[vpn algemeen] routing probleem, verkeer buiten vpn

Beste allemaal,

Sinds kort heb ik m.b.v. "vpnc" op mijn Debian servertje/routertje een prachtige VPN verbinding met de universiteit waarop ik studeer. Op die manier heb ik een "intern" IP-adres en kan ik dus ook interne pagina's bekijken. Die verbinding is altijd actief, zodat ik mijn documenten op afstand gemount kan houden om er zo bij te kunnen.
Echter, als ik nu op de universiteit probeer te SSH-en naar mijn externe IP-adres (van mijn provider), dan komt dat verkeer uiteraard op mijn server terecht, maar (volgens mij) wordt ieder packet via de VPN verbinding teruggestuurd (zoals de routetabel zegt...).
Wat ik dus eigenlijk wil, is dat verbindingen die niet over die tunnel interface (tun1 in dit geval) gestart zijn, ook geen gebruik gaan maken van die interface. Heeft iemand enig idee hoe ik dit voor elkaar kan knutselen?

Nee, dat is juist *niet* de bedoeling. Daarom gebruik ik ook niet de standaard Cisco VPN Client, want die zorgt er inderdaad voor dat alle verkeer via die VPN gaat. En aangezien ik thuis nog een aardig lokaal netwerk heb, kan dat dus niet... Dan zou al het verkeer richting 192.168.0.x ook over de VPN gaan, en dat gaat dus niet werken.
De routetabel is nu ingesteld dat het alleen verkeer naar 131.211.80.x en 131.211.82.x over de tunnel gaat.

Ik zat eens te denken: is het niet mogelijk om in iptables een bepaalde poort en host te selecteren, bijv. host www.tweakers.net en poort 80, en die d.m.v. iptables van interface te laten wijzigen.
Dit zou namelijk toestaan dat ik al het verkeer richting het VPN niet door m'n routingtable laat regelen, maar door IPTables. Communicatie anders dan naar poort 80 gaat dan gewoon "buitenom", dus niet door het VPN, en communicatie naar poort 80 gaat binnendoor, zodat ik wel toegang heb tot de private pagina's.
Heeft iemand enig idee of dit kan met iptables (dus het veranderen van interface van een packet)?

[ Voor 7% gewijzigd door Verwijderd op 26-11-2004 16:25 ]

Uiteraard heb ik geen toegang tot de VPN serverconfiguratie zelf, maar het gaat i.d.d. om de Cisco VPN Concentrator 3000 (o.i.d.). Wat is een split tunnel dan precies?

Ik gebruik expres de opensource client, omdat die niet de kernel om zeep helpt. Ik heb daar al veel gezeur mee gehad, en ik wil het liefst echt niet dat mijn server-kernel getaint wordt!

131-addressen zijn inderdaad universiteitsadressen. Als ik mijn server al het verkeer richting 131.211.x.x laat routeren via de VPN krijg ik een probleem als bijv. de mailserver van de universiteit mijn server probeert te bereiken (via de domeinnaam die daar op draait).
De universiteitsserver gaat dus "buitenom" (zoals DNS 'm vertelt) naar mijn server, maar elk packet dat mijn server terugstuurt gaat "binnendoor" (zoals de routingtable ingesteld staat). De universiteitsserver zal die packets discarden, omdat ze niet via de route komen die verwacht werd, en ook met een ander IP-adres komen in de FROM-header van het packet. Kortom: communicatie onmogelijk.

Nu heb ik dus alleen voor een selectie van servers mijn routing table ingesteld om via het VPN te routeren, zodat ik bijv. de interne webpagina's kan bekijken van de universiteit en de interne nieuwsgroepen kan lezen. Echter, als zo'n webserver een automatisch gegenereerde mail naar mij probeert te sturen, verschijnt hetzelfde probleem weer: de verbinding is onmogelijk. Natuurlijk, uiteindelijk komt de mail bij m'n secundaire MX terecht (buiten de universiteit) en die stuurt 'm weer door naar mij, maar dat levert dus een onvoorspelbare vertraging op.

Dus ik dacht: als ik nu per universiteitsserver een poort kan aangeven die door het VPN moet lopen (in mijn routetabel gaat dat volgensmij niet, in iptables hoop ik wel), dan is het probleem opgelost. Voor de www-servers geef ik dan poort 80 op, en op het moment dat mijn server als smtp-server gebruikt wordt door die www-server, gaat het verkeer niet door poort 80 en dus buitenom.

Ik hoop dat het zo wat duidelijker is geworden!

Niemand een idee of dit mogelijk is?