.titleBar { margin-bottom: 5px!important; }

[Frage] Teile des Traffics an OpenVPN vorbeischleusen?!

Dieses Thema im Forum "Freetz" wurde erstellt von michael0, 5 Apr. 2012.

  1. michael0

    michael0 Neuer User

    Registriert seit:
    4 Apr. 2012
    Beiträge:
    1
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    heute ist es mir nach einigen Tagen endlich gelungen OpenVPN auf meiner Fritz!Box 7270 als Client zum laufen zu bringen. (An dieser Stelle möchte ich mich für die vielen Infos im Wiki und im Forum bedanken, ohne wäre ich nie soweit gekommen)
    D.h. mein gesamter Internetverkehr wird über meinen VPN Anbieter abgewickelt.
    Allerdings würde ich jetzt gerne Ausnahmen für bestimmte Seiten u.o. Ports definieren.
    Ist das möglich, wenn ja was müsste ich tun um das zu realisieren?

    Meine aktuelle Konfiguration sieht wie folgt aus:
    Fritz!Box WLAN 7270 FW 54.04.88freetz-1.2_rc2 mit folgender config: Den Anhang config.txt betrachten
    und diesen OpenVPN Einstellungen: Den Anhang config_openvpn.txt betrachten
    weiters verwende ich das "dsld_default_route script" aus Ticket #783 damit OpenVPN die alte Default Route findet und eine neue setzen kann.
    Zum Schluss noch iptables mit der Regel "-A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE" um mein Netz hinter der Fritz!Box zu verstecken.


    Ích bin für jede Hilfe/Tipp dankbar.
    gruß, michael
     
  2. koronth

    koronth Neuer User

    Registriert seit:
    21 Nov. 2008
    Beiträge:
    50
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Ort:
    Berlin
    Hi,

    wie's genau bei Dir läuft - keine Ahnung. Aber prinzipiell, um beispielsweise für VOIP via DUS.net ein ganzes Subnetz 83.125.8.0/24 am VPN vorbeizuschleusen:

    Code:
    /sbin/route add -net 83.125.8.0/24 dsl
    Oder nur für eine spezielle Adresse via:

    Code:
    /sbin/route add -host [url]www.paypal.com[/url] dsl
    Eine solche Route aber anhand der Source-IP (um z.B. den internetfähigen TV gleich komplett vom Umweg übers VPN zu befreien) zu setzen, wüßte ich auch gern :-(.
    Mir bekannte Wege via ROUTE-Target von iptables oder via /bin/ip funktionieren wohl nicht mit Freetz-Releases, die ich kenne, da diese beiden Features von iptables und ip (ist ja nur das aus busybox) dort nicht implementiert sind ...

    Viel Erfolg!
     
  3. Suchiman

    Suchiman Mitglied

    Registriert seit:
    8 Apr. 2011
    Beiträge:
    320
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Also iptables gibt es für die Box auch wenn das ein bisschen "stressig" sein kann, bzw. er hat es ja drin
    Fehlt das feature bei ip oder bei iptables ?
     
  4. koronth

    koronth Neuer User

    Registriert seit:
    21 Nov. 2008
    Beiträge:
    50
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Ort:
    Berlin
    @Suchiman

    Bei iptables "fehlt" in Freetz die Unterstützung des Route-Targets z.B. für etwas wie:

    Code:
    iptables -A PREROUTING -t mangle -s <IP_die_immer_am_VPN_vorbei_soll> -j ROUTE --oif dsl
    und bei /bin/ip ist die route Option abgespeckt, so daß man etwas wie

    Code:
    ip route add table 4 default dev dsl
    nicht machen kann, was (untested) in Zusammenhang mit iptables IMHO auch zum gewünschten Ergebnis führen müßte ...

    Daher kriege ich zumindest es derzeit nicht hin unter Freetz anhand der Source-IP zu routen, und damit bestimmt Geräte komplett vom VPN auszunehmen ...
     
  5. µRaCoLi

    µRaCoLi Mitglied

    Registriert seit:
    22 Sep. 2005
    Beiträge:
    239
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Osnabrück
    kann das iptables vllt. das target MARK?

    dann kann man mit "ip rule" und ner 2. tabelle arbeiten (wenn das ip tool nicht auch beschnitten ist...)
     
  6. RalfFriedl

    RalfFriedl IPPF-Urgestein

    Registriert seit:
    22 Apr. 2007
    Beiträge:
    12,343
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Bei Bedarf kann man immer das große ip Tool erstellen.