VPN-Client: Ausnahmen einrichten

    Hallo zusammen,

    ich benutze NordVPN und habe die UDM-SE als VPN-Client eingerichtet, so dass (mittels Policy-based routes) der Internettraffic von bestimmten VLANs über einen NordVPN-Server ins Internet läuft.

    Jetzt habe ich aber das Problem, dass sowohl Outlook nicht mehr funktioniert (senden UND empfangen von Mails) und auch Netflix streamen geht (meistens) nicht.

    Bzgl. NordVPN gibt es auf folgender Seite gewisse Hinweise dazu: https://support.nordvpn.com/hc/de/articles…-E-Mails-senden

    - der Tipp, nicht den Port 25 zu nutzen, bringt mir nichts, da Outlook bei mir eh andere Ports nutzt.

    - den zweiten Tipp den Bedrohungsschutz Pro zu deaktivieren kann ich nicht umsetzen, da ich ja die App gar nicht mehr verwende, sondern der VPN-Client auf der UDM-SE eingerichtet ist...oder wie ist das genau, wenn ich den VPN-Client eingerichtet habe?

    Und bzgl. Netflix habe ich noch nichts gefunden...

    Es gäbe ja die Möglichkeit eine zweite Route einzurichten, die nicht den VPN-Client als Interface nutzt, sondern den normalen WAN-Port der UDM-SE. Darüber könnte man dann "specific traffc" laufen lassen.

    - was müsste ich dann bei "Destination" einstellen? Den IMAP bzw. POP3 / SMTP Server meines Email-Anbieters?

    - was müsste ich für Netflix als Destination eingeben?

    - woher weiß die UDM-SE dann welche Route greift? Die allgemeine (über NordVPN) oder die speziellen? Wird da auch von oben nach unten abgearbeitet, wie bei den Firewall-Regeln?

    Viele Grüße, Sebastian

    Du erstellst policy based routes und gibst für E-Mail bei "Domain" die Mailserver des Providers an.

    Für Netflix stellt der Anbieter selbst doch diese Informationen bereit.

    Quote from sebastian_r

    woher weiß die UDM-SE dann welche Route greift? Die allgemeine (über NordVPN) oder die speziellen? Wird da auch von oben nach unten abgearbeitet, wie bei den Firewall-Regeln?

    Policy based routes haben natürlich immer Vorrang gegenüber der default route, ansonsten würde das ganze Konzept nicht funktionieren.

    Solltest Du sich widersprechende Routen anlegen, weiß ich nicht, wie dies gehandelt wird, aber das ist ja auch keine für die Praxis relevante Frage.

    Hi Networker,

    vielen Dank für die schnelle Antwort!

    Quote

    Policy based routes haben natürlich immer Vorrang gegenüber der default route

    Vielleicht ziemlich dumme Frage, aber wo stelle ich die default route ein? Ich hatte die Einrichtung des VPN-Clients so verstanden, dass man zunächst den VPN-Client konfiguriert (unter Settings -> VPN Client) und dann unter Settings -> Routing -> Policy Based Routes einstellt, welche VLANs über den VPN-Client als Interface mit dem Internet kommunizieren sollen (so steht es auch unter Settings -> VPN Client).

    Ist das falsch und müsste ich das dann bei Static Routes einstellen? (Da bin ich mir aber unsicher, was die Einstellungen angeht...)

    Bzgl. Netflix: Danke für den Link. Den hatte ich auch gefunden, aber scheinbar nicht richtig gelesen: Ich dachte, dass wäre für irgendwas anderes weil mir die Begriffe Backlot API etc. nichts gesagt haben.

    Die default route ist der Weg, den sämtlicher Traffic nimmt, für den nichts weiter spezifiziert ist. Im Normalfall also der Weg über die WAN-Schnittstelle ins Internet, bei Dir halt über's VPN.

    Du hast die default route also in dem Moment eingestellt, sobald Dein Router eine Internetverbindung aufgebaut hat.

    Statische Routen sind etwas anderes, sie sind für die meisten Heimnetzwerke nicht relevant und werden erst dann und auch hier nur Ausnahmefällen benötigt, wenn es mehr als einen Router gibt.

    Hi Networker,

    okay verstehe. Aber (nach meinem Verständnis) läuft dann die Default Route einfach nur übers WAN direkt ins Internet. Wenn ich den Traffic über NordVPN ins Internet leiten möchte, dann muss ich bereits explizit eine Policy Based Route einstellen, bei der ich angebe, dass alle Clients, die in den zugewiesenen VLANs sind, eben den VPN-Client als Interface nutzen und nicht direkt die WAN-Schnittstelle. Das habe ich auch mittels meiner IP-Adresse überprüft (z.B. where-am-I oder wieistmeineip): Wenn ich die Route nicht einrichte, ist es meine örtliche IP, wenn ich die Route nutze, ist es die von NordVPN.

    Das hat auch immer so gepasst, nur ist halt jetzt das Problem, dass ich für Netflix und Emails eben eine Ausnahme von dieser VPN-Route brauche, so dass dieser Traffic eben nicht über die NordVPN-Route läuft, sondern direkt über die WAN-Schnittstelle. Mittlerweile habe ich auch die ganzen IP-Adressen rausgefunden, die mein Email-Anbieter hat und habe eine zusätzliche Email-Route eingerichtet. Allerdings sind jetzt für den Internet-Traffic eben zwei PolicyBasedRouten drin, die sich widersprechen... Daher meine Frage eingangs, ob die Routen von oben nach unten abgearbeitet werden. Das wäre eigentlich genau das, was ich brauche: Es wird bei Traffic zuerst geschaut, ob die Destination ein von mir angegebener Email-Server ist und dann würde bereits die erste Route greifen und diesen Traffic direkt über den WAN-Port ins Internet leiten. Falls die Destination eine andere (x-beliebige Internetadresse z.B.) ist, dann greift die erste Route nicht, sondern die zweite und leitet den Traffic über meine NordVPN-Route ins Internet.

    Ich spiel mal etwas rum mit der Reihenfolge und berichte. Viele Grüße und schönen Abend, Sebastian

    Ah, verstehe, ich nutze keinen Unifi-Router als VPN-Client, daher war mir Dein Problem zunächst nicht ganz klar.

    Unifi soll mehrere policy based routes angeblich automatisch sinnvoll sortieren. Schema dabei: Je spezifischer, desto weiter oben. Würde bedeuten, dass wenn Du zwei Regeln hast...

    1. Leite alles über VPN

    2. Leite Verkehr für Domain X und IP-Adresse Y nicht über VPN

    ...die zweite Regel stets zuerst abgefragt werden sollte. Manuell gegeneinander verschieben lassen sie sich ja nicht.

    Normalerweise arbeitet das routing immer nach der Devise, je präziser die Destination einer Route zum gewünschten Ziel ist, desto höher ist diese route zu "bewerten".

    Sprich eine Route zum Ziel 5.9.34.26 wird gesucht. Es gibt eine route für 5.9.34.0/24 via GW1 oder WAN1 und eine für 5.9.34.26/32 via GW2 oder VPN x. Dann sollte immer GW2 bzw. VPNx genutzt werden, solange denn die Routing Table für dieses Gerät greift.

    Bei Netflix würde es mich nicht wundern, wenn es mit NordVPN nicht geht. Die Streamingdienste möchten schliesslich kein Sharing von Accounts und tun da auch einiges um dies zu unterbinden.

    Danke Euch für Eure Antworten! Super, zu wissen, dass es mit mehreren "sich widersprechenden" Routen gehen sollte, solange eine Route präziser ist als die andere. Jetzt habe ich noch Probleme mit der Destination. Das Eintragen von dezidierten IP-Adressen hat noch nicht zum gewünschten Ziel geführt, da sich die IP-Adressen des Mail Servers immer ändern... Und eine Domain eintragen, geht ja nur, wenn die UDM als DNS-Server fungiert (was ich zur Zeit nicht so eingestellt habe und eigentlich nicht möchte).

    Bzgl. Netflix: genau. Manchmal geht es mit NordVPN und manchmal nicht. Deswegen möchte ich eben eine Ausnahme einrichten, dass Netflix-Traffic NICHT über NordVPN läuft, sondern direkt übers Internet. Da habe ich auch die dezidierten IPs eingetragen (siehe Link oben), aber das hat auch nicht richtig funktioniert...

    Muss wohl noch etwas rumprobieren...

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login