Як маршрутизувати лише конкретний трафік openVPN через openVPN на основі IP-фільтрації пункту призначення? [зачинено]


14

Я помітив, що DNS-проксі-сервіс, який я бачив, використовує openvpn і тунелі, мабуть, лише DNS-трафік через VPN, який маскує користувачів геолокації VPN і дозволяє системі користувачів використовувати своє початкове з'єднання для всього іншого трафіку.

Я міг би бачити, що це дуже корисно для проекту, над яким я працюю, використовуючи VPN, і трафік, який я хотів би прокласти через тунель, буде dns спеціально для певних сайтів інтранет.

Я спробував подумати про те, як працює їх настройка через openvpn, я не можу знайти інформацію про джерело / призначення фільтрації openvpn. Я знайшов приклади адміністраторів openvpn, які фільтрують доступ до клієнтського трафіку, щоб один клієнт openvpn міг спілкуватися з іншим клієнтом openvpn, який не є тим, що я хочу.

Єдиний спосіб досягти цього з того, про що я можу подумати, був би, якщо у openvpn є можливість фільтрації для адміністраторів, де адміністратор може розміщуватись у списку фільтрів IP-виключень. Наприклад, якщо користувач запитує через DNS для google.ca фільтр виключень IP-адрес openvpn побачить, що google.ca (я знаю, що openvpn є лише до рівня 3, тому запит на вхід google буде просто IP-адресою Google, яка не є у списку виключень) IP не є прийнятним IP для трафіку через тунель, але якщо користувач хоче поговорити з myIntranetServer.com, vpn знає, щоб дозволити трафік через VPN.

Коли сервер openvpn заперечує IP-трафік google.ca через те, що IP-адреса google не є IP-адресою в списку IP-адрес, дозволених для переміщення через VPN, він надсилає повідомлення клієнту openvpn для ОС клієнта, щоб зробити DNS запит замість маршруту DNS openvpn.

Оскільки я не знайомий з усіма параметрами, які пропонує openvpn і не можу знайти чітку інформацію для цього типу налаштувань, що ви думаєте, як це робить ця послуга?

Я знайшов один приклад, який трохи зачіпає цю тему, але я не знайомий, як вказати трафік: OpenVPN - Клієнтський трафік не повністю спрямований через VPN


Цей сайт не є місцем, коли люди можуть звернути інженеру до іншої іншої служби для вас, цей сайт стосується вирішення ваших проблем. Сервер / клієнт OpenVPN взагалі не здійснює фільтрації пакетів. Це залишається до операційної системи на сервері або клієнті. Те, як застосовується фільтрація, залежить від ОС та конфігурації.
Zoredache

Дякую за відгук. Однак це проблема, яку я маю, оскільки весь трафік зараз проходить через VPN та витрачає пропускну здатність. Коли я побачив цю іншу службу, я зрозумів, що це те, що ми хотіли реалізувати, щоб допомогти нам заощадити витрати на пропускну здатність, тому я прошу роз'яснити, як це можна досягти, і ви заявили, що це сервер / клієнт конфігурація разом з можливою фільтрацією брандмауера. Я намагаюся розібратися, яка комбінація серверних / клієнтських конфігурацій плюс додаткові потенційні конфігурації ОС / брандмауера потрібні, щоб я міг виконати це завдання збереження пропускної здатності.
RCG

Відповіді:


23

Послідувавши це під іншим кутом, я виявив, що на маршрутах openvpn з'являється можливість перевезення певного контенту.

Я знайшов наступний тип налаштування:

# redirect all default traffic via the VPN
redirect-gateway def1
# redirect the Intranet network 192.168.1/24 via the VPN
route 192.168.1.0 255.255.255.0
# redirect another network to NOT go via the VPN
route 10.10.0.0 255.255.255.0 net_gateway
# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

проте з останньою змінною конфігурації:

# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

коли він запитує про дозвіл google.ca, він буде фільтрувати лише перший IP-адресу у відповіді на запити.


3
Щоб натиснути цю конфігурацію клієнтам, не забудьте скористатися командою "push". Отже, якщо ви хочете скористатись першим правилом, ви б використовували цей рядок у своєму openvpn.conf на сервері:push "redirect-gateway def1"
lucaferrario
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.