OpenVPN sprawia, że ​​brama przekierowania jest opcjonalna

15

Obecnie korzystam z serwera OpenVPN dla wielu klientów. Cały ruch jest kierowany przez VPN (jest skonfigurowany jako brama; wciśnij „redirect-gateway def1”).

Jak dotąd wszystko działa dobrze. Chciałbym jednak podłączyć kilka serwerów do tej wirtualnej sieci prywatnej, aby te serwery nie używały demona OVPN jako bramy.

Serwery te muszą być dostępne zarówno z ich sieci WAN, jak i adresu IP sieci LAN. Niektóre usługi będą dostępne tylko od strony sieci LAN.

Czy jest jakiś sposób, aby klient zignorował opcję push redirect-gateway?

Z pozdrowieniami, Tuinslak

Tuinslak
źródło
Świetne pytanie ... Zadawałem sobie dokładnie to samo.
Antoine Benkemoun

Odpowiedzi:

15

Wystarczy dodać „route-nopull” do konfiguracji openvpn klienta, a następnie wszystkie polecenia wypychane z serwera są ignorowane. Aby uzyskać dostęp do sieci lokalnej, musisz teraz dodać np. „Trasę 192.168.5.0 255.255.255.0” do konfiguracji openvpn klienta, jeśli sieć lokalna, z którą chcesz się połączyć, to 192.168.5.0/24.


źródło
Powoduje to pewne błędy przy łączeniu, ale działa zgodnie z przeznaczeniem :)
Brian Ramsey,
Najlepszą obecnie opcją (2.4 lub nowszą) byłobypull-filter ignore redirect-gateway
mwfearnley,
8

jeśli dla niektórych, ale nie wszystkich klientów wymagana jest „bramka przekierowująca”, dodaj opcję „katalog-klienta-konfiguracji”, np.

  client-config-dir / etc / openvpn / clients

i w tym katalogu umieść pliki dla każdego klienta CN, np. plik Client1będzie zawierać

  push-reset

w ten sposób serwery nie otrzymują domyślnie „bramy przekierowań”.

HTH

janjust
źródło
1
Myślę, że to zresetowałoby każdą wypychaną opcję (w tym serwery DNS)?
Tuinslak
2

po prostu zastąp domyślną bramę w skrypcie --up i wszystko gotowe. Nie musisz nawet nic robić w --down (myślę) ani po prostu ustawiać na up.sh.

w client.conf

up up.sh

w up.sh (chmod + x)

#!/bin/bash
/sbin/ip route replace default 1.2.3.4

gdzie 1.2.3.4 jest domyślną bramą twojego klienta

Aleksandar Ivanisevic
źródło
1

Istnieje nowsze, łatwiejsze rozwiązanie tego stanu, od grudnia 2016 r.

Wystarczy umieścić tę linię w konfiguracji OpenVPN:

pull-filter ignore redirect-gateway

Dosłownie filtruje opcje pobierane z serwera i ignoruje tę redirect-gatewayopcję.

(Według https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway zostało to dodane w OpenVPN 2.4, wydanym około grudnia 2016 r.)

mwfearnley
źródło
-1

Odrzuć opcję „redirect-gateway” w pliku konfiguracji klienta, domyślna brama klienta już się nie zmieni. testowany zgodnie z Archlinux / OpenVPN 2.3.2.

shaozx
źródło
Myślę, że to rozwiązanie zależy od tego, czy brama jest skonfigurowana na kliencie, czy wypchnięta z serwera.
mwfearnley,