VPN Teilnehmer zeitlich limitieren

Es gibt 6 Antworten in diesem Thema, welches 937 mal aufgerufen wurde. Der letzte Beitrag () ist von niluyati.

    Hallo und guten Abend,


    schön das es euch gibt.

    Ich bin neu im Forum und hoffe das meine Frage hier richtig ist.


    Ich betreibe eine UDM SE hinter einer FB 7590. Passt alles soweit.

    Seit ich in Sachen VPN auf WireGuard gewechselt habe, läuft auch das richtig gut.
    Dadurch ergibt sich aber ein neues Problem, alle VPN Teilnehmer sind nun ständig verbunden. -> Traffic ohne Ende

    Da kaum einer derer an den mobilen Geräten daran denkt, die VPN Verbindung zu trennen.


    Daher meine Frage: Kann man VPN Teilnehmer limitieren? (zeitlich, traffic, etc.) oder kann man einen Timeout einstellen, nachdem die Verbindung automatisch getrennt wird.


    Vielen Dank für eure Hilfe im Voraus.


    Nick :smiling_face:

    Soweit mir bekannt, gibt es bei Wireguard kein Zeitlimit. Evtl. solltest Du drüber nachdenken Split Tunneling zu betreiben. Dann kommt auch nur Traffic über die VPN rein, wenn der Traffic für Dein Netz relevant ist.


    Das geht natürlich nicht, wenn die Clients über deinen Anschluss surfen sollen.

    Hallo,


    vielen Dank für Deinen Hinweis. Mit Split Tunneling habe ich mich noch nicht beschäftigt, werde mir das aber in Ruhe anschauen.

    Wenn ich das richtig verstehe, ist es damit möglich eine URL mein.netzwerk.zuhause.de über das VPN anzusprechen und allen anderen Internetverkehr über das übliche Gateway incl. DNS abzuwickeln...?

    Wenn das so möglich ist, wäre es für mich eine gute Lösung.

    Also Slit Tunneling läuft prinzipiell wie alles an Netzwerkverkehr über IP Adressen. Heisst wenn das Hauptnetzwerk z.B. 192.168.56.0/24 ist, dann kann man über die wireguard Konfiguration bei allowed-ips eben dieses Netz mit angeben. Das sorgt dafür das alle Pakete für dieses Netzwerk in den Tunnel gehen und Pakete mit Absender aus diesem Netz aus dem Tunnel nicht verworfen werden.

    Die 0.0.0.0 Adresse muss dann raus, genau die sorgt dafür das alles in den Tunnel geblasen wird.


    Damit die Namensauflösung dann klappt, muss dies zusätzlich konfiguriert werden. Dafür gibt es den DNS Parameter. Da kommt dann ein oder mehrere DNS Server rein, die die Domäne des Heimnetzes auflösen können und hinten dran die Domäne. Das setzt dann bei erfolgter Einwahl die Domäne als Verbindungsspezifisches DNS Suffix. Das wird bei unvollständigen hostnamen angehängt und beim angegebenen DNS abgefragt.


    Mal so als Anregung.

    Hallo und guten Morgen,


    vielen Dank, das war der entscheidende Hinweis.

    Bei erlaubten IP´s war am Ende die 0.0.0.0 angefügt. Habe dies in den entsprechenden IP Adressbereich abgeändert -> alles GUT


    Bleibt die Frage: da ich die VPN Einstellungen via QR Code verteilt habe, wie es möglich ist die Einstellungen in der UDM so anzupassen, das die Korrekten Werte über den QR Code übermittelt werden.

    Habe für meine eigenen Clients die *.conf Datei manuell angepasst, würde mir das aber gern bei allen anderen Clients ersparen.

    OK,


    Danke nochmals :smiling_face:


    -> Zeitliche Limitierung nicht möglich

    -> Lösung - > Traffic Limitierung über Erlaubte IPs (allowed IP) -> VPN kann dauerhaft genutzt werden ohne unnützen Traffic

    -> Anpassung über *.conf Dateien erforderlich - (0.0.0.0/0 ändern in IP Adresse oder Adressbereich des Heimnetzes etc...)