VPN Split Traffic

[Matasareanu]

Hello guys,

Am o mica, mare problema.

Am de facut un server de vpn, aflat in spatele unui firewall. Nu-i problema aici.

Problema vine la selectarea traficului doar catre resursele interne si nu a torentilor si a youtubului.

Ma gandesc ca cea mai eleganta solutie ar fi sa se faca chestia asta client-side. Sa se foloseasca gatewayul VPN-ului doar pentru anumite adrese si restul traficului sa fie facut prin reteaua proprie.

Sa dau si un exemplu, pentru a se intelege mai bine:

Gigel, angajat la firma X vrea sa acceseze resursele din intranet.

Are conexiune la un server de VPN (preferabil PPTP sau OpenVPN) si da drumu.

Vasile, seful depart. IT nu vrea ca Gigel sa ocupe banda cu conexiunea lui la VPN(recte sa dwl pornosag de pe filelist, sau sa se uite la filme pe vplay/youtube pe banda de net a firmei).

Asa ca intrebarea mea este, a mai avut cineva chestia asta de facut, stiti niste tips&pointers.

P.S. Serverul o sa fie linux din start. Nu vreau sa ii pun sa editeze tabela de routare pe useri manual, si nici sa incarce ei vreau script(sunt curios daca in windows pot sa fac un script sa se execute automat cand se realizeaza conexiunea la VPN).

Sper ca am fost destul de clar, daca nu va astept intrebarile despre eventualele nelamuriri.

Nu vreau tunel SOCKS printr-un browser, m-am gandit deja la varianta asta, nu este doar portul 80 care va trebui sa fie accesibil.

Multumesc.

[begood]

E un user vechi care are peste 10 posturi in caz ca v-ati intrebat.

[blech]

cine o sa joace rolul de server de VPN? un echipament de retea sau un server cu windows sau linux?

daca ar fi un server de linux cel care joaca rolul de server de VPN as recomanda un squid pus pe el.

sper ca am inteles bine ce ai cerut tu.

[Matasareanu]

Serverul de VPN va fi un Linux (probabil Debian/Ubuntu Server) cu OpenVPN sau PPTP, inca nu m-am decis la asta.

Squid nu mi se pare o solutie implementabila pentru problema mea, dar poate nu vad eu modul de implementare, poate poti detalia. Oamenii care or sa foloseasca VPN-ul trebuie sa aiba acces in acelasi timp la resursele interne si OpenInternet, dar avand in vedere ca nu pot da drumu la OpenInternet din firewall(for obvious reasons) vreau sa splituiesc traficul client-side.

Deci, practic end-userul sa nu fie afectat, sa nu ii moara pagina din openinternet cand vrea sa o incarce, sau sa stea sa se deconecteze din 5 in 5 min sa acceseze open internet stuff.

Daca ai alte intrebari, le astept.Thanks for answering.

Daca stie cineva o solutie software deja facuta sa faca route management si default gateway management il rog sa o aminteasca aici. Poate sa fie si paid.

Multumesc.

[blech]

aparent am inteles eu gresit ce mi-ai cerut.

iti caut o varianta cat mai buna si revin cu reply.

presupun ca serverul care joaca rol de gateway o sa joace si rol de server de vpn.

sau daca tot ziceai de contracost... luati un Fortigate...in functie de numarul de persoane din companie si de trafic... si o sa ai direct pe el si VPN si content filtering si antispam si si si....

incerc sa revin totusi cu o solutie free.

Edited August 22, 2013 by blech

[Matasareanu]

Ok.

Multumesc mult.

[wildchild]

Checkpoint parc? rula pe ceva Linux modificat(Gaia sau Nokia IPSO), dac? reu?e?ti s? g?se?ti codul surs? pe net scurs pe undeva po?i lini?tit s? pui permisiuni pe baz? de obiecte create la VPN. Altceva nu-mi vine în cap la ora asta, din cauza cantit??ii de alcool consumat?.

[Cheater]

Foloseste pfsense pe serverul pt routere, acolo ai firewall layer 7 si poti face limitari, respectiv bloca anumite aplicatii dupa semnaturile din pachete.

Asta daca nu foloseste un vpn ff evoluat adica poti bloca openvpn, pptp, l2tp, ipsec, dar au aparut si serivicii vpn noi (ex: rotunneling.net ), ce encapsuleaza pachetele in trafic nativ https/dns/icmp astfel nu le poti filtra, caci nu au semnaturi individuale speifice si risti sa blochezi trafic legitim.