Jak kierować tylko określony ruch openVPN przez openVPN na podstawie filtrowania adresu IP miejsca docelowego? [Zamknięte]

14

Zauważyłem, że usługa proxy DNS, którą widziałem, wykorzystuje openvpn i tunele podobno tylko ruch DNS przez VPN, który maskuje użytkowników geolokalizacji VPN i pozwala systemowi użytkowników na wykorzystanie początkowego połączenia dla całego innego ruchu.

Widziałem, że jest to bardzo przydatne w projekcie, nad którym pracuję, który wykorzystuje VPN, a ruch, który chciałbym poprowadzić przez tunel, byłby dns specjalnie dla niektórych witryn intranetowych, które mamy.

Próbowałem myśleć o tym, jak działa ich konfiguracja przez openvpn, nie mogę znaleźć informacji na temat filtrowania źródła / miejsca docelowego openvpn. Znalazłem przykłady administratorów openvpn filtrujących ruch dostępu klienta, aby jeden klient openvpn mógł komunikować się z innym klientem openvpn, co nie jest tym, czego chcę.

Jedynym sposobem na osiągnięcie tego z tego, co mogę sobie wyobrazić, jest to, że openvpn ma opcję filtrowania dla administratorów, gdzie administrator może umieścić na liście filtrów wykluczeń IP. Na przykład, jeśli użytkownik zapyta przez DNS o google.ca, filtr wykluczeń IP openvpn zobaczy, że google.ca's (wiem, że openvpn jest tylko w warstwie 3, więc prośba o przyjście google byłaby tylko adresem IP google, który nie jest na liście wykluczeń) IP nie jest akceptowalnym adresem IP dla ruchu przez tunel, ale jeśli użytkownik chce porozmawiać z myIntranetServer.com, VPN wie, że zezwala na ruch przez VPN.

Gdy serwer openvpn blokuje ruch IP google.ca ze względu na to, że adres IP google nie jest adresem IP na liście adresów IP, które mogą być przesyłane przez VPN, wysyła powiadomienie z powrotem do klienta openvpn dla systemu operacyjnego klienta w celu utworzenia DNS zapytanie zamiast trasy DNS openvpn.

Ponieważ nie znam wszystkich opcji dostępnych w openvpn i nie mogę znaleźć wyraźnych informacji dla tego typu konfiguracji, co myślicie o tym, jak ta usługa to robi?

Znalazłem jeden przykład, który trochę porusza ten temat, ale nie znam sposobu określania ruchu: OpenVPN - ruch klienta nie jest całkowicie kierowany przez VPN

RCG
źródło
Ta witryna nie jest miejscem, w którym można poprosić o wykonanie inżynierii wstecznej w ramach usługi innej firmy. Ta witryna dotyczy rozwiązywania problemów, które masz. Serwer / klient OpenVPN w ogóle nie filtruje pakietów. To zależy od systemu operacyjnego na serwerze lub kliencie. Sposób filtrowania zależy od systemu operacyjnego i konfiguracji.
Zoredache,
Dziękuję za zwrotną informację. Jest to jednak problem, ponieważ cały ruch przechodzi obecnie przez sieć VPN i marnuje przepustowość. Kiedy zobaczyłem tę inną usługę, wiedziałem, że to właśnie chcieliśmy wdrożyć, aby pomóc nam również zaoszczędzić na przepustowości, dlatego pytam o wyjaśnienie, w jaki sposób można to osiągnąć, co powiedziałeś, że jest to serwer / klient konfiguracja wraz z potencjalnym filtrowaniem zapory ogniowej. Próbuję dowiedzieć się, jaka kombinacja konfiguracji serwer / klient oraz dodatkowe potencjalne konfiguracje systemu / zapory są wymagane, aby wykonać zadanie oszczędzania przepustowości.
RCG

Odpowiedzi:

23

Po zbadaniu tego pod innym kątem odkryłem, że dzięki trasom openvpn możliwe jest ruch do określonych treści.

Odkryłem, że można zastosować następujący typ konfiguracji:

# redirect all default traffic via the VPN
redirect-gateway def1
# redirect the Intranet network 192.168.1/24 via the VPN
route 192.168.1.0 255.255.255.0
# redirect another network to NOT go via the VPN
route 10.10.0.0 255.255.255.0 net_gateway
# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

jednak z ostatnią zmienną konfiguracyjną:

# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

gdy pyta o rozdzielczość google.ca, filtruje tylko pierwszy adres IP w odpowiedzi na zapytanie.

RCG
źródło
3
Aby przekazać tę konfigurację klientom, pamiętaj o użyciu polecenia „push”. Tak więc, jeśli chcesz użyć pierwszej reguły, skorzystaj z tej linii w pliku openvpn.conf na serwerze:push "redirect-gateway def1"
lucaferrario