Verständnisfrage VPN - wie kontrollieren welche Anfragen über VPN gehen?

[x.treme]

Hallo Leute,

ich möchte den Speicher von meinem Webspace-Anbieter als Netzwerklaufwerk einbinden.

Dafür habe ich 2 Möglichkeiten:
- Direkt einbinden. Hierfür muss ich die NetBIOS-Filter deaktivieren in der FritzBox.
- per VPN mit dem Webhoster verbinden. Dann funktioniert der Zugriff auf die Dateifreigabe auch mit NetBios-Filter

Nur: Ich habe mir die OpenVPN-Konfiguration angeschaut, und kann darin keine Optionen erkennen wo definiert wird dass auch nur der Zugriff auf die Dateifreigabe über den VPN geleitet wird.
Bei den meisten VPN wird ja der komplette Internetverkehr darüber geleitet.

Wo sind solche Infos definiert, und kann ich bei meinem PC (oder in der Fritzbox) dies selber limitieren?

 

[Lawnmower]

Bei den meisten VPN wird ja der komplette Internetverkehr darüber geleitet.

wenn man das Routing nicht anpasst ist das so. Wie machst Du denn die Verbindung per OpenVPN: Von der Fritzbox aus direkt oder vom PC/Client?

 

[x.treme]

Würde es am liebsten über die Fritzbox machen (da ich es sonst bei jedem PC/Notebook/VM einzeln einstellen müsste) - derzeit läuft es aber über OpenVPN-Installation.
Bei normalen Internetaufrufen habe ich weiterhin die IP meines Providers. Also klappt der VPN so wie vom Webhoster erwünscht und mit großer Sicherheit wird nur der Zugriff auf die Adresse des Webhosters (Dateifreigabe) über den VPN geleitet. Trotzdem ist mir das nicht transparent genug

 

[Lawnmower]

Was ist daran nicht transparent genug? Die erforderlichen Routing Befehle kommen direkt vom VPN Server wenn man sich einwählt.

 

[x.treme]

Korrekt. Ich würde das Routing gerne Client seitig limitieren (Whitelist für Verbindungen die über VPN gehen sollen)
Ist das nicht möglich?

 

[Lawnmower]

was willst Du denn limitieren?
Soweit ich das verstanden habe willst Du kein Routing limitieren sondern eher die Services von deinem PC die je nach Netz zur Verfügung gestellt werden.

 

[x.treme]

Vielleicht habe ich ja einen Denkfehler, aber:
- Ich muss eine VPN-Verbindung mit dem Dienstleister herstellen, damit ich die Dateifreigabe des Dienstleisters als Netzwerklaufwerk einbinden kann
- Ich will jedoch sicher gehen, dass nur für diesen Zweck Daten durch die VPN-Leitung gehen, aber nicht z.B. Teile meiner Mail- oder Internetkommunikation (wie ich es sonst von VPN's gewohnt bin)
- Was über den VPN abgewickelt wird, bestimmt scheinbar der VPN-Server selber, und ich habe darauf keinen Einfluss?

Somit die Frage:
- Wie kann ich selber beeinflussen bzw. kontrollieren, was über den VPN geht und was nicht, wenn ich den VPN-Server nicht alleine vertrauen möchte?

 

[Lawnmower]

Es geht nur der Traffic übers VPN der vom Routing her so definiert ist.

Wie Du schon richtig angemerkt hast ist bei den meisten VPN Clients es so dass wenn man sich einwählt der gesamte Traffic übers VPN abgefackelt wird, das liegt daran dass KEINE Routing Einträge gesetzt sind und der VPN Adapter nach dem Einwählen eine höhere Priorität geniesst als der LAN Adapter.

Wenn man aber das Routing (ob jetzt lokal beim Client oder beim Router) anpasst und z.B. definiert dass nur Traffic fürs Netzwerk x.x.x.x über den Client VPN Adapter geht dann wird der Traffic für genau dieses definierte Netzwerk über den zugewiesenen Adapter geleitet.

Beispiel wie man so einen Route Eintrag bei Windows hinzufügen würde

route -p add [Ziel-Netz] mask [Ziel-Subnetzmaske] [IP vom VPN Client Adapter]

Du kannst prüfen ob Routing Einträge hinzufügt werden indem Du

route print

vor dem VPN einwählen und danach aufrufst.

Ansonsten kannst Du mit einem einfachen tracert prüfen welchen Weg deine Daten nehmen. Tracert zu deinem Mailserver z.B. sollte vor und nach der VPN Einwahl über die Router LAN IP und Router WAN IP gehen (1. und 2. Hop), geht der Traffic via VPN Tunnel wirst Du als 1. Hop die vom VPN Server/Gateway sein.