Verhindern, dass der gesamte Netzwerktraffic über strongswan-VPN geleitet wird

Leider lässt es die NetworkManager-Implementierung von strongswan nicht zu, dass man beim Verbinden mit einem VPN-Tunnel nur einen begrenzten Teil des Netzwerk-Traffics über den VPN laufen lässt.

Die entsprechenden Einstellungen im Network Manager werden dabei ignoriert, da die strongswan default-Route (Tabelle 220) nach Verbindungsaufbau stets ganz oben platziert wird.

Network Manager Routing-Einstellungen

Will man sich nun mit einem VPN verbinden, dabei aber nur Zugriff auf das lokale Netz erhalten und nicht den gesamten Netzwerkverkehr über den Tunnel routen, bedarf es eines kleinen Tricks:

Verbinde dich dazu zuerst mit dem VPN-Tunnel.

Lass dir nun alle vom VPN hinzugefügten Routen ausgeben und notiere dir die Angaben hinter via, dev und src, da du diese später benötigst:

root@machine:~$ ip route list table 220
default via 192.168.214.1 dev enp0s13f0u2u4 proto static src 192.168.0.66
192.168.0.0/24 via 192.168.0.66 dev enp0s13f0u2u4
throw 192.168.0.254 proto static

Daraufhin leerst du die Routing-Tabelle 220 mit folgendem Befehl:

sudo ip route flush table 220

Und fügst deine eigene neue Default-Route für das/die gewünschte(n) Netzwerke hinzu, auf die du per VPN zugreifen möchtest. Nutze hierbei die oben notierten Werte hinter add, dev und src:

sudo ip route add 192.168.0.0/24 dev enp0s13f0u2u4 via 192.168.0.66 table 220

Sofern du es ganz bequem möchtest, kannst du dir auch diesen One-Liner als Alias abspeichern (Vorher die Netzangabe hinter add bitte noch entsprechend abändern):

sudo sh -c "ip route list table 220 | awk -F' ' ' /^default/ { system(\"ip route flush table 220 ; ip route add 192.168.0.0/24 dev \" \$5 \" via \" \$9 \" table 220\") } '"

Schon wird nur noch der Netzwerkverkehr in das genannte Netz über den VPN geroutet.
Sollen mehrere Netze über den VPN laufen, führe den letzten Befehl einfach mit dem geänderten Werte für das Netz erneut aus.

* * *

Ich möchte nur einen Teil des Traffics über den strongswan VPN laufen lassen, habe dabei aber Schwierigkeiten

Ich unterstütze dich gerne beim Konfigurieren des strongswan VPN.
Schreib mir hierzu einfach über Kontakt, per Telegram oder unten in die Kommentare eine Nachricht.

* * *
* * *
Christian Süßenguth Christian Süßenguth @sweetgood

Hi, ich bin Inhaber der Firma SWEETGOOD. Mit dem andersGOOD Blog möchte ich auch dich für datensichere IT-Lösungen begeistern. So bringst du dein Unternehmen voran, ohne großen Konzernen deine wertvollen Daten zu liefern. Probiers mal anders!


Kommentarbereich

Die Kommentare sind für dich noch deaktiviert, da du dem Setzen von Cookies bisher nicht zugestimmt hast.
Klicke oben rechts auf "Ja, klar!" und lade die Seite neu, um die Kommentare anzuzeigen.

Seite neu laden

👾 Magst du Kekse?

Ich würde gerne Cookies setzen

Ist das OK für dich?