Aber eigentlich sollen diese nur für den Zugriff per OpenVPN-Client verwendet werden und nicht für die VLANs, welche ohne VPN auf das Internet zugreifen sollen. Wie kann man dies korrekt konfigurieren ?
Beim Anlegen des OpenVPN Clients wird ja in der Anleitung für Interfaces "any" eingestellt. Von daher war ich mir nicht sicher, ob damit nicht jeglicher Verkehr über den OpenVPN Client läuft ?
ei der Konfiguration für NordVPN werden die NordVPN DNS Server under System -> Einstellungen -> Allgemein eingetragen. Aber eigentlich sollen diese nur für den Zugriff per OpenVPN-Client verwendet werden und nicht für die VLANs, welche ohne VPN auf das Internet zugreifen sollen. Wie kann man dies korrekt konfigurieren ?
Kann man nicht. Nutze auf allen Hosts, die über das VPN rausgehen sollen, einen öffentlichen DNS Service, z.B. den von Nord, und nicht die Sense.
Ja, durch das any wird alles darüber geleitet, daher entfällt diese Regel (bzw wird nicht so angepasst wie es in der Anleitung von nord vpn steht).
Dafür wird vor der unangepassten default allow Regel eben die neue Regel erstellt, die die Geräte im Alias an das VPN Gateway routet.Außerdem, falls IPv6 akitiv ist, musst Du v6 für diese Geräte blocken, da der Tunnel kein v6 kann und die Geräte sonst mit v6 daran vorbeisprechen.Bei mir sieht das so aus, die default allow hat bei mir ein Gateway wegen Multi WAN, nicht daran stören:
Das habe ich zB auch nicht so gemacht, bei mir verwenden alle Geräte mein AGH als Resolver... Willst Du denn zwingend, dass die Geräte die durch das VPN gehen auch diese DNS Server verwendet?Die DNS Server müssen da dann raus oder wenigstens für alle Netze mit dem entsprechenden Gateway angegeben werden.
oder man muss den DNS per DHCP im VLAN verteilen.
Könnte man hier auch IPv6 für das entsprechende VLAN selektiv blocken ?
Wenn es auf ein ganzen VLAN zutreffen soll, dann reicht es, wenn die default allow Regel auf dem VLAN so angepasst wird, dass das VPN Gateway verwendet wird, also so wie in der Anleitung.
So würde ich das machen.
Wie wär's, Du gibt dem entsprechenden VLAN von Anfang an kein IPv6?