Come instradare solo il traffico openVPN specifico attraverso un openVPN basato sul filtro IP della destinazione? [chiuso]

Chiuso . Questa domanda deve essere più focalizzata . Al momento non accetta risposte.

Vuoi migliorare questa domanda? Aggiorna la domanda in modo che si concentri su un problema solo modificando questo post .

Chiuso 5 anni fa .

Ho notato che un servizio proxy DNS che ho visto utilizza openvpn e tunnel presumibilmente solo il traffico DNS attraverso la VPN che maschera gli utenti della geolocalizzazione della VPN e consente al sistema degli utenti di utilizzare la loro connessione iniziale per tutto il resto del traffico.

Ho potuto vedere che questo è molto utile per un progetto a cui sto lavorando che utilizza VPN e il traffico che vorrei instradare attraverso il tunnel sarebbe DNS specificamente per alcuni siti Intranet che abbiamo.

Ho provato a pensare a come funziona la loro installazione tramite openvpn, non riesco a trovare informazioni sul filtro sorgente / destinazione di openvpn. Quello che ho trovato sono esempi di amministratori openvpn che filtrano il traffico di accesso client in modo che un client openvpn possa parlare con un altro client openvpn che non è quello che voglio.

L'unico modo per ottenere ciò da quello che mi viene in mente sarebbe se openvpn ha un'opzione di filtro per gli amministratori in cui l'amministratore può inserire un elenco di filtri IP delle esclusioni. Ad esempio, se un utente esegue una query tramite DNS per google.ca, il filtro di esclusioni IP di openvpn vedrà che google.ca (so che openvpn è solo fino a layer3, quindi una richiesta per google in arrivo sarebbe solo l'IP di google che non lo è nell'elenco delle esclusioni) IP non è un IP accettabile per il traffico sul tunnel, ma se l'utente desidera parlare con myIntranetServer.com, la VPN sa consentire il traffico attraverso la VPN.

Quando il server openvpn nega il traffico IP google.ca a causa del fatto che l'IP di google non è un IP nell'elenco degli IP a cui è consentito il traffico attraverso la VPN, invia una notifica al client openvpn affinché il sistema operativo client faccia il DNS query invece della route DNS di openvpn.

Dal momento che non ho familiarità con tutte le opzioni fornite da openvpn e non riesco a trovare informazioni esplicite per questo tipo di installazione, cosa ne pensate di come sta facendo questo servizio?

Ho trovato un esempio che tocca un po 'l'argomento, ma non ho familiarità con come specificare il traffico: OpenVPN - Il traffico client non viene interamente instradato tramite VPN

openvpn traffic

— RCG
fonte

Questo sito non è il posto dove chiedere alle persone di decodificare alcuni servizi di terze parti per te, questo sito riguarda la risoluzione dei problemi che hai. Il server / client OpenVPN non esegue alcun filtro pacchetti. Ciò è lasciato al sistema operativo sul server o sul client. Come viene applicato il filtro dipende dal sistema operativo e dalla configurazione.

— Zoredache,

Grazie per il feedback. Tuttavia, questo è un problema che ho visto che attualmente tutto il traffico passa attraverso la VPN e spreca larghezza di banda. Quando ho visto questo altro servizio ho capito che era quello che volevamo implementare per aiutarci a risparmiare anche i costi della larghezza di banda, quindi perché sto chiedendo chiarimenti su come potrebbe essere raggiunto, che hai dichiarato che è un server / client configurazione insieme al potenziale filtro firewall. Sto cercando di capire quale combinazione di configurazioni server / client oltre a potenziali ulteriori configurazioni OS / firewall sono necessarie per poter svolgere questo compito di risparmio della larghezza di banda.

— RCG

Dalla ricerca di questo con un'angolazione diversa, ho scoperto con i percorsi di openvpn che è possibile trasferire contenuti specifici.

Ho scoperto che è possibile utilizzare il seguente tipo di installazione:

# redirect all default traffic via the VPN
redirect-gateway def1
# redirect the Intranet network 192.168.1/24 via the VPN
route 192.168.1.0 255.255.255.0
# redirect another network to NOT go via the VPN
route 10.10.0.0 255.255.255.0 net_gateway
# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

tuttavia con l'ultima variabile di configurazione:

# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

quando richiede la risoluzione di google.ca, filtra solo il primo IP nella risposta alle query.

— RCG
fonte

Per inviare questa configurazione ai client, ricordarsi di usare il comando "push". Quindi, se desideri utilizzare la prima regola, utilizzeresti questa riga nel tuo openvpn.conf sul server:push "redirect-gateway def1"

— lucaferrario