Bestimmte Websites über VPN Verbindung

[TomH]

Ich stehe im Moment vor folgendem Problem, vielleicht hat jemand eine Lösung: Ich habe eine VPN Verbindung zum Netzwerk in unserer Firma eingerichtet, das hat auch problemlos geklappt und funktioniert. Nun möchte ich über den Internetgateway in der Firma auf eine Website zugreifen, die den Zugriff auf bestimmte Ressourcen nur gestattet wenn eine bestimmte IP (zugehörig zur Firma) zugreift, d.h. es nützt mir nichts die Seite von zu Hause anzusurfen, sondern es muss über die VPN Verbindung und über den Internetzugang in der Firma geschehen. Nun gibt es in den erweiterten Einstellungen der VPN Verbindung die Möglichkeit Domains einzugeben und einer bestimmten VPN Verbindung zuzuordnen, aber leider klappt das nicht. Safari ignoriert die Einstellung und verwendet ganz normal meinen Internetzugang zu Hause, obwohl die VPN Verbindung steht. Erst wenn ich in den Einstellungen den gesamten Internetverkehr auf die VPN Verbindung lege funktioniert es, aber dann werden eben alle Seiten über VPN aufgerufen, was a) langsam und b) unpraktisch ist.
Gibt es eine Möglichkeit die VPN Verbindung unter Mac OSX so einzurichten, dass der gesamte Internetzugang über meinen Anbieter zu Hause läuft, und nur die Domain xxx.com über das VPN aufgerufen wird?

Vielen Dank schon mal im Voraus für eure Antworten!

 

[odium]

Hallo,

ich habe das gleiche Problem und würde mich über eine Antwort auch freuen.

Grüße,
christoph

 

[floorjiann]

Hast du die VPN Verbindung in den Netzwerkeinstellungen an erster Stelle? Vielleicht würde das etwas helfen..

 

[Steinchen]

Hallo,

das ist ein Routingproblem.

Starte einen Terminal und tippe ein "sudo su -" danach gib dein Passwort ein und du bist root.

Jetzt schau dir die Routingtabelle an "netstat -rn".

Um bestimmte Seiten via Firmenvpn zu erreichen muss dazu das Routing sowohl auf Firmen-VPN-Seite als auch im Macbook entsprechend aufgeschaltet sein. Ist dies auf Seite der Firma nicht erfolgt, wirst du kein Glück haben. Ebenso die Anfragen für Nameserver sowie die Firewall an sich muss entsprechend konfiguriert sein.

Ein weiteres Problem wird sein wieviele IP-Adressen eine Nameserveranfrage für die entsprechende Seite zurück liefert. Zwar kann man auch via Namen aus dem DNS routen, allerdings benötigt dabei die Abfrage der Routingtabelle für jedes Paket eine entsprechende DNS-Anfrage und das Reversemapping muss funktionieren. Sprich: zu viele Fallstricke für ein funktionierendes Routing.

Hast du allerdings nur eine IP für die jeweilige Seite oder gar ein ganzes Subnet kannst du darüber das Routing entsprechend bestimmen.

Am einfachste du schaust dir die Ausgabe von "dig" zur entsprechenden Seite an:

Als Beispiel Google:

ol@who ~
$ dig google.de +short
74.125.77.104
216.239.59.104
209.85.229.104

Hier liefert der A-Record für Google gleich drei IP-Adressen zurück. Willst du diese nun via dein Firmen-VPN erreichen musst du die Route dafür auf den Gateway deines Firmen-VPN setzen. Diesen siehst du im Routingtable das du mit "netstat -rn" erhalten kannst. Hier sollte ein Gateway sein der für eines der privaten Subnetze genutzt wird, also irgendwas im Bereich von 10.0.0.0-10.255.255.255 (10/8), 172.16.0.0 - 172.31.255.255 (172.16/12) oder 192.168.0.0 - 192.168.255.255 (192.168./16).

Dieses Gateway nimmst du einfach und setzt entsprechende Route für die Website darüber.

Beispiel:

netstat -rn

zeit in etwa sowas:

192.168.0.0 255.255.0.0 192.168.5.1

dann stellt 192.168.5.1 den zu verwendenen Gateway dar und du müsstest mit:

route add 74.125.77.104/32 192.168.5.1

den gewünschten Erfolg erzielen.

Das ganze muss jetzt noch für die beiden anderen IPs geschehen. Außerdem solltest du versuchen das ganze automatisch zu machen bei jeder Einwahl.

Hast du ein ganzes Netz das du erreichen willst, solltest du einfach hingehen und das ganze netz entsprechend routen:

e.g.:

route add 192.168/16 192.168.5.1

Und wenn du nach Einwahl _ALLEN_ traffic durch das VPN routen willst dann solltest du das Default-Gateway nicht ändern sondern es entsprechend überschreiben und dabei den VPN-Verbindungspunkt (e.g. 70.80.90.100) nicht vergessen der weiterhin über deinen heimischen Defaultgateway (e.g.: 10.1.1.1) erreichbar sein sollte:

route add 0/1 192.168.5.1
route add 128/1 192.168.5.1
route add 70.80.90.100/32 10.1.1.1

Ansonsten wird deine VPN Verbindung nach überschreiben des Defaultgateways immer abbrechen und das Spiel wird von vorne beginnen.

Cu!