Wie kann nur bestimmter openVPN-Verkehr über ein openVPN basierend auf der IP-Filterung des Ziels weitergeleitet werden? [geschlossen]


14

Ich habe festgestellt, dass ein DNS-Proxy-Dienst, den ich gesehen habe, openvpn und Tunnel verwendet, angeblich nur DNS-Verkehr über das VPN, der die Benutzer der Geolokalisierung des VPN maskiert und es dem Benutzersystem ermöglicht, ihre ursprüngliche Verbindung für den gesamten anderen Verkehr zu verwenden.

Ich konnte sehen, dass dies sehr nützlich für ein Projekt ist, an dem ich arbeite und das VPNs verwendet, und der Datenverkehr, den ich durch den Tunnel leiten möchte, wäre DNS speziell für bestimmte Intranetsites, die wir haben.

Ich habe versucht zu überlegen, wie das Setup über openvpn funktioniert. Ich kann anscheinend keine Informationen zur Quell- / Zielfilterung von openvpn finden. Was ich gefunden habe, sind Beispiele für OpenVPN-Administratoren, die den Clientzugriffsverkehr filtern, damit ein OpenVPN-Client mit einem anderen OpenVPN-Client kommunizieren kann, was nicht das ist, was ich möchte.

Die einzige Möglichkeit, dies zu erreichen, ist, wenn openvpn eine Filteroption für Administratoren hat, die der Administrator in eine IP-Filterliste für Ausschlüsse aufnehmen kann. Wenn ein Nutzer beispielsweise über DNS nach google.ca fragt, sieht der OpenVPN-IP-Ausschlussfilter, dass google.ca (ich weiß, dass OpenVPN nur bis zu Layer3 reicht), sodass eine Anfrage für Google nur die IP von Google ist, die es nicht ist in der Ausschlussliste) IP ist keine akzeptable IP für den Datenverkehr über den Tunnel. Wenn der Benutzer jedoch mit myIntranetServer.com sprechen möchte, kann der VPN den Datenverkehr über das VPN zulassen.

Wenn der openvpn-Server den IP-Verkehr von google.ca verweigert, weil die IP-Adressen von google keine IP-Adresse in der Liste der IP-Adressen sind, die über das VPN übertragen werden dürfen, sendet er eine Benachrichtigung an den openvpn-Client, damit das Client-Betriebssystem den DNS erstellt Abfrage anstelle der DNS-Route von openvpn.

Da ich nicht mit allen Optionen vertraut bin, die openvpn bietet, und keine expliziten Informationen für diese Art von Setup zu finden scheint, was haltet ihr davon, wie dieser Dienst dies tut?

Ich habe ein Beispiel gefunden, das das Thema ein wenig berührt, aber ich bin nicht mit der Angabe des Datenverkehrs vertraut: OpenVPN - Der Client-Datenverkehr wird nicht vollständig über VPN geleitet


Auf dieser Website können Sie nicht darum bitten, dass Personen einen Drittanbieter-Service für Sie zurückentwickeln. Auf dieser Website geht es darum, Probleme zu lösen, die Sie haben. Der OpenVPN-Server / Client führt überhaupt keine Paketfilterung durch. Dies bleibt dem Betriebssystem auf dem Server oder Client überlassen. Wie die Filterung angewendet wird, hängt vom Betriebssystem und der Konfiguration ab.
Zoredache

Danke für die Bewertung. Dies ist jedoch ein Problem, das ich habe, da der gesamte Datenverkehr derzeit über das VPN geleitet wird und Bandbreite verschwendet wird. Als ich diesen anderen Dienst sah, wusste ich, dass wir ihn implementieren wollten, um Bandbreitenkosten zu sparen. Deshalb bitte ich um Klarstellung, wie dies erreicht werden kann. Sie haben angegeben, dass es sich um einen Server / Client handelt Konfiguration zusammen mit möglicher Firewall-Filterung. Ich versuche herauszufinden, welche Kombination aus Server- / Client-Konfigurationen und zusätzlichen potenziellen Betriebssystem- / Firewall-Konfigurationen erforderlich ist, damit ich diese Aufgabe des Einsparens von Bandbreite erfüllen kann.
RCG

Antworten:


22

Durch die Untersuchung mit einem anderen Blickwinkel habe ich bei openvpn-Routen festgestellt, dass es möglich sein kann, bestimmte Inhalte zu verkehren.

Ich habe festgestellt, dass die folgende Art von Setup verwendet werden könnte:

# redirect all default traffic via the VPN
redirect-gateway def1
# redirect the Intranet network 192.168.1/24 via the VPN
route 192.168.1.0 255.255.255.0
# redirect another network to NOT go via the VPN
route 10.10.0.0 255.255.255.0 net_gateway
# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

jedoch mit der letzten Konfigurationsvariablen:

# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

Wenn nach der Auflösung von google.ca gefragt wird, wird nur die erste IP in der Antwort auf die Abfrage gefiltert.


3
Um diese Konfiguration an Clients weiterzuleiten, müssen Sie den Befehl "push" verwenden. Wenn Sie also die erste Regel verwenden möchten, würden Sie diese Zeile in Ihrer openvpn.conf auf dem Server verwenden:push "redirect-gateway def1"
lucaferrario
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.