Как маршрутизировать только определенный трафик openVPN через openVPN на основе IP-фильтрации пункта назначения? [закрыто]

14

Я заметил, что прокси-служба DNS, которую я видел, использует openvpn и туннелирует, предположительно, только DNS-трафик через VPN, который маскирует пользователей геолокации VPN и позволяет системе пользователей использовать свое начальное соединение для всего другого трафика.

Я мог бы видеть, что это очень полезно для проекта, над которым я работаю, который использует VPN, и трафик, который я хотел бы направить через туннель, был бы dns специально для определенных сайтов интрасети, которые у нас есть.

Я попытался подумать о том, как их установка работает через openvpn, я не могу найти информацию о фильтрации openvpn источника / назначения. Я нашел примеры того, как администраторы openvpn фильтруют трафик клиентского доступа, так что один клиент openvpn может общаться с другим клиентом openvpn, а это не то, что мне нужно.

Единственный способ сделать это из того, что я могу придумать, - это если у openvpn есть опция фильтрации для администраторов, где администратор может поместить их в список фильтров исключений IP. Например, если пользователь запрашивает через google.ca DNS, фильтр исключений IP openvpn увидит, что google.ca (я знаю, openvpn только до layer3, поэтому запрос на входящий Google будет просто IP-адресом Google, который не является в списке исключений) IP не является приемлемым IP для трафика через туннель, но если пользователь хочет поговорить с myIntranetServer.com, vpn знает, как разрешить трафик через VPN.

Когда сервер openvpn отклоняет IP-трафик google.ca из-за того, что IP-адрес Google не является IP-адресом в списке IP-адресов, разрешенных для трафика через VPN, он отправляет уведомление клиенту openvpn для ОС клиента, чтобы сделать DNS запрос вместо DNS-маршрута openvpn.

Поскольку я не знаком со всеми опциями, которые предоставляет openvpn, и не могу найти точную информацию для этого типа установки, что вы, ребята, думаете о том, как этот сервис делает это?

Я нашел один пример, который немного затрагивает тему, но я не знаю, как указать трафик: OpenVPN - трафик клиента не полностью маршрутизируется через VPN

ГРС
источник
Этот сайт не место, где можно попросить людей перепроектировать какой-либо сторонний сервис для вас, этот сайт посвящен решению ваших проблем. Сервер / клиент OpenVPN не выполняет никакой фильтрации пакетов. Это оставлено на усмотрение операционной системы на сервере или клиенте. Способ применения фильтрации зависит от ОС и конфигурации.
Zoredache
Спасибо за ваш отзыв! Однако это проблема, которая у меня есть, поскольку весь трафик в настоящее время идет через VPN и тратит пропускную способность. Когда я увидел этот другой сервис, я понял, что это то, что мы хотели реализовать, чтобы помочь нам сэкономить и на пропускной способности, поэтому я прошу уточнить, как это можно сделать, и вы заявили, что это сервер / клиент. конфигурация наряду с потенциальной фильтрацией брандмауэра. Я пытаюсь выяснить, какая комбинация конфигураций сервера / клиента плюс дополнительные потенциальные конфигурации ОС / брандмауэра требуются, чтобы я мог выполнить эту задачу по экономии полосы пропускания.
RCG

Ответы:

23

Изучив это с другой точки зрения, я обнаружил, что с помощью маршрутов openvpn можно передавать определенный контент.

Я обнаружил, что можно использовать следующий тип установки:

# redirect all default traffic via the VPN
redirect-gateway def1
# redirect the Intranet network 192.168.1/24 via the VPN
route 192.168.1.0 255.255.255.0
# redirect another network to NOT go via the VPN
route 10.10.0.0 255.255.255.0 net_gateway
# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

однако с последней переменной конфигурации:

# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

когда он запрашивает разрешение google.ca, он фильтрует только первый IP-адрес в ответе на запросы.

ГРС
источник
3
Чтобы передать эту конфигурацию клиентам, не забудьте использовать команду «push». Итак, если вы хотите использовать первое правило, вы должны использовать эту строку в вашем openvpn.conf на сервере:push "redirect-gateway def1"
lucaferrario