Как пустить определённые сайты в обход openVPN

юзай shadowsocks там это из коробки

Или как вариант повесить шадоусокс на локальный порт клиента, а в браузере разрулить через дополнение типа proxyswitchomega.

Сам подумай, если оно уже дошло до опенвпн сервера, то сделать «в обход опенвпн» нельзя.

Соответственно обход надо крутить на опенвпн клиенте.

Но если твои сайты имеют пару штук статических айпи, то опенвпн сервер может пушить клиентам роутить эти айпи в обход.

На этом серваке всего человек 20 и было бы не плохо сделать на самом серваке эо сделать а не у клиента так как клиентов не видел не когда всё радовалось по соц сетям .

https://forums.openvpn.net/viewtopic.php?t=7065

Я погуглил и понял что мне нужен чёрный список. Ну по онологии белого списка.

Если ты поднял OpenVPN сервер, при подключении к которому клиентам прописывается маршрут по умолчанию через этот OpenVPN сервер, то всё запросы с клиентов во внешние сети в любом случае пойдут через OpenVPN.

Поэтому нужно именно на клиентах прописывать маршруты до IP адресов нужных сайтов через маршруты по умолчанию (шлюзы) самих клиентов.

Ну и тут есть нюанс, что сайт может использовать внешние ресурсы и в зависимости от настроек сайта помимо IP адреса самогого сайта нужно также прописать маршруты и до этих внешних ресурсов.

Если тебе не нужно заворачивать весье интернет через твой OpenVPN сервер, а лишь нужные сайты, то ты напротив можешь выдавать клиентам лишь маршруты до нужных сайтов, а не подменять маршрут по умолчанию (шлюз).

Нет, ты не то понял.

Написанный в некорректном форматировании конфиг разбирать совсем неохота. Поэтому дополню анона выше.

Либо у тебя прописывается дефолтный маршрут и тебе надо пушить роуты на клиенты с IP, куда надо ходить напрямую (exclude, именно по этому ключевому слову я тебе и нашёл тему на форуме за 2 секунды в гугле), либо у тебя не прописывается дефолтный маршрут и тебе надо пушить роуты на клиенты с IP, куда надо ходить через openvpn-сервер.

Дело в том что почти все сайты должны проходить через опен. Очень малое количество должно проходить мимо . Именно поэтому хотелось создать список и внедрить в конфиг. И ещё один момент вполне возможно что какие то сайты будут добавляться в процессе работы а какие то удаляться. Получается что нужно в ключе у клиента это всё прописывать ?

Давай сначала определимся, если ты пустил в обход сайт А, а он подгружает элементы с сайта Б, то сайт Б тоже должен ходить в обход?

Если да, то тебе надо не впн, а прокси.

И ещё один момент вполне возможно что какие то сайты будут добавляться в процессе работы а какие то удаляться.
Получается что нужно в ключе у клиента это всё прописывать ?

Ключ-то тут причем? Для всех клиентов в основном конфиге можно, избирательно по клиентам в соответствующем файле клиента в директории указанной в client-config-dir, файл клиента должен называться так же как его «common name» в сертификате.

По-нормальному вряд ли сделаешь. Ты можешь дать клиентам роуты, чтобы за какими-то IP ходили вне туннеля (или наоборот чтобы в туннель ходили только за определёнными IP) но IP это не Hostname. У сайта IP может меняться хоть каждые 5 минут. Т.е. если тебе делать «по-нормальному», тебе надо на клиенте ставить DPI, который будет каждый первый пакет TCP-соединения проверять на наличие сигнатуры TLS, вытаскивать из SNI хост, куда он собрался идти и на основе этой информации делать маршрутизацию. Такое вряд ли кто-то делал (что-то похожее есть у Роскомнадзора). И оно в любом случае перестанет работать с шифрованием SNI, которое когда-нибудь к нам придёт.

openvpn достаточно дубовая технология для такого маневрирования. Это проще реализовать на wireguard или на l2tp+ipsec с правильной адресацией подсетей.

Мало того, даже если выдернуть все нужные ip конечного ресурса, к которому нужен доступ в обход vpn, так этот конечный ресурс сам может подгружать какие-то данные с других ресурсов.

У сайта IP может меняться хоть каждые 5 минут.

Работать будет только если сайт не ждет клиентов из под офтопика.

А если тупа сделать чтоб сайт не работал через опен . Точнее эти 10 сайтов не работали через мой опен а остальное пусть работают . Так можно ? Пусть не будет обхода а тупа блокировка.

Так же не со 100%-ным результатом.

Почему это. Делаешь хук, который при подключении к openvpn подменяет hosts на нужный с заблокированными доменами, а при отключении еще хук для замены обратно на чистый. Конечно, всякие торы и анонимайзеры это не остановит, но прямое подключение да.

А можно по подробней как это сделать ?

Можно. Загугли. Типо этого https://openvpn.net/vpn-server-resources/explanation-of-client-side-scripting-with-simple-examples/

1. У клиента может быть закеширована A запись DNS
2. Она может отличаться от вашей
Насчет кэширования пишу не с потолка. Например офтопик отличается редкостным умом и сообразительностьюой тупостью. Не однократно наблюдал картину когда эта падла выдает закешированный адрес не обращаясь к dns серверу. Рекорд, это вспомнить A запись которая была изменена более полугода назад, но это не про тему топика. А вот просто использовать недавнюю запись из кэша это сколько угодно возможно.

Значит еще и локальный днс кеш надо сбрасывать, если речь о клиенте.

Значит еще и локальный днс кеш надо сбрасывать, если речь о клиенте.

Какой днс кэш... представьте, машинка, каждый рабочий день вечером выключается и так полгода... и внезапно откуда-то наковырять старый ip у конкретного хоста. Но в теме топика это необходимо.