W zdalnej sieci prywatnej znajdują się dwa serwery - serwer plików i serwer bazy danych (oba są komputerami Win, jeśli ma to znaczenie).
Serwer plików ma własne dość niezawodne mechanizmy uwierzytelniania i pozwala mi łączyć się bezpośrednio ze zdalnej lokalizacji.
Serwer bazy danych używa prostej nazwy użytkownika i hasła, więc aby zapobiec nieautoryzowanemu dostępowi, jest on zablokowany w sieci lokalnej - ruch zewnętrzny jest blokowany.
Aby uzyskać dostęp do serwera bazy danych, używam klienta OpenVPN w systemie Windows do łączenia się z serwerem VPN w sieci prywatnej.
Domyślnie OpenVPN kieruje wszystkie pakiety sieciowe przeznaczone do sieci zdalnej, w której rezyduje serwer VPN, za pośrednictwem sieci VPN. Niestety, dostęp do serwera plików przez VPN jest bardzo wolny!
Pytanie:
Jak mogę skonfigurować klienta OpenVPN, aby TYLKO kierował ruchem przez VPN, który jest przeznaczony dla jednego, określonego adresu IP - mianowicie serwera bazy danych?
Odpowiedzi:
Prawidłowa konfiguracja dla OpenVpn to:
Te wpisy należą do pliku .ovpn i będą kierować całym ruchem podsieci 192.168.0. * Przez VPN.
Tylko dla jednego adresu IP (192.168.0.1):
źródło
Cele
Kroki
Naciśnij Win+ Ri wykonaj
ncpa.cpl
.Kliknij połączenie VPN prawym przyciskiem myszy i wybierz Właściwości → Sieć .
Wybierz Protokół internetowy w wersji 4 i przejdź do Właściwości → Zaawansowane ... .
Odznacz Użyj domyślnej bramy w sieci zdalnej i kliknij OK .
(opcjonalnie) Powtórz poprzednie kroki dla protokołu internetowego w wersji 6 .
(Ponownie) połącz się z siecią VPN.
Otwórz wiersz polecenia i uruchom
route print -4
.Znajdź interfejs VPN na liście interfejsów i jego bramę w aktywnych trasach .
Na moim komputerze mam:
Tutaj brama VPN jest
10.88.1.1
, ponieważ jest bramą dla10.xxx.xxx.xxx
bloku.Dodaj trwałą trasę, która zostanie dołączona do aktywnych tras, ilekroć będzie połączenie z VPN:
W tym przykładzie
23.22.135.169
jest to adres IPwhatismyip.org
,10.88.1.1
to adres IP bramy i32
numer interfejsu.(opcjonalnie) Powtórz poprzednie kroki dla
route print -6
.Przetestuj konfigurację.
Jeśli wszystko się powiedzie, whatismyip.org i www.whatismyip.cx będą teraz wyświetlać różne adresy IP.
źródło
Do konfiguracji klienta OpenVPN dodaj wiersz:
(Gdzie The.IP.To.Go to adres IP, który chcesz trasować przez VPN)
To instruuje OpenVPN, aby utworzył wpis w tabeli routingu twojego systemu operacyjnego.
Alternatywnie, serwer OpenVPN można zmusić do „wypchnięcia” tej konfiguracji routingu w dół do klientów poprzez dodanie do konfiguracji serwera:
EDYCJA: Jednej rzeczy mi brakowało adresowania - domyślne przekazywanie całego ruchu ... Może być albo wyłączone na serwerze, albo klienci mogą zignorować dyrektywy „wypychane” (więc nasza druga opcja „wypychania” trasy nie działałaby ) przez:
źródło
źródło
<brackets>
nie są widoczne, jeśli nie są oznaczone jako kod.