Zauważyłem, że usługa proxy DNS, którą widziałem, wykorzystuje openvpn i tunele podobno tylko ruch DNS przez VPN, który maskuje użytkowników geolokalizacji VPN i pozwala systemowi użytkowników na wykorzystanie początkowego połączenia dla całego innego ruchu.
Widziałem, że jest to bardzo przydatne w projekcie, nad którym pracuję, który wykorzystuje VPN, a ruch, który chciałbym poprowadzić przez tunel, byłby dns specjalnie dla niektórych witryn intranetowych, które mamy.
Próbowałem myśleć o tym, jak działa ich konfiguracja przez openvpn, nie mogę znaleźć informacji na temat filtrowania źródła / miejsca docelowego openvpn. Znalazłem przykłady administratorów openvpn filtrujących ruch dostępu klienta, aby jeden klient openvpn mógł komunikować się z innym klientem openvpn, co nie jest tym, czego chcę.
Jedynym sposobem na osiągnięcie tego z tego, co mogę sobie wyobrazić, jest to, że openvpn ma opcję filtrowania dla administratorów, gdzie administrator może umieścić na liście filtrów wykluczeń IP. Na przykład, jeśli użytkownik zapyta przez DNS o google.ca, filtr wykluczeń IP openvpn zobaczy, że google.ca's (wiem, że openvpn jest tylko w warstwie 3, więc prośba o przyjście google byłaby tylko adresem IP google, który nie jest na liście wykluczeń) IP nie jest akceptowalnym adresem IP dla ruchu przez tunel, ale jeśli użytkownik chce porozmawiać z myIntranetServer.com, VPN wie, że zezwala na ruch przez VPN.
Gdy serwer openvpn blokuje ruch IP google.ca ze względu na to, że adres IP google nie jest adresem IP na liście adresów IP, które mogą być przesyłane przez VPN, wysyła powiadomienie z powrotem do klienta openvpn dla systemu operacyjnego klienta w celu utworzenia DNS zapytanie zamiast trasy DNS openvpn.
Ponieważ nie znam wszystkich opcji dostępnych w openvpn i nie mogę znaleźć wyraźnych informacji dla tego typu konfiguracji, co myślicie o tym, jak ta usługa to robi?
Znalazłem jeden przykład, który trochę porusza ten temat, ale nie znam sposobu określania ruchu: OpenVPN - ruch klienta nie jest całkowicie kierowany przez VPN
Odpowiedzi:
Po zbadaniu tego pod innym kątem odkryłem, że dzięki trasom openvpn możliwe jest ruch do określonych treści.
Odkryłem, że można zastosować następujący typ konfiguracji:
jednak z ostatnią zmienną konfiguracyjną:
gdy pyta o rozdzielczość google.ca, filtruje tylko pierwszy adres IP w odpowiedzi na zapytanie.
źródło
push "redirect-gateway def1"