2020 Socket Buffers: R=[105472->105472] S=[105472->105472]
Sun Nov  8 15:37:11 2020 UDP link local: (not bound)
Sun Nov  8 15:37:11 2020 UDP link remote: [AF_INET]VPN IP:1194
Sun Nov  8 15:37:11 2020 write UDP: Network is unreachable (code=101)
Sun Nov  8 15:37:11 2020 Network unreachable, restarting
Sun Nov  8 15:37:11 2020 SIGUSR1[soft,network-unreachable] received, process restarting
Sun Nov  8 15:37:11 2020 Restart pause, 80 second(s)

"VPN IP" ist als Zahl eingetragen, also kein DNS zur Auflösung erforderlich. Übersehe ich etwas, das dem redirect-gateway in die Quere kommt?

 

[dewildschwein500]

Hi,
stimmt .. mit dem Löschen vom Standard-Gateway kommt der OpenVPN-Client auch nicht mehr zum VPN-Server.
Teste mal diesen Befehl .. damit sollte der Weg zum VPN-Server wieder frei sein.
Da der VPN-Server anscheinend über eine feste IP erreichbar ist, sollte der Befehl klappen; %VPN IP% und %IP deines Standard Gateway% und evtl. eth0 musst du noch austauschen.
ip route add %VPN IP% via %IP deines Standard Gateway% dev eth0

 

[BigBear46]

Funktioniert es zwar, aber die Tatsache, dass ich dort hart die Gateway IP rein hämmere finde ich suboptimal. So muss ich immer händisch anpassen, wenn das Gateway sich ändert. Anderes Netzwerk o.Ä.