OpenVPN macht Redirect-Gateway optional

15

Ich betreibe derzeit einen OpenVPN-Server für mehrere Clients. Der gesamte Datenverkehr wird über das VPN geleitet (es ist als Gateway eingerichtet; drücken Sie "Redirect-Gateway def1").

Bisher funktioniert alles gut. Ich möchte jedoch einige Server mit diesem virtuellen privaten Netzwerk verbinden, ohne dass diese Server den OVPN-Dämon als Gateway verwenden.

Diese Server müssen sowohl über ihr WAN als auch über ihre LAN-IP-Adresse erreichbar sein. Bestimmte Dienste sind nur von der LAN-Seite zugänglich.

Gibt es eine Möglichkeit für einen Client, die Push-Redirect-Gateway-Option zu ignorieren?

Herzliche Grüße, Tuinslak

openvpn  gateway 
Tuinslak
quelle
Tolle Frage ... Ich habe mir genau das Gleiche gefragt.
Antoine Benkemoun

Antworten:

15

Fügen Sie einfach "route-nopull" zur openvpn-Konfiguration des Clients hinzu, und alle Push-Befehle vom Server werden ignoriert. Um Zugriff auf das lokale Netz zu erhalten, müssen Sie jetzt z. B. "route 192.168.5.0 255.255.255.0" zur Client-OpenVPN-Konfiguration hinzufügen, wenn das lokale Netz, zu dem Sie eine Verbindung herstellen möchten, 192.168.5.0/24 ist.

Dies verursacht einige Fehler bei der Verbindung, funktioniert aber wie beabsichtigt :)
Brian Ramsey
Die beste Option heutzutage (2.4 oder neuer) wärepull-filter ignore redirect-gateway
mwfearnley
8

Wenn "Redirect-Gateway" für einige, aber nicht alle Clients erforderlich ist, fügen Sie eine "Client-Konfigurations-Verzeichnis" -Option hinzu, z

  client-config-dir / etc / openvpn / clients

und in dieses Verzeichnis legen Sie Dateien für jeden Client-CN, zB Datei Client1enthalten würde

  Push-Reset

Auf diese Weise erhalten die Server standardmäßig kein "Redirect-Gateway" -Pushing.

HTH

Janjust
quelle
1
Ich vermute, dies würde jede Push-Option (einschließlich DNS-Server) zurücksetzen.
Tuinslak
2

Ersetzen Sie einfach das Standardgateway in --up, und schon sind Sie fertig. Sie müssen nicht einmal etwas in --down tun (glaube ich) oder es einfach auf up.sh setzen.

in der client.conf

up up.sh

in up.sh (chmod + x)

#!/bin/bash
/sbin/ip route replace default 1.2.3.4

Dabei ist 1.2.3.4 das Standardgateway Ihres Clients

Aleksandar Ivanisevic
quelle
1

Hierfür gibt es ab Dezember 2016 eine neuere, einfachere Lösung.

Sie müssen nur diese Zeile in Ihre OpenVPN-Konfiguration einfügen:

pull-filter ignore redirect-gateway

Wörtlich werden die vom Server abgerufenen Optionen gefiltert und ignoriert redirect-gateway.

(Laut https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway wurde dies in OpenVPN 2.4 hinzugefügt, das im Dezember 2016 veröffentlicht wurde.)

mwfearnley
quelle
-1

Entfernen Sie die Option "Redirect-Gateway" in der Client-Konfigurationsdatei. Das Standard-Gateway des Clients wird nicht mehr geändert. getestet unter Archlinux / OpenVPN 2.3.2.

Shaozx
quelle
Ich denke, diese Lösung würde davon abhängen, ob das Gateway auf dem Client konfiguriert oder vom Server gepusht ist.
Mwfearnley
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.