[Frage] Definierten Traffic über VPN (Client) routen

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
L

linux-guru

Neuer User
Mitglied seit
11 Mai 2007
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hi all,

folgendes Setup:
Lokal: FB7340 mit dem Netz 192.168.66.0/24. DHCP geht von 1-199 - ab 200 werden die IPs statisch für Geräte wie z.B. APs, NAS, Printer und VPN vergeben.
Remote: VServer mit Debian und Shrew-VPN-Client (ike), der mittels (Cisco) IPSec an die FB verbunden ist. IP: 192.168.66.222.
Dieses Setup funktioniert soweit seit langer Zeit problemlos. Zugriff von FB nach VM und umgekehrt mit allen möglichen Protokollen und Diensten ist möglich.

Neu möchte ich sämtlichen Traffic zu Amazon (Prime Video) auf der VM terminieren, so dass ich quasi nur unter der (public) IP der VM für Amazon sichtbar bin.

Einfache Route setzen (z.B. "route add host 8.8.8.8 gw 192.168.66.222") hat bisher kein Ergebnis gebracht. Ebsensowenig ein "echo 1 > /proc/sys/net/ipv4/ip_forward" auf der VM (VPN-Client).
Pings von der FB auf die Destination des Routing-Eintrages gehen immer übers normale DSL raus, anstatt bei nem traceroute als Next-Hop die 222 anzuzeigen...

Hat jemand eine Idee, wie ich das Vorhaben möglichst stressfrei mit Bordmitteln umsetzen kann?
Frage 2 wäre natürlich nach den von Amazon für Prime Video verwendeten IP-Range(s) - das ist aber dann erst die Kür...
 
Irgendwie ist ganze nicht wirklich klar was nun möchtest.

Bisher geht sämtlicher Traffic auf der VM über VPN?
Und nun soll nur Amazon Traffic nicht darüber?
VM steht beim Anbieter?

Deine genannte Route schickt doch nur Google DNS IP über das Gateway.
 
HabNeFritzbox schrieb:
Irgendwie ist ganze nicht wirklich klar was nun möchtest.

Bisher geht sämtlicher Traffic auf der VM über VPN?
Zum Vergrößern anklicken....
Nein. Die VM ist mittels VPN sozusagen mit einem Bein im Heimnetz und kann z.B. dadurch auf das NAS zugreifen (was ich dann wieder in der VM "verarbeite" und das Resultat per WebDAV auf der VM freigebe).
Sämtlicher Traffic vom Heimnetz geht via DSL raus. Sämtlicher Traffic von der VM geht via Upstream über das Rechenzentrum raus, wo die VM steht.
HabNeFritzbox schrieb:
Und nun soll nur Amazon Traffic nicht darüber?
Zum Vergrößern anklicken....
Nein. Der Amazon-Traffic soll vom Heimnetz aus explizit über die VM laufen.
HabNeFritzbox schrieb:
VM steht beim Anbieter?
Zum Vergrößern anklicken....
Ja. Die VM ist ein Web-, Mail-, DNS-, etc.-Server.

HabNeFritzbox schrieb:
Deine genannte Route schickt doch nur Google DNS IP über das Gateway.
Zum Vergrößern anklicken....
Das war ja auch nur ein Beispiel resp. ein Test... Habe es auch mit der IP einer anderen (dritten) VM getestet und der Traffic ging niemals über meine VM. :-(

Vielleicht macht es die Erklärung, warum ich das machen will, einfacher:
Amazon Prime Video stellt dort, wo ich derzeit bin, kaum Content bereit. Sehr viel Content kostet extra, wohingegen er in Deutschland inklusive wäre. Das Amazon-Konto läuft aber seit Jahren über meine (vorhandene) deutsche Adresse. Wenn ich nun den Traffic über die VM im deutschen Rechenzentrum terminiere, bekomme ich auch den in Deutschland erhältlichen Content zu sehen... :idea:
 
Mit professionellen "Bordmitteln" ist das Problem trivial lösbar.
 
Ich denke, Du musst Dir eine (LAN-LAN) IPSec-Config bauen, die auch die IP-Ranges der Netze enthält, die durch den Tunnel geleitet werden sollen.
 
grauGolz schrieb:
Mit professionellen "Bordmitteln" ist das Problem trivial lösbar.
Zum Vergrößern anklicken....

Verrätst Du mir dazu bitte (mehr) Details?

- - - Aktualisiert - - -

odoll schrieb:
Ich denke, Du musst Dir eine (LAN-LAN) IPSec-Config bauen, die auch die IP-Ranges der Netze enthält, die durch den Tunnel geleitet werden sollen.
Zum Vergrößern anklicken....


Hört sich nach einer Heausforderung an. Zumal mich damals die ike (Shrew) Config unter Debian ohne grafisches Frontend zum Wahnsinn getrieben hat...
Ist Dir oder sonst jemandem ein anderer, halbwegs einfacher Workaround (z.B. mit einer günstigen Hardware-Lösung) bekannt?
 
1. Ich nutze als Firewall pfSense.
2. Ich nutze OpenVPN statt IPsec.
3. Ein OpenVPN Client stellt ein Gateway zur Verfügung, daß für "policy based routing" genutzt wird.
4. Damit ist der Drops gelutscht.
 
grauGolz schrieb:
1. Ich nutze als Firewall pfSense.
2. Ich nutze OpenVPN statt IPsec.
3. Ein OpenVPN Client stellt ein Gateway zur Verfügung, daß für "policy based routing" genutzt wird.
4. Damit ist der Drops gelutscht.
Zum Vergrößern anklicken....

Hört sich vernünftig an.
Muss mal überlegen, ob ich das alles umbauen will.
Ich probiere derzeit grad mit nem GRE-Tunnel rum. Dabei kam mir die Idee, dass ich das ja nicht unbedingt via VPN laufen lassen muss, sondern notfalls auch über das öffentliche Netz Routen und auf der VM ggfs. masqueraden könnte...
 
linux-guru schrieb:
Hört sich nach einer Heausforderung an.
Zum Vergrößern anklicken....

Guck Dir mal diesen aktuellen Thread (ff) an. Grundsätzlich geht hier um ein sehr ähnliches Unterfangen (wie eigentlich immer;))

Wenn Du den Traffic durch den Tunnel schickst musst Du aber auch (auf Deiner VM) ans NATten denken (denn Amazon wird mit Source-IP-Adressen aus 192.168.66.0/24 wohl nichts anfangen können ...)
 
Wenn du zwei "Ausgänge" hast, also einmal den *DSL-Anschluss deiner FB, und dann den Tunnel zu deinem VM-Anbieter, dann musst du nur das Routing für den verkehr zu Amazone auf den Tunnel umstellen.
Dazu muss natürlich der Tunnel stehen und muss bei dem gerät, dass den Tunnelendpunkt bei dir bereitstelle, als "Split-Tunnel" definiert sein.

Wenn du deine FB den Tunnel zu deiner VM aufbauen lässt (dort läuft die passende IPsec-Tunnelsoftware), ist dieser Tunnel ein Split-Tunnel. Nur die von der FB gesetzte Route passt noch nicht, da sie nur den verkehr in das Netz auf der anderen Seite des Tunnels durch diesen schickt.

Du musst also die IPs, die Amazon für seine Seiten verwendet, herausbekommen, um eine passende Route setzten zu können. Dieses wäre, wenn du mehrere Systeme durch diesen Tunnel zu Amazon schieben willst, als neue Route auf der FB mit dem geringsten Konfigurationsaufwand bei deinen Geräten verbunden.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 480 (Mitglieder: 32, Gäste: 448)

Neueste Beiträge

Statistik des Forums

Themen
244,858
Beiträge
2,219,646
Mitglieder
371,571
Neuestes Mitglied
FritzFunk
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück