PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : gebridgtes VPN, Standardgateway vom DHCP blocken für VPN?



blubbersuelze
17.10.06, 04:01
Hallo,

ich habe folgendes Gedankenproblem:

Ich habe ein laufendes VPN im Bridgingmode welches ich ins LAN direkt einklinke.
Das LAN hat eine DHCP sowie DNS und auch einen Gateway nach aussen.

Jetzt folgendes Problem:
Wenn ich mich im LAN ans Netzwerk hänge bekomme ich vom DHCP eine Lease
inklusive defaultgateway.
Das ist auch in Ordnung so

Mache ich das über das VPN bekomme ich vom DHCP ebenso eine Lease inklusive defaultgateway.
Technisch ist das ja in Ordnung.
Was mir dabei nicht gefällt ist, das jemand dem ich einen Zugang gewährt habe nun hingehen könnte und z.B. kritische Inhalte (z.b. Kinderporno oder was weiss ich) über den von meinem DHCP zugewiesen weiteren Gateway ansurfen könnte, da er seinen kompletten Traffic durch das VPN leiten kann.

jetzt ist die Frage wie kann ich unterbinden das jemand der über das VPN am Netzwerk hängt den defaultgateway nutzen kann.
Meine Idee wäre eine Paketerkennung die ich mittels IPTABLES auswerte, und die alle Pakete die die vom VPN kommen und über das defaultgateway raus wollen verwirft
Denn ein nichtzuweisen des defaultgateways ist keine Lösung da man das defaultgateway leicht rauskriegen kann

ich bin für Lösungen jeder Art offen die einen weiter bringen:)

danke schon mal

mfg.
blubbersuelze :p

gbolk
17.10.06, 07:11
Proxy mit Authentifizierung? Eigene IP-Segmentierung für VPN-Clients? Nur zwei Ideen...

blubbersuelze
17.10.06, 12:51
Proxy mag ich nicht einsetzen

und eigenes IP-segment ist schwierig da ich dann das vpn in einem anderen Subnetz laufen lassen muss wie das lan. das kann ich aber leider nicht gebrauchen, da ich vpn und lan im gleichen subnetz brauche.

Am besten wäre ein Identifizierung welche Pakete aus dem VPN kommen, oder eine Erkennung welche IP am VPN hängt so das ich diese dynamisch für das Gateway sperren kann

gbolk
17.10.06, 16:28
Dann vergib doch die VPN-IPs per DHCP oder erlaube nur bestimmte. Diese kannst Du ja dann im Gateway sperren...

blubbersuelze
17.10.06, 16:45
das LAN und VPN nutzen den gleichen DHCP und auch den selben Pool da beide über das selbe Interface angebunden sind ... also wirds damit schwierig...

hatte das aber schon weiter oben beschrieben ...

bla!zilla
17.10.06, 16:52
Was spricht denn gegen Reservierungen auf dem DHCP und einer Handvoll IPTables Regeln?

blubbersuelze
17.10.06, 17:30
*grmpf*

also nochmal für die lesefaulen:

VPN und LAN nutzen:
selbes subnetz
selben DNS
selben DHCP
weil beide über selbe Bridge gehen da es gewollt ist das VPN-clients im selben Subnetz sind wie das LAN

deshalb klappt das nicht mit dem eigenen Pool für VPN da LAN UND VPN den gleichen dhcp-pool nutzen

mir wäre ne Erkennung der Herkunft der Pakete am liebsten, so das ich mittels IPTABLES dann den Durchgang durch das Gateway für diese IP blocken könnte.
Allerdings fällt mir nix ein wie ich die IP's rausbekomme die am VPN hänge so das ich sie per script vom gateway sperren kann, bis sie wieder aus dem vpn weg sind

bla!zilla
17.10.06, 18:23
Ich bin nicht lesefaul, aber entweder verstehtst du nicht was wir dir empfehlen, weil du dich nicht mit der Technik auskennst, oder du hast kein richtiges Problem. :rolleyes:

Du kannst doch aus deinem DHCP Pool für deine paar VPN Clients Reservierungen verteilen, also eine Reservierung von IPs im DHCP, aus Basis von MAC-Adressen. Nach diesen IPs kannst du dann bequem taggen. Oder du sperrst den gesamten Outbound-Traffic und schaltest alle einzeln per IPTables Regel frei (gerne auch auf Ebene der MAC-Adresse). Alternativ kannst du auch noch via IPTables nach dem Herkunftsinterface suchen und dann den Verkehr blocken. Über irgendein Interface kommen die Pakete ja rein.