VPN routing für lokales Netzwerk

[killer1337]

Hallo zusammen,
ich habe in meinem Netzwerk eine Fritzbox von Unitymedia (6390) und einen HP N54L Server, sowie einige Windows PCs und Android Geräte.

Ich würde gerne den Traffic für bestimmte IPs über einen oder am liebsten zwei verschiedene VPNs routen (einer USA, einer in ein lokales Netzwerk an einem zweiten Standort), während der Rest weiterhin über den normalen Anschluss gehen soll.

Die Frage ist, wie ich das generell aufziehe. Auf der Fritzbox direkt kann ich soweit ich weiß kein selektives Tunneling einrichten.

Meine Idee wäre den HP als Gateway zu definieren und auf diesem zwei VPN Clients zu betreiben.

Ist das generell der richtige Weg mein Ziel zu erreichen oder macht man das anders? Habt ihr vielleciht ein paar weiterführende Links oder sonstige Hinweise für mich?

Danke im Voraus!

 

[linuxadmin]

Hi killer1337,

ich habe sowas letztens unter Linux eingerichtet.
Zwei openvpns und dann den traffic für bestimmte Websites über das zugeordnete VPN geroutet.
Das Thema scheint aber nicht trivial zu sein.
Ich habe das über ip route und iptables gelöst.
Erstmal eingestellt, das keine Standardrouten vom VPN übernommen werden.
Mit iptables markiere ich die Pakete, die über ein VPN raussollen.
Dann habe ich eine ip rule angelegt, die diese markierten Pakete zu einer route übers VPN zuordnet.

Beispielschnipsel um jeglichen IP-Traffic zu Hardwareluxx.de über VPN tun0 zu routen (mach dich wenn du das so machen willst am besten mit den jeweiligen Befehlen vertraut):

iptables -A OUTPUT -t mangle -d Hardwareluxx -j MARK --set-mark 100
iptables -t nat -A PREROUTING -t mangle -d Hardwareluxx -j MARK --set-mark 100
ip rule add fwmark 100 table 500
ip route add default dev tun0 table 500

Hoffe das hilft dir weiter!

Gruß,
linuxadmin

 

[bst92]

Ist mit pfsense machbar.

 

[killer1337]

Danke für eure Antworten!

In die iptables Thematik muss ich mich mal einlesen.

Alternativ scheint mir eine Router/Firewall Disto wie pfsense bequemer zu sein. Für die Virtualisierung auf meinem eher schwachbrüstigen Server scheidet pfsense aber wohl aus da es ja auf BSD basiert und einer Vollvirtualisierung bedürfte.

Mit IPFire wird sowas aber bestimmt auch gehen, oder? Das könnte man dann in einem Container laufen lassen oder auf einem extra Raspberry.

Edit: Scheinbar ist sowohl ein Raspberry als auch mein Server suboptimal für den Einsatz, da beide nur über einen NIC verfügen. Ein Open-WRT Router scheint geeigneter. Hat damit jemand Erfahrung und kann vielleicht ein Modell empfehlen? Es gibt ja doch einige...

 

[linuxadmin]

also auch zu Firewall Distributionen...
vorher testen ob die das von Haus aus über deren GUI wirklich können. Ich habe es mit meiner eingesetzten nicht hinbekommen und dann über ein Script im Hintergrund gemacht.
Selbst bei der Suche im Internet kam ich mir wie ein Exot vor und einer der ersten zu sein, der sowas machen will...
Also am besten einfach testen.
In Iptables einarbeiten lohnt sich aber sicher, da lernt man auch gleich viel über Netzwerke, Verbindungen, Routing, Nat usw.

Gruß,
linuxadmin

 

[killer1337]

Könntest du denn etwas genauer beschreiben wie du das einsetzt?`Auf was für Hardware läuft das bei dir? Verwendest du auch einen Allzweckserver für diese Aufgabe oder ein dediziertes Gerät? Wie sieht die Netzwerktopologie dann ungefähr aus? Und falls die Hardware auch nur einen NIC hat, was schaffst du für Datenübertragungsraten wenn der ganze Traffic darüber läuft?

 

[linuxadmin]

Das ist bei mir ein Server mit 3 NICs, eine zum Internet, eine zu den Clients und eine zu meiner Serverlandschaft. Als Sofwarebasis habe ich die freie Version vom Sophos UTM.
Jeglicher Netzwerkverkehr Richtung Internet läuft also über diesen Router und kann dann beliebig "verbogen" werden.
Ich habe mir auch ein paar Firewall Distros angeschaut, und vielleicht habe ich es auch einfach nicht gefunden, aber über die GUI kann man häufig doch nur relativ standardmäßige Sachen einstellen und nicht wirklich tiefer in Routing usw. eingreifen. Pfsense kenne ich aber nicht. Sollte ich vielleicht auch mal ausprobieren

Wie willst du mit nur einer NIC sinnvoll routen? Also klar, man kann der zwei IPs geben und dazwischen routen usw., aber was bringt das?
Eine dieser Ips müßte Standardgateway für deine ganzen Rechner sein. Standardgateway von dem Server wäre dann dein Router.
Aber um sowas aufzusetzen brauchst du schon selbst entsprechende Kenntnisse über Routing und Netzwerkaufbau.

Die Performance also Datendurchsatz, maximal stabil mögliche Verbindungen habe ich nicht gemessen. Aber für unsere lahmen Internetverbindungen mit maximal 100Mbit/s wird da jeder PC als Router reichen. Früher hatte ich lahme Pentium 100Mhz als DSL Router und die waren mit dem mikrigen 1Mbit/s komplett unterfordert.
Vielleicht sind die Hardwarerouter minimalst schneller, aber ich denke das macht sich in kleinen Heimnetzwerken nicht spürbar bemerkbar, sondern erst wenn die Router mehrere tausende Verbindungen gleichzeitig handhaben müssen.

Gruß,
linuxadmin

 

[killer1337]

Danke für die Details! Ich denke ich werde mir mal die Möglichkeiten von openwrt genauer ansehen. Das erscheint mir für mein Vorhaben sinnvoller als meinen Server aufzurüsten.

 

[AliManali]

Ich mach das mit meiner Zywall 110, und nutze dazu das Policy Based Routing auf das Multi WAN. Könntest Du Dir vielleicht auch mal anschauen. Sind ja jetzt gerade die neuen 2014er Modelle rausgekommen,...

Habe allerdings eine eigene VPN Hardware, sprich ich nutze die drei WAN Port's dazu.

 

[killer1337]

Danke AliManali, aber die Dinger sind mit der Auslegung für 60.000 Verbindungen doch etwas überdimensioniert und dementsprechend auch etwas teuer. Ich denke mit einem OpenWRT Router sollte das für weniger Verbindungen und eine kleinere Bandbreite auch zu bewerkstelligen sein zu einem Zehntel des Preises, nicht?