LINUX.ORG.RU
ФорумAdmin

Как пустить определённые сайты в обход openVPN

 


0

2

Есть работающий сервер на нем openVPN , хочу пустить сайтов 10 в обход опена.

Конфиг сервера

port 443 proto udp dev tun user nobody group nogroup persist-key persist-tun keepalive 10 120 topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push «dhcp-option DNS 8.8.8.8» push «dhcp-option DNS 8.8.4.4» push «redirect-gateway def1 bypass-dhcp» dh none ecdh-curve prime256v1 tls-crypt tls-crypt.key crl-verify crl.pem ca ca.crt cert server_TdavGHr7YSkHxwgn.crt key server_TdavGHr7YSkHxwgn.key auth SHA256 cipher AES-128-GCM ncp-ciphers AES-128-GCM tls-server tls-version-min 1.2 tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256 client-config-dir /etc/openvpn/ccd status /var/log/openvpn/status.log verb 3


Ответ на: комментарий от Jopich1

Или как вариант повесить шадоусокс на локальный порт клиента, а в браузере разрулить через дополнение типа proxyswitchomega.

anonymous ()

Сам подумай, если оно уже дошло до опенвпн сервера, то сделать «в обход опенвпн» нельзя.

Соответственно обход надо крутить на опенвпн клиенте.

Но если твои сайты имеют пару штук статических айпи, то опенвпн сервер может пушить клиентам роутить эти айпи в обход.

Bers666 ★★★★★ ()
Ответ на: комментарий от Bers666

На этом серваке всего человек 20 и было бы не плохо сделать на самом серваке эо сделать а не у клиента так как клиентов не видел не когда всё радовалось по соц сетям .

mishka ()
Ответ на: комментарий от mishka

Если ты поднял OpenVPN сервер, при подключении к которому клиентам прописывается маршрут по умолчанию через этот OpenVPN сервер, то всё запросы с клиентов во внешние сети в любом случае пойдут через OpenVPN.

Поэтому нужно именно на клиентах прописывать маршруты до IP адресов нужных сайтов через маршруты по умолчанию (шлюзы) самих клиентов.

Ну и тут есть нюанс, что сайт может использовать внешние ресурсы и в зависимости от настроек сайта помимо IP адреса самогого сайта нужно также прописать маршруты и до этих внешних ресурсов.

Если тебе не нужно заворачивать весье интернет через твой OpenVPN сервер, а лишь нужные сайты, то ты напротив можешь выдавать клиентам лишь маршруты до нужных сайтов, а не подменять маршрут по умолчанию (шлюз).

anonymous ()
Ответ на: комментарий от mishka

Нет, ты не то понял.

Написанный в некорректном форматировании конфиг разбирать совсем неохота. Поэтому дополню анона выше.

Либо у тебя прописывается дефолтный маршрут и тебе надо пушить роуты на клиенты с IP, куда надо ходить напрямую (exclude, именно по этому ключевому слову я тебе и нашёл тему на форуме за 2 секунды в гугле), либо у тебя не прописывается дефолтный маршрут и тебе надо пушить роуты на клиенты с IP, куда надо ходить через openvpn-сервер.

zemidius ()
Ответ на: комментарий от anonymous

Дело в том что почти все сайты должны проходить через опен. Очень малое количество должно проходить мимо . Именно поэтому хотелось создать список и внедрить в конфиг. И ещё один момент вполне возможно что какие то сайты будут добавляться в процессе работы а какие то удаляться. Получается что нужно в ключе у клиента это всё прописывать ?

mishka ()
Ответ на: комментарий от mishka

Давай сначала определимся, если ты пустил в обход сайт А, а он подгружает элементы с сайта Б, то сайт Б тоже должен ходить в обход?

Если да, то тебе надо не впн, а прокси.

Bers666 ★★★★★ ()
Ответ на: комментарий от mishka

И ещё один момент вполне возможно что какие то сайты будут добавляться в процессе работы а какие то удаляться.
Получается что нужно в ключе у клиента это всё прописывать ?

Ключ-то тут причем? Для всех клиентов в основном конфиге можно, избирательно по клиентам в соответствующем файле клиента в директории указанной в client-config-dir, файл клиента должен называться так же как его «common name» в сертификате.

anc ★★★★★ ()

По-нормальному вряд ли сделаешь. Ты можешь дать клиентам роуты, чтобы за какими-то IP ходили вне туннеля (или наоборот чтобы в туннель ходили только за определёнными IP) но IP это не Hostname. У сайта IP может меняться хоть каждые 5 минут. Т.е. если тебе делать «по-нормальному», тебе надо на клиенте ставить DPI, который будет каждый первый пакет TCP-соединения проверять на наличие сигнатуры TLS, вытаскивать из SNI хост, куда он собрался идти и на основе этой информации делать маршрутизацию. Такое вряд ли кто-то делал (что-то похожее есть у Роскомнадзора). И оно в любом случае перестанет работать с шифрованием SNI, которое когда-нибудь к нам придёт.

Legioner ★★★★★ ()

openvpn достаточно дубовая технология для такого маневрирования. Это проще реализовать на wireguard или на l2tp+ipsec с правильной адресацией подсетей.

anonymous ()
Ответ на: комментарий от Legioner

Мало того, даже если выдернуть все нужные ip конечного ресурса, к которому нужен доступ в обход vpn, так этот конечный ресурс сам может подгружать какие-то данные с других ресурсов.

anonymous ()
Ответ на: комментарий от Legioner

У сайта IP может меняться хоть каждые 5 минут.

Работать будет только если сайт не ждет клиентов из под офтопика.

anc ★★★★★ ()
Ответ на: комментарий от Legioner

А если тупа сделать чтоб сайт не работал через опен . Точнее эти 10 сайтов не работали через мой опен а остальное пусть работают . Так можно ? Пусть не будет обхода а тупа блокировка.

mishka ()
Ответ на: комментарий от anc

Почему это. Делаешь хук, который при подключении к openvpn подменяет hosts на нужный с заблокированными доменами, а при отключении еще хук для замены обратно на чистый. Конечно, всякие торы и анонимайзеры это не остановит, но прямое подключение да.

anonymous ()
Ответ на: комментарий от anonymous

1. У клиента может быть закеширована A запись DNS
2. Она может отличаться от вашей
Насчет кэширования пишу не с потолка. Например офтопик отличается редкостным умом и сообразительностьюой тупостью. Не однократно наблюдал картину когда эта падла выдает закешированный адрес не обращаясь к dns серверу. Рекорд, это вспомнить A запись которая была изменена более полугода назад, но это не про тему топика. А вот просто использовать недавнюю запись из кэша это сколько угодно возможно.

anc ★★★★★ ()
Ответ на: комментарий от anonymous

Значит еще и локальный днс кеш надо сбрасывать, если речь о клиенте.

Какой днс кэш... представьте, машинка, каждый рабочий день вечером выключается и так полгода... и внезапно откуда-то наковырять старый ip у конкретного хоста. Но в теме топика это необходимо.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1 )
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.