Port oder Adresse über tun0

[mautze]

Hallo,

ich habe schon gegoogelt und musst aber schnell feststellen das dieses Thema iptables zu komplex ist um es mal schnell zu raffen.
Da ich eigentlich nur was ganz einfaches brauche, dacht ich mir, ich verpacke es mal in eine Frage.

Folgender Sachverhalt:

Auf einem Rechner läuft eine permanente VPN Verbindung. Derzeit läuft der gesamte Internet Traffic darüber.
Das soll so nicht mehr sein. Wie ich das OpenVPN vermittel weiß ich, nur nicht wie ich den Traffic dann für einen bestimmten Port bzw. Adresse über die entsprechende Interface route nicht. Es muss so definiert sein, das die Verbindungen für Port/Adresse nur über interface tun0 gehen und ansonsten ins leere laufen.



Wenn mir dabei einer helfen könnte, währe ich wirklich dankbar.

LG

[uname]

Hallo und willkommen im Forum,
aktuell ist es wahrscheinlich so, dass du das Default-Gateway (0.0.0.0/0.0.0.0) über tun0 routest. Du könntest aber auch einfach nur eine IP-Adresse a.b.c.d/255.255.255.255 über tun0 routen. Damit hast du dann schon mal die Einschränkung auf eine IP-Adresse. Poste evtl. deine aktuelle Routingtabelle. Falls aus Sicherheit notwendig, ändere IP-Adressen dort ab bzw. ersetze sie durch Buchstaben.

[mautze]

Hallo und vielen Dank für deine Antwort. Also das habe ich im moment:
Aktuell verhindere ich nur das die Serveradresse nicht über eth0 angesprochen werden kann.

Code: Alles auswählen

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             a.b.c.d
ACCEPT     all  --  anywhere           a.b.c.d

Code: Alles auswählen

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.130.1.145    128.0.0.0       UG    0      0        0 tun0
0.0.0.0         10.10.50.1      0.0.0.0         UG    0      0        0 eth0
10.10.50.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.130.0.1      10.130.1.145    255.255.255.255 UGH   0      0        0 tun0
10.130.1.145    0.0.0.0         255.255.255.255 UH    0      0        0 tun0
66.xxx.xxx.161  10.10.50.1      255.255.255.255 UGH   0      0        0 eth0
128.0.0.0       10.130.1.145    128.0.0.0       UG    0      0        0 tun0

[uname]

Es könnte reichen in deiner OpenVPN-Client-Konfiguration:

Code: Alles auswählen

route-nopull

aufzunehmen. Aber dann wird wohl auch der Zugriff zu dem einen Client erst mal fehlen.
Alternativ könntest du auch mal deine OpenVPN-Server und OpenVPN-Client-Konfigurationen posten. Welche Routen werden z.B. vom Server gepusht? Vielleicht kannst du es auf a.b.c.d/255.255.255.255 einschränken. Dann darfst du aber beim Client den oben aufgeführten Befehl nicht mehr nutzen.

[mautze]

Die Serverconfig kann ich nicht posten, da es ein gekaufter VPN Zugang ist.

[mautze]

Ich will es nochmal vereinfacht ausdrücken:

Wenn die IP Adresse XY angefragt wird, soll dies über das VPN gehen.
Alles andere über die normal Internetverbindung.

Vielen Dank für die Hilfe