# VPN nur für Browser

## JoeD_84

Hallo,

ich grüble schon seit einer Weile und habe auch schon etwas gesucht, finde aber leider keine passenden Antworten.

Ich würde gerne einen Teil meines Internet-Traffics über einen VPN laufen lassen. Bis dahin eigentlich ganz einfach.

Problem an der Sache ist nur, sobald ich den VPN-Tunnel als default Route einstelle, ist mein Apache nicht mehr über meine DynDomain erreichbar. Logischerweise nutzt ja jetzt alles den VPN-Server als Ausgang. 

Was ich mir also gedacht hätte ist, dass eigentlich weiter alles über die default Route(Telekom) läuft und nur der Browser über den VPN raus geht.

Ist das möglich? Wenn ja wie und nach Möglichkeit automatisiert bei Systemstart. 

Danke!

----------

## l3u

Evtl. geht das mit einem lokalen Proxyserver? Aber das VPN verbindet ja nur auf eine sichere Art und Weise zwei Netze bzw. Rechner über ein unsicheres Medium (Internet) miteinander – also muss der Zielrechner dann die Anfragen ans Internet weiterrouten. Inwiefern das ein Gewinn an Sicherheit ist, sei dahingestellt – du versteckst damit ja nur den (unverschlüsselten) Traffic vor dem Anbieter des Internetzugangs des lokalen Rechners, aber nicht vor dem des entfernten …

----------

## JoeD_84

Ok. Vertrauen in den entfernten VPN Server ist natürlich vorausgesetzt. 

Könnte ich also einen lokalen Proxy aufsetzen und nur den Proxy über den VPN laufen lassen? 

Welcher Proxy eignet sich dafür? Squid? Und wie bringe ich dem Proxy dann bei nicht die default Route zu verwenden?

----------

## l3u

Ich hab noch nie einen Proxyserver aufgesetzt, aber genau für sowas ist doch ein Proxy gedacht, oder?! :-)

Dem Proxy müsste man ja beibrigen können, über die VPN-Verbindung zu kommunizieren. Und wenn er das tut, dann musst du nur noch dem Browser sagen, dass er über den Proxy kommunizieren soll.

Soweit ich das überblicke, gibt es für Squid einen ganzen Haufen Dokumentation. Ich würd mal in die Richtung suchen!

----------

## boospy

Du musst die Route der VPN so einstellen das diese auch nur für die VPN genutzt wird, und nicht für deinen ganzen Traffic.

----------

## Treborius

wieso eigentlich nen proxy?

ich würde mit iptables alle anfragen, welche von aussen auf port 80 kommen auf

einen anderen port schicken auf dem dann der apache lauscht

alle anfragen ("von innen") würde ich auf das vpn-interface leiten

stichwort : NEW, ESTABLISHED, RELATED

oder halt anders, je nach wunsch

beim proxy hast du ja immernoch das problem, das nur der traffic 

welche über den proxy geht auch ins vpn geht

wenn irgendeine flash anwendung auf anderen ports nachfragt, dann

geht das völlig am proxy und damit auch am vpn vorbei, 

das könnte man mit iptables halt vermeiden

----------

