Noté que un servicio de proxy DNS que vi utiliza openvpn y túneles supuestamente solo tráfico DNS a través de la VPN que enmascara a los usuarios de la geolocalización de la VPN y permite que el sistema de usuarios use su conexión inicial para el resto del tráfico.
Pude ver que esto es muy útil para un proyecto en el que estoy trabajando que utiliza VPN y el tráfico que me gustaría enrutar a través del túnel sería específicamente para ciertos sitios de intranet que tenemos.
He intentado pensar en cómo funciona su configuración a través de openvpn, parece que no puedo encontrar información sobre el filtrado de origen / destino de openvpn. Lo que he encontrado son ejemplos de administradores de openvpn que filtran el tráfico de acceso de clientes para que un cliente de openvpn pueda hablar con otro cliente de openvpn que no es lo que quiero.
La única forma de lograr esto de lo que puedo pensar sería si openvpn tiene una opción de filtrado para administradores donde el administrador puede colocar en una lista de filtros de IP de exclusiones. Por ejemplo, si un usuario consulta a través de DNS para google.ca, el filtro de exclusiones de IP de openvpn verá que google.ca (sé que openvpn solo está en la capa 3, por lo que una solicitud de google que ingrese sería solo la IP de google que no es en la lista de exclusiones) IP no es una IP aceptable para el tráfico a través del túnel, pero si el usuario quiere hablar con myIntranetServer.com, el VPN sabe permitir el tráfico a través de la VPN.
Cuando el servidor openvpn niega el tráfico de IP de google.ca debido a que la IP de google no es una IP en la lista de IP que se puede traficar a través de la VPN, envía una notificación al cliente de openvpn para que el SO del cliente realice el DNS consulta en lugar de la ruta DNS de openvpn.
Dado que no estoy familiarizado con todas las opciones que ofrece openvpn y parece que no puedo encontrar información explícita para este tipo de configuración, ¿qué piensan ustedes de cómo lo está haciendo ese servicio?
He encontrado un ejemplo que toca un poco el tema, pero no estoy familiarizado con cómo especificar el tráfico: OpenVPN : el tráfico del cliente no se enruta completamente a través de VPN
Respuestas:
Al investigar esto con un ángulo diferente, he encontrado con rutas openvpn que puede ser posible traficar contenido específico.
He descubierto que se podría usar el siguiente tipo de configuración:
sin embargo con la última variable de configuración:
cuando consulta la resolución de google.ca, solo filtrará la primera IP en la respuesta a las consultas.
fuente
push "redirect-gateway def1"