PiVPN - OpenVPN - Full-Tunnel ändern zu Split-Tunnel möglich?

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo zusammen,

    ich habe auf meinem Raspi4 einen OpenVPN-Server laufen. Alle Clients (Windows 10/iPhone) können von extern auf mein Heimnetzwerk zugreifen, und verwenden beim Zugriff auf das Internet meinen Provider (auch wegen PiHole). Jetzt würde ich gerne die Möglichkeit dahingegen einschränken, dass manche Clients nur über einen OpenVPN Splitted-Tunnel zugreifen können, d.h. es soll möglich sein auf mein Netzwerk 192.168.178.0/24, oder besser nur auf die Fritz!NAS zuzugreifen, der Internetzugriff soll aber nur über den eigenen Provider möglich sein.

    Kann ich dies über einen passenden Eintrag in der Konfig-Datei *.ovpn umsetzen?

    Vielen Dank

    Grüße

  • PiVPN - OpenVPN - Full-Tunnel ändern zu Split-Tunnel möglich?? Schau mal ob du hier fündig wirst!

  • Ja das geht. Es gibt einen Parameter, der festlegt, ob die Default-Route in den Tunnel gehen soll oder nicht.

    Wenn du den deaktivierst kannst du mit einem weiteren Parameter in der Config die Routen definieren, die in den Tunnel sollen.

    Ich habe die Parameter gerade nicht im Kopf und keine Config zur Hand. Am besten mal in die Doku schauen und sonst kann ich morgen mal in einer Config nachsehen.

  • Code
    route-nopull
    route 192.168.178.0 255.255.255.0

    Das ignoriert die (Default-)Route, die der Server übergibt und setzt die gewünschte Route auf dem Client.

    Einmal editiert, zuletzt von THPI (1. September 2021 um 19:16)

  • Habe jetzt getestet, und es funktioniert. Vielen Dank für den Tip!

    Kann man das auch Serverseitig festlegen? Man kann ja so als Client die *.ovpn Datei anpassen wie man will, und die Vorgabe wieder entfernen.

    Ja, es müsste auch möglich sein, die Routen entsprechend direkt vom Server zu übergeben.

    Allerdings kann der Client das dann trotzdem ändern. So lange du auf dem Client System die Rechte hast das Routing zu ändern, kannst du das auch jederzeit tun. Das kannst du serverseitig nicht unterbinden, da der Server deine Routing Config ja gar nicht kennt und nicht merkt, ob du da was änderst.

    Serverseitig kannst du nur über entsprechende Firewall Regeln filtern, dass der nicht zu viel im VPN darf.
    Was der Client außerhalb des VPN tut kann der Server nicht kontrollieren.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!