¿Cómo enrutar solo tráfico específico de openVPN a través de un openVPN basado en el filtrado de IP del destino? [cerrado]

14

Noté que un servicio de proxy DNS que vi utiliza openvpn y túneles supuestamente solo tráfico DNS a través de la VPN que enmascara a los usuarios de la geolocalización de la VPN y permite que el sistema de usuarios use su conexión inicial para el resto del tráfico.

Pude ver que esto es muy útil para un proyecto en el que estoy trabajando que utiliza VPN y el tráfico que me gustaría enrutar a través del túnel sería específicamente para ciertos sitios de intranet que tenemos.

He intentado pensar en cómo funciona su configuración a través de openvpn, parece que no puedo encontrar información sobre el filtrado de origen / destino de openvpn. Lo que he encontrado son ejemplos de administradores de openvpn que filtran el tráfico de acceso de clientes para que un cliente de openvpn pueda hablar con otro cliente de openvpn que no es lo que quiero.

La única forma de lograr esto de lo que puedo pensar sería si openvpn tiene una opción de filtrado para administradores donde el administrador puede colocar en una lista de filtros de IP de exclusiones. Por ejemplo, si un usuario consulta a través de DNS para google.ca, el filtro de exclusiones de IP de openvpn verá que google.ca (sé que openvpn solo está en la capa 3, por lo que una solicitud de google que ingrese sería solo la IP de google que no es en la lista de exclusiones) IP no es una IP aceptable para el tráfico a través del túnel, pero si el usuario quiere hablar con myIntranetServer.com, el VPN sabe permitir el tráfico a través de la VPN.

Cuando el servidor openvpn niega el tráfico de IP de google.ca debido a que la IP de google no es una IP en la lista de IP que se puede traficar a través de la VPN, envía una notificación al cliente de openvpn para que el SO del cliente realice el DNS consulta en lugar de la ruta DNS de openvpn.

Dado que no estoy familiarizado con todas las opciones que ofrece openvpn y parece que no puedo encontrar información explícita para este tipo de configuración, ¿qué piensan ustedes de cómo lo está haciendo ese servicio?

He encontrado un ejemplo que toca un poco el tema, pero no estoy familiarizado con cómo especificar el tráfico: OpenVPN : el tráfico del cliente no se enruta completamente a través de VPN

RCG
fuente
Este sitio no es el lugar para pedirle a las personas que realicen ingeniería inversa de algún servicio de terceros para usted, este sitio trata sobre la resolución de los problemas que tiene. El servidor / cliente OpenVPN no realiza ningún filtrado de paquetes. Eso se deja al sistema operativo en el servidor o cliente. Cómo se aplica el filtrado depende del sistema operativo y la configuración.
Zoredache
Gracias por los comentarios. Sin embargo, este es un problema que tengo, ya que todo el tráfico actualmente pasa por la VPN y desperdicia el ancho de banda. Cuando vi este otro servicio, supe que eso era lo que queríamos implementar para ayudarnos a ahorrar costos de ancho de banda también, por lo tanto, solicito una aclaración sobre cómo se podría lograr, lo que usted ha declarado que es un servidor / cliente configuración junto con el posible filtrado de firewall. Estoy tratando de averiguar qué combinación de configuraciones de servidor / cliente más configuraciones potenciales adicionales de SO / firewall son necesarias para poder realizar esta tarea de ahorrar ancho de banda.
RCG

Respuestas:

23

Al investigar esto con un ángulo diferente, he encontrado con rutas openvpn que puede ser posible traficar contenido específico.

He descubierto que se podría usar el siguiente tipo de configuración:

# redirect all default traffic via the VPN
redirect-gateway def1
# redirect the Intranet network 192.168.1/24 via the VPN
route 192.168.1.0 255.255.255.0
# redirect another network to NOT go via the VPN
route 10.10.0.0 255.255.255.0 net_gateway
# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

sin embargo con la última variable de configuración:

# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

cuando consulta la resolución de google.ca, solo filtrará la primera IP en la respuesta a las consultas.

RCG
fuente
3
Para enviar esta configuración a los clientes, recuerde usar el comando "push". Entonces, si desea usar la primera regla, usaría esta línea en su openvpn.conf en el servidor:push "redirect-gateway def1"
lucaferrario