Filtragem de pacotes OS X OpenVPN

Question

Filtragem de pacotes OS X OpenVPN

#1 resposta do (0 votos)

0

Atualmente tenho uma conexão OpenVPN em execução no meu Mac. Por padrão, todo o tráfego da minha rede está atualmente sendo roteado por essa conexão: http, ssh, etc. Estou tentando usar configurações de filtragem de pacotes para fazer com que determinado tráfego passe pela minha conexão 'pública' padrão, mas não consigo para que isso funcione. Eu posso estar configurando incorretamente, mas abaixo está o que eu tenho. Eu não recebo um erro de pfctl sobre minha configuração, mas se eu curl http://ipecho.net/plain , ele exibe o IP da VPN em vez do meu IP público.

Nota: minha interface public é uma conexão ethernet (en0) e pelo que eu posso dizer, utun0 é minha conexão OpenVPN listada em ifconfig .

pass out on en0 proto tcp from en0 to any port 80 flags S/SA keep state

O mesmo acontece com o SSH.

pass out on en0 proto tcp from en to any port 22 flags S/SA keep state

Devo mencionar que não gerencio o servidor OpenVPN.

networking vpn openvpn pf macos

por alex-phillips 06.07.2015 / 19:10

1 resposta

Tags networking vpn openvpn pf macos

Conectividade AirPlay à prova de balas para salas de reunião? Obtendo o melhor desempenho de uma máquina virtual

score 0 · Accepted Answer

Eu presumo que o que você usa o OpenVPN, então, é apenas para obter acesso à sua LAN doméstica. Se este é realmente o caso, existem várias opções para substituir o usual

      push "redirect-gateway def1"

configuração no server.conf. Você os encontra descritos nesta página do OpenVPN Wiki , o mais simples deles é adicionar essas quatro linhas ao seu arquivo de configuração do cliente:

     route 0.0.0.0 192.0.0.0 net_gateway
     route 64.0.0.0 192.0.0.0 net_gateway
     route 128.0.0.0 192.0.0.0 net_gateway
     route 192.0.0.0 192.0.0.0 net_gateway

O Wiki declara explicitamente:

Note that net_gateway is an internal variable to openvpn and does not need to be changed to anything

e, ainda mais tranquilizador, diz que essas quatro linhas funcionarão ...

If you do not know if your server uses def1 and do not want to check the logs to figure it out, just assume they DO use def1 and use the 4 routes. That will work no matter what.