Hallo Leute,

ich habe meinen Router mit OpenWrt 19.07.2 so konfiguriert, dass er automatisch eine VPN-Verbindung aufbaut. Der gesamte nicht lokale Netzwerkverkehr erfolgt nun über diese VPN-Verbindung. Es gibt aber nun einige Webseiten (z.B. Amazon Prime) die sich darüber beschweren. Wie kann ich das konfigurieren, damit ausgewählte Internet-Adressen nicht über das VPN laufen?

Also wenn das richtig konfiguriert ist, sieht Amazon doch gar nicht, von wo aus du ursprünglich die Verbindung aufgebaut hast, sondern nur den VPN-Endpunkt. Du musst natürlich sicherstellen, dass vom Anschluss des VPN-Endpunktes aus, Amazon problemlos aufgerufen werden kann und der VPN-Endpunkt nicht z.B. auf irgendner "schwarzen Liste" steht o.Ä.

Danke für den den Wink :uhammer:, quiller

Nach etwas Recherche habe ich nun einen VPN-Server gefunden, der von Amazon nicht geblockt wird. Ich werde also OpenVPN auf den anderen Server abändern.

Lieber wäre mir allerdings gewesen, ich könnte festlegen welche Programme/Protokolle/IPs/Ports über VPN laufen und welche nicht. Aber das ist dann wohl eine Beschäftigungstherapie für die nächste Pandemie ;)

Hm, würde auch gehen, aber dann müsstest vlt. mit Proxies rumspielen oder manuell Routen für die Amazon-Server auf deinem Rechner o. im OpenWRT-Router setzen. Klingt schon nach etwas Aufwand :F.

Normalerweise läuft ja so ein VPN-Zugang auch eher andersrum: Nur das Remote-Netzwerk ist per VPN erreichbar, der normale Internettraffic läuft wie gewohnt übers Standardgateway deines Providers (=redirect-gateway=off / Splitt-Tunnel=an). Du schickst jetzt quasi den kompletten Internet-Traffic durch den Tunnel. Ich hoffe in deinem LAN sind keine Rechner, die Online-Games befeuern müssen oder irgendwelche Geräte die Videos von Netflix&Co. streamen sollen, das könnte nämlich zu höheren Latenzen oder Engpässen bei den Datenraten führen :F.

Naja, ich bin halt ein ziemlicher Netzwerk-noob und habe mich einfach an die Anleitung auf der OpenWrt-Seite gehalten: https://openwrt.org/docs/guide-user/services/vpn/openvpn/client-luci

Ich würde es auch gerne ordentlich konfigurieren, aber es läuft ja jetzt erst mal.

Der verschlüsselte Traffic macht es zunehmend schwierig auf IP Level nach Domains zu filtern und auf der andern Seite die DNS Server können dem Client keine Route angeben. Nun weisst du aber nicht im voraus alle Amazon- und Pornhub-IP-Adressen um statische Routen festzulegen. Wir müssen die also die IP zuerst anfragen um dann entscheiden durch welches Interface die geht.

In diesem Fall bietet es sich an dnsmasq als DNS Resolver auf dem Router an. Damit kannst du nebenbei auch die DNS Anfragen verschlüsseln, cachen uvm (https://linux.die.net/man/8/dnsmasq). In diesem Fall nun aber ist besonders praktisch, dass dnsmasq dort läuft wo auch das Routing stattfindet und kannst du mit der Option "ipset" eine IP Adresse von einer Domain direkt an ipset bzw. iptables weiterleiten und dann jeweils in Echtzeit das Interface zuordnen.

Danach hängt es etwas vom VPN interface ab, wie du genau konfigurierst. Bei einem Tab Interface ist es eigentlich wie in den Anleitungen beschrieben, du gibst einfach die in den iptables an ob es über welches es gehen soll. (Persönlich würd ich wireguard nehmen statt opvpn, ist einfacher zu handhaben, flexibler und schneller).

Allerdings musst du bedenken, dass du deine VPN Pseudonymität augibst, wenn du mit zwei IPs gleichzeitig surfst - z.b. weil da noch ein Widget von einer anderen Domain, die nicht umgeleitet wird, eingebunden ist. Um irgendwelche Filter zu täuschen, sollte es aber klappen wenns sauber umgesetzt ist.


https://openwrt.org/docs/guide-user/services/vpn/wireguard/basic
https://openwrt.org/docs/guide-user/base-system/dhcp.dnsmasq
https://openwrt.org/docs/guide-user/firewall/netfilter_iptables/netfilter_openwrt
https://www.wireguard.com/

man pages:
https://linux.die.net/man/8/dnsmasq
http://ipset.netfilter.org/ipset.man.html
https://linux.die.net/man/8/iptables

PS:

Man kanns im Firefox mit Foxyproxy steuern. Aber dafür muss man einen Proxy nutzen, kein VPN.

Aber ich fürchte, so eine Lösung fällt durch, da sie zu einfach ist.

Man kanns im Firefox mit Foxyproxy steuern. Aber dafür muss man einen Proxy nutzen, kein VPN.

Aber ich fürchte, so eine Lösung fällt durch, da sie zu einfach ist.

Solange der 2 Gateways hinkriegt - eigentlich ganz einfach

Hab den Thread nicht aus den Augen verloren, bin bisher nur nicht dazu gekommen die Tipps auszuprobieren. Letztens gab es ein Problem mit dem von mir gewählten DNS Server. Daher ist das always-on VPN derzeit wieder deaktiviert. Ich muss den DNS Server des VPN-Anbieters nutzen, damit Amazon Prime weiterhin funktioniert. WireGuard braucht ja eigene Konfigurationsparameter, oder? Das ist mit OpenVPN nicht kompatibel.

Wireguard ist eine andere Technik als das olle OpenVPN. Die Konfiguration und Handhabung ist viel angenehmer und einfacher. Gibt auch VPN Anbieter wie Mullvad, die das unterstützen.