VPN voor alleen lokale adressen

maandag 25 augustus 2014 15:15

Acties:

0 Henk 'm!

PSN: mr_mysticspirit

Topicstarter

Ik ben redelijk nieuw in het hele VPN gebeuren en loop tegen een vraagstuk aan waar ik ook op internet eigenlijk geen goed antwoord op kan vinden.

Wat ik graag zou willen is dat alleen het verkeer dat voor "lokale" of bepaalde adressen op het internet over mijn VPN gaan en de rest gewoon rechtstreeks naar het open internet gaat, buiten de VPN om.

Natuurlijk gaat dit niet zonder dat ik een VPN heb. Die heb ik dus ook. Ik heb een VPN server draaien in een VM op basis van Ubuntu en Softether. Het VPN is een L2TP over IPSec verbinding en werkt als tunnel voor alles.

Mijn vragen zijn:

Kan wat ik wil eigenlijk wel? (alleen bepaalde adressen benaderen over VPN en de rest zonder tussenkomst van de VPN)
Als het kan kunnen jullie me dan in de juiste richting helpen
Als het kan, kan ik dat dan server side definieren

Uiteraard heb ik gezocht, maar zonder de juiste termen om op te zoeken, kom ik in de GoT search, maar ook op google niet echt verder.
Ook heb ik getwijfeld of dit thuis hoort in PNS of in NT. Mocht het in NT thuis horen (sorry

)

maandag 25 augustus 2014 15:51

Acties:

0 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

"Split Tunneling" is wat je zoekt....

Met die zoekterm zul je een eind verder moeten komen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 25 augustus 2014 16:32

Acties:

0 Henk 'm!

Mystic Spirit

PSN: mr_mysticspirit

Topicstarter

Ja dat helpt behoorlijk

Je kan het dus niet server side regelen zo te zien...

maandag 25 augustus 2014 18:05

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Netwerktechnologie
Vpn

De client zal de juiste routes moeten opnemen. Geen idee of de door jouw gekozen VPN-oplossing de mogelijkheid of om opdrachten aan de client te geven.

This post is warranted for the full amount you paid me for it.

maandag 25 augustus 2014 18:29

Acties:

0 Henk 'm!

Mystic Spirit

PSN: mr_mysticspirit

Topicstarter

Misschien wel met hun native client, maar waarschijnlijk niet als er gewoon gebruik gemaakt wordt van stadaard clients die in verschillende platvormen zitten. Ik wil dus eigenlijk geen extra software aan de client kant nodig hebben.

[ Voor 5% gewijzigd door Mystic Spirit op 25-08-2014 18:38 ]

maandag 25 augustus 2014 19:53

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Euh, je VPN-server is in principe toch een losse machine ergens in je netwerk? (virtueel, weliswaar)
Dan issie toch feitelijk gewoon een gateway naar een beperkte address-range en kun je dat òf op je client òf op je default-gateway zo instellen?

Of begrijp ik de term "VPN-server" verkeerd?

QnJhaGlld2FoaWV3YQ==

maandag 25 augustus 2014 19:56

Acties:

0 Henk 'm!

DiedX

Je kan met sommige dhcp-servers statische routes meepushen. Geen extra software is nodig.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

maandag 25 augustus 2014 20:48

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

DiedX schreef op maandag 25 augustus 2014 @ 19:56:
Je kan met sommige dhcp-servers statische routes meepushen. Geen extra software is nodig.

Vergeet dan niet om de default route ook op te geven als classless-route; een strikt volgens de rfc's geprogrammeerde dh-client gaat 't anders niet doen

QnJhaGlld2FoaWV3YQ==

dinsdag 26 augustus 2014 08:35

Acties:

0 Henk 'm!

Rolfie

DiedX schreef op maandag 25 augustus 2014 @ 19:56:
Je kan met sommige dhcp-servers statische routes meepushen. Geen extra software is nodig.

Waarbij diverse clients dit ook nog eens negeren.

Mystic Spirit schreef op maandag 25 augustus 2014 @ 15:15:
Ik ben redelijk nieuw in het hele VPN gebeuren en loop tegen een vraagstuk aan waar ik ook op internet eigenlijk geen goed antwoord op kan vinden.

Wat ik graag zou willen is dat alleen het verkeer dat voor "lokale" of bepaalde adressen op het internet over mijn VPN gaan en de rest gewoon rechtstreeks naar het open internet gaat, buiten de VPN om.

Natuurlijk gaat dit niet zonder dat ik een VPN heb. Die heb ik dus ook. Ik heb een VPN server draaien in een VM op basis van Ubuntu en Softether. Het VPN is een L2TP over IPSec verbinding en werkt als tunnel voor alles.

Mijn vragen zijn:
Kan wat ik wil eigenlijk wel? (alleen bepaalde adressen benaderen over VPN en de rest zonder tussenkomst van de VPN)
Als het kan kunnen jullie me dan in de juiste richting helpen
Als het kan, kan ik dat dan server side definieren
Uiteraard heb ik gezocht, maar zonder de juiste termen om op te zoeken, kom ik in de GoT search, maar ook op google niet echt verder.
Ook heb ik getwijfeld of dit thuis hoort in PNS of in NT. Mocht het in NT thuis horen (sorry )

Technisch kan het, alleen niet echt gemakkelijk met de L2TP. Het hangt er een beetje vanaf hoe gemakkelijk je het wilt doen.

Je kan handmatig een static route toevoegen, als je de default gateway van de VPN uit zet. (elevated privileges nodig).
CMAK gebruiken om je routes te specificeren (helaas ook elevated privileges nodig).
Zorgen dat je geen routed subnet gebruikt.
OpenVPN gebruiken( , werkt gemakkelijk en goed. )
Cisco AnyConnect gebruiken (of andere VPN oplossing waarmee je routes kan bewerken.

Beste werkte OpenVPN denk ik.

dinsdag 26 augustus 2014 10:29

Acties:

0 Henk 'm!

Mystic Spirit

PSN: mr_mysticspirit

Topicstarter

@Brahiewahiewa
De VPN server is inderdaad een losse virtuele machine. Het klopt dat ik de adresrange kan beperken waar die mee communiceerd, maar dat zou ook betekenen dat de rest dan niet meer toegangkelijk is. Het is niet mijn bedoeling om het verkeer volledig onmogelijk te maken als een client verbonden is met het VPN. Ik wil het alleen niet over mijn verbinding hebben.

@DiedX
Interessante optie. Er zit een DHCP server in de Softether, dus dit kan ik proberen. Ik snap alleen niet zo goed hoe dat dan werkt, maar dat ga ik wel even onderzoeken.

@Rolfie
Dat het technisch kan is al goed om te weten

en natuurlijk wil ik het zo gemakkelijk mogelijk, maar ook zonder licentiekosten regelen. Die combinatie is lastig.

Static route kan, maar is client side en op mobile devices wat lastiger te regelen en kan volgens mij niet server side.
CMAK is alleen windows en client side en het gaat om verschillende OS-en en devices die ik wil kunnen gebruiken
Geen routed subnet begrijp ik niet zo goed. Helpt dit om de clients van uit de server het verkeer te laten scheiden?
OpenVPN heb ik ook geprobeerd en overwogen, maar bij meer dan 2 connecties krijg je licentiekosten. De licentiekosten vind ik nogal aan de hoge kant. Voor dat geld kun je al snel je interverbinding upgraden en heb je er over de volle breedte meer aan.
Cisco AnyConnect heb ik niet naar gekeken, maar is neem ik aan ook een betaalde oplossing?

Ik kom in ieder geval wel steeds verder met mijn zoektocht $_/-\o_$

dinsdag 26 augustus 2014 11:08

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Mystic Spirit schreef op dinsdag 26 augustus 2014 @ 10:29:
@Brahiewahiewa
De VPN server is inderdaad een losse virtuele machine. Het klopt dat ik de adresrange kan beperken waar die mee communiceerd, maar dat zou ook betekenen dat de rest dan niet meer toegangkelijk is. Het is niet mijn bedoeling om het verkeer volledig onmogelijk te maken als een client verbonden is met het VPN. Ik wil het alleen niet over mijn verbinding hebben...

Volges mijn maak je het moeilijker dan het is. Je hebt in je netwerk twee gateways: ééntje die het hele internet bestrijkt (de router van je provider) en je VPN-server waar slechts één (of een paar) ip-ranges achter zitten. Je wilt graag dat alle normale internet verkeer via je router naar buiten gaat en dat alleen de specifiek voor de VPN bestemde pakketjes via de VPN-server gaan. Dat kan op twee manieren:

Op de client(s) kun je dmv het route commando aangeven dat default alles via de router gaat en daar kun je dan uitzonderingen op definiëren die via de VPN-server gaan
Op de router kun je aangeven dat alles naar internet moet en daar kun je uitzonderingen op definiëren die via de VPN-server gaan (alleen niet alle routers ondersteunen dat)

Het enige dat je verder nog moet weten is welke IP-ranges alleen via je VPN-server bereikbaar zijn

QnJhaGlld2FoaWV3YQ==

dinsdag 26 augustus 2014 11:40

Acties:

0 Henk 'm!

Mystic Spirit

PSN: mr_mysticspirit

Topicstarter

Dat zou inderdaad niet zo moeilijk zijn, maar je redeneert volgens mij van binnen mijn netwerk naar buiten en ik bedoel het andersom.

wat ik wil is:

Client op open internet => verkeer voor thuisnetwerk over VPN => Thuisnetwerk
Client op open internet => alle overige verkeer => blijft rechtstreeks op open internet

Dit alles wil ik dan regelen zonder aanpassingen te moeten doen op de client zelf.

dinsdag 26 augustus 2014 16:52

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Mystic Spirit schreef op dinsdag 26 augustus 2014 @ 11:40:
...Dit alles wil ik dan regelen zonder aanpassingen te moeten doen op de client zelf.

't Enige wat op de client dan moet gebeuren is het vinkje "use default gateway on remote network" uitzetten.

Ik begrijp nu dat je op een aantal PC's die VPN-connectie wilt uitrollen, zodat ze ongeacht hun locatie, gebruik kunnen maken van diensten die jij achter je VPN-server verstopt. Maar je wilt niet het overige internet verkeer van die clients voor je rekening nemen.

Dan moet dus dat vinkje uitstaan. Hoe je dat doet, hangt af van de manier waarop je die "uitrol" doet

QnJhaGlld2FoaWV3YQ==

dinsdag 26 augustus 2014 22:05

Acties:

0 Henk 'm!

Mystic Spirit

PSN: mr_mysticspirit

Topicstarter

Dat klopt, maar de uitrol is niet managed en dus afhankelijk van wat ik server side definieer of afhankelijk van het netjes opvolgen van de instructies door de "gebruiker". Wat het lastig maakt is bijvoorbeeld dat de standaard android vpn client geen vinkje heeft voor "use default gateway on remote network".

Daarom zou ik het graag vanaf de server regelen. Maar daar heb ik voor alsnog geen oplossing voor gevonden.

woensdag 27 augustus 2014 08:20

Acties:

0 Henk 'm!

PisPix

Dit is toch gewoon standaard gedrag van een (client/server) VPN verbinding? Op de VPN server kant configureer je voor welke netwerken de client de tunnel moet gebruiken. De rest van het verkeer zal dus niet de tunnel in gaan en gewoon het internet op via de def gw van de client. Alle VPN oplossingen (Cisco, Juniper, Checkpoint, Palo Alto, F5) waarmee ik werk doen dit op deze manier. De routeringen voor de thuisnetwerken worden via de VPN client in de ipstack gezet. je zou niet met losse routeringen aan de slag hoeven.

woensdag 27 augustus 2014 09:32

Acties:

0 Henk 'm!

Mystic Spirit

PSN: mr_mysticspirit

Topicstarter

Zoals aangegeven heb ik geen grote hoeveelheid ervaring met VPN's en de oplossing daarvoor, maar volgens mij noem je nu allemaal VPN oplossingen waarbij je specifieke VPN software installeerd op de client. Ik zou het graag willen realiseren met de standaard software die op de client aanwezig is.

Of zie ik iets over het hoofd en watvoor setting zou ik dan naar opzoek moeten?

woensdag 27 augustus 2014 12:20

Acties:

0 Henk 'm!

Rolfie

Mystic Spirit schreef op dinsdag 26 augustus 2014 @ 10:29:

• Geen routed subnet begrijp ik niet zo goed. Helpt dit om de clients van uit de server het verkeer te laten scheiden?

Je kan LT2P in de zelfde IP range laten werken, als je LAN subnet. Het is dan als het ware een bridge en niet een tunnel. Dit lost precies je probleem op. Immers al je lokale IP adressen zitten aan de goede netwerk adapter en worden dus verstuurd door je VNP adapter. Geen idee hoe je het alleen onder linux moet instellen.

• OpenVPN heb ik ook geprobeerd en overwogen, maar bij meer dan 2 connecties krijg je licentiekosten. De licentiekosten vind ik nogal aan de hoge kant. Voor dat geld kun je al snel je interverbinding upgraden en heb je er over de volle breedte meer aan.

opensource is gratis en werkt ook op ios en android (meeste versies).

• Cisco AnyConnect heb ik niet naar gekeken, maar is neem ik aan ook een betaalde oplossing?

Is inderdaad betaald.

donderdag 28 augustus 2014 01:54

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Maar je zoekt dus een server-side oplossing die op alle platforms (Windows, Linux, OSX, Android, iOS) werkt. U is een optimist

QnJhaGlld2FoaWV3YQ==

donderdag 28 augustus 2014 14:32

Acties:

0 Henk 'm!

Sendy

Nu is bovenstaande enigszins op te lossen met static routes, maar waar ik altijd mee zit is het DNS: mijn lokale netwerk heeft een andere nameserver (met authoritative zones) dan mijn werkgever. Ik moet dus op de client het DNS-verkeer splitsen. En dat schijnt te kunnen, maar is me nooit gelukt om goed te krijgen.

donderdag 28 augustus 2014 15:17

Acties:

0 Henk 'm!

Mystic Spirit

PSN: mr_mysticspirit

Topicstarter

Brahiewahiewa schreef op donderdag 28 augustus 2014 @ 01:54:
Maar je zoekt dus een server-side oplossing die op alle platforms (Windows, Linux, OSX, Android, iOS) werkt. U is een optimist

Ik was al "bang" dat ik een optimist zou zijn

@Rolfie
Hoe zit het met de opensource variant van OpenVPN? Ik ken alleen de variant waarbij het tot 2 connecties gratis is. In beleveing bestaat er geen andere implemntatie.

donderdag 28 augustus 2014 17:29

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Netwerktechnologie
Vpn

Lol, hoe mensen kunnen verschillen. Ik moest juist even in m'n ogen wrijven toen ik las dat er een gesloten variant van OpenVPN bestaat, ik ken alleen de open source versie. Dat is voor mij de standaard VPN-oplossing.

This post is warranted for the full amount you paid me for it.

donderdag 28 augustus 2014 17:57

Acties:

0 Henk 'm!

Craven

CAPSLOCK2000 schreef op donderdag 28 augustus 2014 @ 17:29:
Lol, hoe mensen kunnen verschillen. Ik moest juist even in m'n ogen wrijven toen ik las dat er een gesloten variant van OpenVPN bestaat, ik ken alleen de open source versie. Dat is voor mij de standaard VPN-oplossing.

Goh, is dat waar Openvpn misschien voor staat? /sarcasm

donderdag 28 augustus 2014 20:05

Acties:

0 Henk 'm!

Mystic Spirit

PSN: mr_mysticspirit

Topicstarter

Inderdaad woordje in de vraag

Ik doelde met mijn vraag meer op het gratis stuk

. Opensource is niet per definitive gratis en volgens mij is dat bij OpenVPN dus ook het geval.

donderdag 28 augustus 2014 21:50

Acties:

0 Henk 'm!

Gleighton

Er zijn twee varianten van OpenVPN, OpenVPN zelf en OpenVPN-AS. De laaste is een wrapper en een makkelijker te installeren variant om OpenVPN heen en kost geld.

donderdag 28 augustus 2014 22:19

Acties:

0 Henk 'm!

Rolfie

Mystic Spirit schreef op donderdag 28 augustus 2014 @ 15:17:
[...]

Ik was al "bang" dat ik een optimist zou zijn

@Rolfie
Hoe zit het met de opensource variant van OpenVPN? Ik ken alleen de variant waarbij het tot 2 connecties gratis is. In beleveing bestaat er geen andere implemntatie.

De OpenSource versie informatie kan je gewoon hier vinden

Google even op je openvpn how to eventueel icm met je OS platform. Informatie inclusief voorbeelden zijn genoeg te vinden op Internet.

vrijdag 29 augustus 2014 00:31

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Netwerktechnologie
Vpn

Mystic Spirit schreef op donderdag 28 augustus 2014 @ 20:05:
Inderdaad woordje in de vraag Ik doelde met mijn vraag meer op het gratis stuk . Opensource is niet per definitive gratis en volgens mij is dat bij OpenVPN dus ook het geval.

Het is Free Software, GNU GPL. Helemaal gratis dus.

This post is warranted for the full amount you paid me for it.

Onderwerpen