Traffic aufschließlich über OpenVPN-Verbindung erzwingen?

[Z3Xyyy]

Heyho,

Also ich hab jetzt schon länger über google und auch in der Forensuche gesucht.
Und nichts zumindest keine Konkrete Lösung dazu gefunden.
Was ich machen will ist eigentlich ganz Simpel:

Der gesamte Netzwerkverkehr zwischen mir und Internet soll auschließlich über eine OpenVPN Verbindung laufen. Das heißt, wenn OpenVPN ausgeloggt, somit der TAP-W32 Adapter nicht aktiv sein sollte, ensteht auch keinerlei Verbindung.

Die Internet-Verbindung soll also auf OpenVPN beschränkt werden.
Wenn OpenVPN aus/inaktiv ist, gibts auch kein Netz, so soll es sein.
Das ganze hat schonmal bei einem anderen Programm (Astrill) geklappt.
Hab schon einiges versucht ums selbst einzurichten, doch ich kriegs irgentwie nicht hin.

Am besten sollte das irgentwie über den Router (EasyBox 803A) eingerichtet werden.
So das ich nicht mehr ständig auf allen Rechner alles neu einrichten muss, bei einer Windows Neu-Installation. Dachte dabei vielleicht an die NAT oderso..

Wäre echt fein wenn wer was wüsste...

 

[Pierre Rudolph]

Doofe Frage. Wohin Connectest du? OpenVPN kenne ich nur im Zusammenhang mit Peer2Peer- oder ServerMultiClient-Tunnels.

Aber prinzipiell ist das auch über den Router möglich ^^, er muss es halt nur unterstützen.

 

[Z3Xyyy]

Derzeit über Free-VPN-Anbiter, z.B http://usaip.eu/en/index.php
Man erhält halt eine Configfile und passendes Zertifikat.

So wird der gesamte Traffic auf OpenVPN umgeleitet, - aber leider nur solange OpenVPN aktiv ist.
Wenn der Rechner grade startet oder OpenVPN aus ist, läuft wieder alles über standard LAN Verbindung.

Und genau das will ich halt Vermeiden, indem ich da wo auch immer was passendes einstell.
Wenn die VPN Verbindung abgebrochen ist, sollte der Netzwerkverkehr sofort komplett STOPPEN.

 

[Pierre Rudolph]

Ah, verstehe ^^ So quasi als Anonym Proxy via VPN.

Also wie schon geschrieben Einige Router können das, kommt aufs Modell an und man sollte bei der Konfiguration schon nen wenig Ahnung haben.
per Windows kann ich dir da jetzt leider auch nicht weiter helfen. Also zumindest mit Boardmitteln fällt mir da auch nix ein, höchstens nen externes Programm. Aber Erfahrung hab ich da leider auch keine. Sry.

 

[Z3Xyyy]

Genau.

Also habne Arcor EasyBox 803A, die kann eiglt alles mögliche.
Schon fast so gut wiene normale aktuelle Fritzbox, nur ohne VOIP.

Hab da schon nen bischl geguckt, Ahnung habe ich auch.
Nur halt nicht wie ich das realisieren kann...

Vermute mal irgentwie über die NAT oderso..
Das ich den Gateway quasi auf die Verbindung bzw auf den Port des VPN lenke..

 

[BasCom]

standard gateway deaktivieren, batchdatei anlegen, openvpn verbinden und dahinter die router manuell setzen. obwohl sowas müsste eigentlich au in der openvpn cfg gehen.

 

[Z3Xyyy]

Hab mal nachgeschaut, Problem ist: Standard-Gateway einstellung erfolgt durch den Router.
Dieser bezog seine Daten vom Provider und lässt sich vom Nutzer (selbst beim Reset) nicht selbst einstellen.
Die Einträge in Windows sind leer...

Mhhh... vielleicht über netsetman ? das bei der Verbindung ein ungültiger Eintrag auf "leer" geändert wird ?
Wo und was müsste ich dann genau was reinschreiben ?

 

[BasCom]

leg deine ip und co einfach manuell fest, oder lass zum windows start ne batch datei laufen, die die route löscht.

 

[Z3Xyyy]

Nahja wenn ich da irgenwas ungültiges reinschreibe, kann ich erst garnicht mit dem VPN-Dienst connecten.
Schreib ich was gültiges rein, bleibt alles beim alten, die IP wird intern genutzt, nach außen hin bleibt ISP.
Ne Autostart-Batch will ich ungern nutzen, da die ja unabhängig von OpenVPN agiert...

Im Grunde bräucht ich eventuell nur Einträge für beide Verbindungen..
So das beim einloggen die Verbindung erst erstellt werden kann.
Quasi die IP des VPN-Dienst als manuelles Gateway..

Aber kp kenn mich mit den VPN Krams nich so gut aus.
Nur theoretisch und die Praxis funktioniert dann nicht...

Denke so ähnlich ging das auch bei Astril..
Ich probier nochmal was aus... bg

 

[BasCom]

du kanns auch nur ne route zum vpn server alleine setzen statt 0.0.0.0

 

[Z3Xyyy]

Was meinst genau und wie mach ich das ?

 

[BasCom]

eh naja commandozeile: route add <ip-des-vpnservers> mask 255.255.255.255 <deine-router-ip>

somit ist nur explizitr diese ip adresse, also des vpn servers erreichbar, sonst keine adressen im internet.
allerdings muss natürlich das standardgateway weg.

 

[Z3Xyyy]

Mhh habs mal geaddet, aber kein ergebnis, immernoch mit ISP Im Netz unterwegs..
An den Gateway komm ichja nicht dran, ist im router fest drinne...

 

[BasCom]

mh ja du muss ja auch dat standard gateway löschen, nech. dat kannste doch am pc machen

route del 0.0.0.0 mask 0.0.0.0 <router-ip>

 

[Z3Xyyy]

Mhhz nahja daraufhin kommt:

Spoiler

C:\Users\OPERATOR>route del 0.0.0.0 mask 0.0.0.0 192.168.2.1

Manipulates network routing tables.

ROUTE [-f] [-p] [-4|-6] command [destination]
                  [MASK netmask]  [gateway] [METRIC metric]  [IF interface]

  -f           Clears the routing tables of all gateway entries.  If this is
               used in conjunction with one of the commands, the tables are
               cleared prior to running the command.

  -p           When used with the ADD command, makes a route persistent across
               boots of the system. By default, routes are not preserved
               when the system is restarted. Ignored for all other commands,
               which always affect the appropriate persistent routes. This
               option is not supported in Windows 95.

  -4           Force using IPv4.

  -6           Force using IPv6.

  command      One of these:
                 PRINT     Prints  a route
                 ADD       Adds    a route
                 DELETE    Deletes a route
                 CHANGE    Modifies an existing route
  destination  Specifies the host.
  MASK         Specifies that the next parameter is the 'netmask' value.
  netmask      Specifies a subnet mask value for this route entry.
               If not specified, it defaults to 255.255.255.255.
  gateway      Specifies gateway.
  interface    the interface number for the specified route.
  METRIC       specifies the metric, ie. cost for the destination.

All symbolic names used for destination are looked up in the network database
file NETWORKS. The symbolic names for gateway are looked up in the host name
database file HOSTS.

If the command is PRINT or DELETE. Destination or gateway can be a wildcard,
(wildcard is specified as a star '*'), or the gateway argument may be omitted.

If Dest contains a * or ?, it is treated as a shell pattern, and only
matching destination routes are printed. The '*' matches any string,
and '?' matches any one char. Examples: 157.*.1, 157.*, 127.*, *224*.

Pattern match is only allowed in PRINT command.
Diagnostic Notes:
    Invalid MASK generates an error, that is when (DEST & MASK) != DEST.
    Example> route ADD 157.0.0.0 MASK 155.0.0.0 157.55.80.1 IF 1
             The route addition failed: The specified mask parameter is invalid.
 (Destination & Mask) != Destination.

Examples:

    > route PRINT
    > route PRINT -4
    > route PRINT -6
    > route PRINT 157*          .... Only prints those matching 157*

    > route ADD 157.0.0.0 MASK 255.0.0.0  157.55.80.1 METRIC 3 IF 2
             destination^      ^mask      ^gateway     metric^    ^
                                                         Interface^
      If IF is not given, it tries to find the best interface for a given
      gateway.
    > route ADD 3ffe::/32 3ffe::1

    > route CHANGE 157.0.0.0 MASK 255.0.0.0 157.55.80.5 METRIC 2 IF 2

      CHANGE is used to modify gateway and/or metric only.

    > route DELETE 157.0.0.0
    > route DELETE 3ffe::/32

C:\Users\OPERATOR>

 

[BasCom]

ups. nicht DEL sondern DELETE. steht aber auch da in dem ausdruck, wenn du ihn gelesen hättest

 

[Z3Xyyy]

Hehe, hab ich mir gedacht und dann direkt mit delete probiert..

So die gute Nachricht: Es hat geklappt, Verbindung läuft tatsächlich nur über OpenVPN. Waay
Nahja die schlechte Nachricht: Das ganze hatte jetzt nach einem Rechner-Neustart keinen effekt mehr...
Und somit bin ich wida am Anfang der Geschichte..

 

[BasCom]

ja dann gib dir doch einfach: an deinem netzwerk adapter ne manuelle ip und lass das gateway einfach leer

dann machste die zeile wie oben aber mit nem "-p" dabei, dann bleibt das dauerhaft.

 

[Z3Xyyy]

Jah IP wird jah sowieso vom Router vergebn, aktuell standard 101 usw.. demnächst via statisches DHCP.
Ich probiers mal, geb mir irgn eine und setzt mal das P, mal gucken wass bringt xP

Irgentwie schaffn wir das heute noch. bg

 

[BasCom]

naja. batch datei willse nich, feste ip vergeben willse nich, so isses doch am einfachsten mit der festen ip. der router vergibt ja auch dat gateway mit, und das willste ja nunmal nich . .watt willse auch mit dhcp dat dauert alles nur länger hehe.