Rota o tráfego para o servidor vpn através de VPN

2

Estou usando o openvpn para rotear todo o tráfego de usuários em um servidor de maneira criptografada quando o usuário está conectado a redes não confiáveis.

  • O gateway openvpn é 10.8.0.5.
  • O IP real do servidor openvpn é 50.1.1.1.
  • O gateway de redes não confiáveis é 20.1.1.1.

Esta é a tabela de roteamento no cliente

default via 10.8.0.5 dev tun0 proto static metric 50 
default via 20.1.1.1 dev wlp6s0 proto static metric 600 
50.1.1.1 via 20.1.1.1 dev wlp6s0 proto static metric 600 

Em geral, essa configuração funciona bem. Todo o tráfego está sendo roteado através do servidor openvpn.

Agora, o usuário deseja enviar um email usando o servidor smtp da empresa, que é a mesma máquina em que o servidor openvpn está sendo executado (= > mesmo ip).

Devido à terceira regra na tabela de roteamento, esse tráfego agora está sendo roteado pela rede não confiável, o que resulta em dois problemas:

  • o tráfego não é protegido pela criptografia vpns
  • se a rede não confiável estiver apenas na porta de lista de permissões 80/443 ou bloqueando portas smtp, o usuário não poderá enviar seu email

Como posso atenuar esse problema? Usar um IP diferente para o servidor vpn & smtp não é uma possibilidade.

    
por Zulakis 09.01.2018 / 13:08

2 respostas

0

Usando split horizon dns , seria possível resolver isso resolvendo o domínio do servidor smtp para o ip interno da VPN. No entanto, esta é uma solução bastante complicada para um problema simples. Um script de post-up e pre-down no cliente que edita /etc/hosts para a conexão VPN seria uma solução semelhante, mas tem outras desvantagens, por exemplo, entradas incorretas no arquivo de hosts se o processo de VPN for encerrado em um não maneira padrão.

Portanto, prefiro uma opção diferente (talvez integrada ao OpenVPN) que resolva isso de outra maneira, para que todo o tráfego, exceto a porta VPN, seja roteado pela VPN.

    
por 09.01.2018 / 14:35
0

Você pode implementar o roteamento baseado em políticas nos clientes e rotear o tráfego em uma tabela de roteamento diferente, dependendo da porta de destino.

link

link

Isso garante que todo o tráfego que não seja o tráfego vpn seja roteado corretamente pela VPN, mas precisa de algumas alterações bastante complicadas no cliente.

    
por 09.01.2018 / 17:23

Tags