Por que uma regra de roteamento específica é adicionada depois que a conexão VPN é configurada no Linux?

1

Após a conexão VPN ser configurada, a seguinte regra de roteamento é adicionada por padrão:

vpn_server_ip previous_default_gateway

Esta regra parece inútil para mim. Por que é adicionado?

Nota:

  1. A conexão VPN não é a conexão usada para conectar-se à Internet.
  2. vpn_server_ip não pertence à rede virtual.

Exemplo:

No exemplo, vou usar a notação '$ route -n'. Antes da conexão VPN ser configurada eu tinha

0.0.0.0 192.168.0.1

A tabela de roteamento depois parece com a seguinte:

193.196.65.76 192.168.0.1
0.0.0.0 192.168.0.1
147.38.45.1 0.0.0.0 iface ppp0

Então eu posso entender por que

147.38.45.1 0.0.0.0 iface ppp0

é adicionado. 147.38.45.1 o IP de um servidor na VPN. Mas eu não entendo porque

193.196.65.76 192.168.0.1

é adicionado, 193.196.65.76 é o IP do servidor de discagem. Talvez seja apenas uma precaução para o caso em que o IP do servidor de discagem está na rede VPN?!

    
por Roman B. 30.10.2011 / 16:58

1 resposta

1

Ao explicar isso, o nome da interface é importante. Vou criar um exemplo e explicar aqui.

Esta é a tabela de roteamento antes de se conectar à VPN. Nós temos nossa interface primária na 10.0.2.0/24- rede, endereço IP 10.0.2.15, rota padrão - > 10.0.2.2. Tudo ocorre na eth1.

k@workstation:~$ ip r
10.0.2.0/24 dev eth1  proto kernel  scope link  src 10.0.2.15  metric 1 
default via 10.0.2.2 dev eth1  proto static 

Esta é a tabela de roteamento depois de se conectar à VPN. A primeira entrada adicionada é exatamente como sua pergunta; O endpoint VPN através do nosso antigo gateway primário, através da eth1. Ele também adiciona a rede local para o novo endereço IP que acabei de obter. E então ele muda o gateway padrão para passar pela VPN.

k@workstation:~$ ip r
123.123.123.123 via 10.0.2.2 dev eth1  proto static 
10.8.0.21 dev tun0  proto kernel  scope link  src 10.8.0.22 
10.8.0.1 via 10.8.0.21 dev tun0  proto static 
10.0.2.0/24 dev eth1  proto kernel  scope link  src 10.0.2.15  metric 1 
default via 10.8.0.21 dev tun0  proto static 

A rota garante que o tráfego para o ponto de extremidade da VPN flua pela interface de rede física e não tenta rotea-lo por meio da VPN, pois isso seria impossível, já que o tráfego é encapsulado pela rede física.

Mesmo que o gateway principal não seja alterado, o software de VPN geralmente fará isso apenas no caso do ponto de extremidade da VPN estar localizado na mesma sub-rede do seu novo endereço IP. É também por isso que você não pode falar com o ponto de extremidade VPN no mesmo endereço IP e esperar "conectividade local" após a conexão ser estabelecida.

(O exemplo é feito usando o OpenVPN)

    
por 06.11.2011 / 15:59

Tags