Bagaimana cara merutekan hanya lalu lintas openVPN tertentu melalui openVPN berdasarkan penyaringan IP tujuan? [Tutup]

14

Saya perhatikan layanan proxy DNS yang saya lihat menggunakan openvpn dan terowongan yang seharusnya hanya lalu lintas DNS melalui VPN yang menutupi pengguna geolokasi VPN dan memungkinkan sistem pengguna untuk menggunakan koneksi awal mereka untuk semua lalu lintas lainnya.

Saya bisa melihat ini menjadi sangat berguna untuk proyek yang sedang saya kerjakan yang menggunakan VPN dan lalu lintas yang saya inginkan dialihkan melalui terowongan akan dns khusus untuk situs intranet tertentu yang kita miliki.

Saya telah mencoba memikirkan bagaimana pengaturannya bekerja melalui openvpn, saya sepertinya tidak dapat menemukan informasi tentang pemfilteran sumber / tujuan openvpn. Apa yang saya temukan adalah contoh dari administrator openvpn memfilter lalu lintas akses klien sehingga satu klien openvpn dapat berbicara dengan klien openvpn lain yang bukan yang saya inginkan.

Satu-satunya cara untuk mencapai hal ini dari apa yang dapat saya pikirkan adalah jika openvpn memiliki opsi pemfilteran untuk administrator tempat admin dapat menempatkannya dalam daftar pengecualian filter IP. Sebagai contoh jika pengguna meminta melalui DNS untuk google.ca filter pengecualian IP openvpn akan melihat bahwa google.ca (saya tahu openvpn hanya hingga layer3 sehingga permintaan untuk google masuk hanya akan menjadi IP dari google yang tidak dalam daftar pengecualian) IP bukan IP yang dapat diterima untuk lalu lintas di atas terowongan, tetapi jika pengguna ingin berbicara dengan myIntranetServer.com, vpn tahu untuk mengizinkan lalu lintas melalui VPN.

Ketika server openvpn menyangkal lalu lintas IP google.ca karena IP google bukan IP dalam daftar IP yang diizinkan untuk lalu lintas melalui VPN, ia mengirimkan pemberitahuan kembali ke klien openvpn untuk OS klien untuk membuat DNS. kueri alih-alih rute DNS openvpn.

Karena saya tidak terbiasa dengan semua opsi yang disediakan openvpn dan sepertinya tidak dapat menemukan info eksplisit untuk jenis pengaturan ini, apa pendapat kalian tentang bagaimana layanan itu melakukan ini?

Saya telah menemukan satu contoh yang sedikit menyentuh subjek tetapi saya tidak terbiasa dengan cara menentukan lalu lintas: OpenVPN - Lalu lintas klien tidak sepenuhnya dialihkan melalui VPN

RCG
sumber
Situs ini bukan tempat untuk meminta orang-orang merekayasa balik beberapa layanan pihak ke-3 untuk Anda, situs ini tentang menyelesaikan masalah yang Anda miliki. Server / klien OpenVPN tidak melakukan penyaringan paket sama sekali. Itu diserahkan ke sistem operasi di server atau klien. Bagaimana penyaringan diterapkan tergantung pada OS dan konfigurasi.
Zoredache
Terima kasih atas masukannya. Namun ini adalah masalah yang saya miliki karena semua lalu lintas saat ini melewati VPN dan menghabiskan bandwidth. Ketika saya melihat layanan lain ini, saya tahu itulah yang ingin kami terapkan untuk membantu kami menghemat biaya bandwidth juga, jadi mengapa saya meminta klarifikasi tentang bagaimana hal itu dapat dicapai, yang telah Anda nyatakan sebagai server / klien konfigurasi bersama dengan penyaringan firewall potensial. Saya mencoba mencari tahu apa kombinasi konfigurasi server / klien ditambah potensi konfigurasi OS / firewall tambahan yang diperlukan agar saya dapat menyelesaikan tugas ini untuk menghemat bandwidth.
RCG

Jawaban:

23

Dari meneliti ini dengan sudut yang berbeda, saya telah menemukan dengan rute openvpn bahwa mungkin untuk lalu lintas konten tertentu.

Saya menemukan jenis pengaturan berikut dapat digunakan:

# redirect all default traffic via the VPN
redirect-gateway def1
# redirect the Intranet network 192.168.1/24 via the VPN
route 192.168.1.0 255.255.255.0
# redirect another network to NOT go via the VPN
route 10.10.0.0 255.255.255.0 net_gateway
# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

namun dengan variabel konfigurasi terakhir:

# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

ketika permintaan untuk resolusi google.ca hanya akan memfilter IP pertama dalam respons permintaan.

RCG
sumber
3
Untuk mendorong konfigurasi ini ke klien, ingatlah untuk menggunakan perintah "push". Jadi, jika Anda ingin menggunakan aturan pertama, Anda akan menggunakan baris ini di openvpn.conf Anda di server:push "redirect-gateway def1"
lucaferrario