Estou usando o openvpn para rotear todo o tráfego de usuários em um servidor de maneira criptografada quando o usuário está conectado a redes não confiáveis.
Esta é a tabela de roteamento no cliente
default via 10.8.0.5 dev tun0 proto static metric 50
default via 20.1.1.1 dev wlp6s0 proto static metric 600
50.1.1.1 via 20.1.1.1 dev wlp6s0 proto static metric 600
Em geral, essa configuração funciona bem. Todo o tráfego está sendo roteado através do servidor openvpn.
Agora, o usuário deseja enviar um email usando o servidor smtp da empresa, que é a mesma máquina em que o servidor openvpn está sendo executado (= > mesmo ip).
Devido à terceira regra na tabela de roteamento, esse tráfego agora está sendo roteado pela rede não confiável, o que resulta em dois problemas:
Como posso atenuar esse problema? Usar um IP diferente para o servidor vpn & smtp não é uma possibilidade.
Usando split horizon dns , seria possível resolver isso resolvendo o domínio do servidor smtp para o ip interno da VPN. No entanto, esta é uma solução bastante complicada para um problema simples. Um script de post-up e pre-down no cliente que edita /etc/hosts para a conexão VPN seria uma solução semelhante, mas tem outras desvantagens, por exemplo, entradas incorretas no arquivo de hosts se o processo de VPN for encerrado em um não maneira padrão.
Você pode implementar o roteamento baseado em políticas nos clientes e rotear o tráfego em uma tabela de roteamento diferente, dependendo da porta de destino.
Isso garante que todo o tráfego que não seja o tráfego vpn seja roteado corretamente pela VPN, mas precisa de algumas alterações bastante complicadas no cliente.
Tags openvpn