OpenVPN roteia todo o tráfego exceto seleciona sub-redes locais

Navegue suas respostas
2

Visto várias questões tentando abordar essa questão, mas nenhuma delas é muito útil. Eu gostaria de algo definitivo que possa ajudar os outros com esta questão, como acontece com frequência e raramente parece conseguir uma resposta válida.

redirect-gateway funciona bem para mim em geral, mas o único problema é que inclui intervalos de IP locais. Eu entendo que o OpenVPN precisa fazer isso porque ele precisa cobrir seu próprio espaço IP privado, o que poderia ser qualquer coisa que o usuário arbitrariamente atribuísse isso.

Seria, no entanto, ótimo se alguém pudesse obter facilmente o mesmo efeito que redirect-gateway menos um ou dois intervalos, conforme apropriado para a rede local em que eles estão, para que eles ainda possam acessar os recursos locais da LAN. a LAN física, não a "LAN" do OpenVPN. Gostaria de excluir 10.0.0.0 do túnel no trabalho, por exemplo, mas todos os outros intervalos IP ainda seriam enviados pelo túnel.

A maneira mais fácil de fazer isso deve ser deixar o gateway de redirecionamento e adicionar uma rota local instruindo 10.0.0.0 a passar pela interface local e pelo gateway, mas o Windows não parece respeitar a métrica configurações, mesmo com métricas automáticas desativadas e métricas ajustadas manualmente para que o OpenVPN esteja sempre acima das rotas locais. Todo o tráfego continua a percorrer o túnel VPN.

A alternativa parece ser o bootstrap de rota local completa ou o ensino do lado do servidor OpenVPN para listar rotas como 0.0.0.0-9.0.0.0, 11.0.0.0-128.0.0.0, 128.0.0.0-172.17.16.0 (minha sub-rede OpenVPN é 172.17.17.x), 172.17.18.0-254.0.0.0. E isso parece uma grande dor, especialmente considerando que é preciso tentar corrigir as máscaras de sub-rede correspondentes.

Qualquer sugestão para uma maneira fácil e consistente de configurar o OpenVPN que realmente funciona (as métricas de rota do Windows não funcionam), de preferência do lado do cliente, para excluir algumas sub-redes especiais que podem ser locais do cliente de conexão do túnel ser muito apreciado.

Por enquanto, volto a usar um proxy SOCKS fornecido pelo SSH para poder continuar a acessar os recursos locais da rede, mas eu preferiria muito mais o conforto de uma VPN que roteia todos, exceto alguns intervalos de endereços especificamente mencionados .

    
por jeffcook2150 21.06.2013 / 22:05

1 resposta

0

Como mencionado nos comentários de @dotvotdot, a LAN na qual seu computador está presente não será roteada através do túnel VPN. Esse é um comportamento normal. Se você quiser acessar "sub-redes locais", isto é, eu acho que as redes que não são sua LAN e não estão acessíveis através do próprio túnel, você pode querer usar a palavra-chave net_gateway que representa seu gateway local. Dessa forma, o roteamento será feito pelo seu roteador local e não pelo servidor VPN.

Veja o exemplo abaixo, onde o tráfego da rede 10.59.0.0/16 não deve passar pelo túnel VPN. 

push "redirect-gateway def1 bypass-dhcp"
push "route 10.59.0.0 255.255.0.0 net_gateway"
    
por 26.10.2017 / 11:43

Tags

O arquivo mostra tamanho diferente depois de copiar para outro diretório VNC com fila de usuários [closed]