[Frage] Teile des Traffics an OpenVPN vorbeischleusen?!

[michael0]

Hallo,

heute ist es mir nach einigen Tagen endlich gelungen OpenVPN auf meiner Fritz!Box 7270 als Client zum laufen zu bringen. (An dieser Stelle möchte ich mich für die vielen Infos im Wiki und im Forum bedanken, ohne wäre ich nie soweit gekommen)
D.h. mein gesamter Internetverkehr wird über meinen VPN Anbieter abgewickelt.
Allerdings würde ich jetzt gerne Ausnahmen für bestimmte Seiten u.o. Ports definieren.
Ist das möglich, wenn ja was müsste ich tun um das zu realisieren?

Meine aktuelle Konfiguration sieht wie folgt aus:
Fritz!Box WLAN 7270 FW 54.04.88freetz-1.2_rc2 mit folgender config: Anhang anzeigen config.txt
und diesen OpenVPN Einstellungen: Anhang anzeigen config_openvpn.txt
weiters verwende ich das "dsld_default_route script" aus Ticket #783 damit OpenVPN die alte Default Route findet und eine neue setzen kann.
Zum Schluss noch iptables mit der Regel "-A POSTROUTING -s 192.168.0.0/24 -o tap0 -j MASQUERADE" um mein Netz hinter der Fritz!Box zu verstecken.


Ích bin für jede Hilfe/Tipp dankbar.
gruß, michael

 

[koronth]

Hi,

wie's genau bei Dir läuft - keine Ahnung. Aber prinzipiell, um beispielsweise für VOIP via DUS.net ein ganzes Subnetz 83.125.8.0/24 am VPN vorbeizuschleusen:

/sbin/route add -net 83.125.8.0/24 dsl

Oder nur für eine spezielle Adresse via:

/sbin/route add -host [url]www.paypal.com[/url] dsl

Eine solche Route aber anhand der Source-IP (um z.B. den internetfähigen TV gleich komplett vom Umweg übers VPN zu befreien) zu setzen, wüßte ich auch gern :-(.
Mir bekannte Wege via ROUTE-Target von iptables oder via /bin/ip funktionieren wohl nicht mit Freetz-Releases, die ich kenne, da diese beiden Features von iptables und ip (ist ja nur das aus busybox) dort nicht implementiert sind ...

Viel Erfolg!

 

[Suchiman]

Also iptables gibt es für die Box auch wenn das ein bisschen "stressig" sein kann, bzw. er hat es ja drin

Eine solche Route aber anhand der Source-IP (um z.B. den internetfähigen TV gleich komplett vom Umweg übers VPN zu befreien) zu setzen, wüßte ich auch gern :-(.
Mir bekannte Wege via ROUTE-Target von iptables oder via /bin/ip funktionieren wohl nicht mit Freetz-Releases, die ich kenne, da diese beiden Features von iptables und ip (ist ja nur das aus busybox) dort nicht implementiert sind ...

Fehlt das feature bei ip oder bei iptables ?

 

[koronth]

@Suchiman

Bei iptables "fehlt" in Freetz die Unterstützung des Route-Targets z.B. für etwas wie:

iptables -A PREROUTING -t mangle -s <IP_die_immer_am_VPN_vorbei_soll> -j ROUTE --oif dsl

und bei /bin/ip ist die route Option abgespeckt, so daß man etwas wie

ip route add table 4 default dev dsl

nicht machen kann, was (untested) in Zusammenhang mit iptables IMHO auch zum gewünschten Ergebnis führen müßte ...

Daher kriege ich zumindest es derzeit nicht hin unter Freetz anhand der Source-IP zu routen, und damit bestimmt Geräte komplett vom VPN auszunehmen ...

 

[µRaCoLi]

kann das iptables vllt. das target MARK?

dann kann man mit "ip rule" und ner 2. tabelle arbeiten (wenn das ip tool nicht auch beschnitten ist...)

 

[RalfFriedl]

Bei Bedarf kann man immer das große ip Tool erstellen.