LINUX.ORG.RU

Ограничить роутинг OpenVPN одной сетью

 


0

1

Как на данном клиенте направлять через внп туннель, только тот трафик, который предназначен для других клиентов внутри впн-а? Добавил в конфиг клиента route no-pull и маршрут, но traceroute показывает, что трафик до гугла идет все равно через впн сервер. Конфиг сервера

port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
client-config-dir ccd
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3
client-to-client
Клиента
<Сертификаты>
remote-cert-tls server 
nobind
client
dev tun
ping 10
comp-lzo
proto tcp
tls-client
verb 3
route-nopull
route 10.8.0.0 255.255.255.0
Желательно не измеменяя конфиг сервера, так как требуемое правило должно распространятся не на всех клиентов.
ЗЫ. Для одного из клиентов на сервере в ccd есть конфиг с redirect-gateway. Но я сижу не за этим клиентом.

★★★

С такой клиентской конфигурацией у вас должна маршрутизироваться только подсеть 10.8.0.0/24, т.е. Google не должен маршрутизироваться.

Каким образом вы определяете, что он маршрутизируется?

ValdikSS ★★★★★ ()
Ответ на: комментарий от ValdikSS
traceroute google.com
traceroute to google.com (173.194.221.100), 30 hops max, 60 byte packets
 1  10.8.0.1 (10.8.0.1)  1.952 ms  15.678 ms  15.688 ms
 2  rbr01-sklk-vlan136.marosnet.net (94.142.139.1)  15.693 ms  15.699 ms  15.706 ms
 3  as15169.ix.dataix.ru (178.18.225.41)  15.710 ms  15.716 ms  15.722 ms
 4  216.239.42.85 (216.239.42.85)  16.909 ms  16.922 ms  16.931 ms
 5  108.170.235.242 (108.170.235.242)  15.714 ms 209.85.240.77 (209.85.240.77)  15.723 ms  15.730 ms
 6  216.239.40.198 (216.239.40.198)  60.936 ms  14.010 ms 216.239.40.250 (216.239.40.250)  13.865 ms
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  lm-in-f100.1e100.net (173.194.221.100)  15.144 ms  16.556 ms  43.306 ms
LIKAN ★★★ ()
Ответ на: комментарий от ValdikSS
$ ip r g 173.194.221.100
173.194.221.100 via 10.8.0.5 dev tun0 src 10.8.0.6 
    cache 
$ ip r
default via 10.8.0.5 dev tun0 proto static metric 50 
default via 10.58.3.1 dev enp3s0 proto static metric 100 
10.0.0.0/8 via 10.58.3.1 dev enp3s0 proto dhcp metric 100 
10.8.0.0/24 dev tun0 proto static scope link metric 50 
10.8.0.5 dev tun0 proto kernel scope link src 10.8.0.6 metric 50 
10.58.3.0/24 dev enp3s0 proto kernel scope link src 10.58.3.221 metric 100 
10.58.3.1 dev enp3s0 proto static scope link metric 100 
169.254.0.0/16 dev enp3s0 scope link metric 1000 
194.67.205.122 via 10.58.3.1 dev enp3s0 proto static metric 100 
LIKAN ★★★ ()
Ответ на: комментарий от LIKAN

Не похоже, чтобы вы использовали клиентский конфигурационный файл с route-nopull. Перепроверьте конфигурацию.

ValdikSS ★★★★★ ()
Ответ на: комментарий от ValdikSS

Вы правы, я дейстивтельно не туда посмотрел. Но в настоящем конфиге тоже есть route-nopull. Вот настоящий конфиг.


remote <myvps.org> <port>
remote-cert-tls server 
nobind
client
dev tun
ping 10
comp-lzo
proto tcp
tls-client
verb 3
# use pull if you want to redirect all trafic throw the channel 
route-nopull
route 10.8.0.0 255.255.255.0

<ca>
-----BEGIN CERTIFICATE-----
......
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
.....
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
....
-----END PRIVATE KEY-----
</key>
Не может ли конфиг в ccd директории сервера для другого клиента как-то интерферировать?

LIKAN ★★★ ()
Ответ на: комментарий от LIKAN

Конфигурация у вас правильная, OpenVPN не должен устанавливать маршрут по умолчанию. Вы уверены, что запускаете именно ее? Никаких других VPN-соединений в системе нет? Как конкретно вы ее запускаете?

Предоставьте клиентский журнал подключения с verb 4.

ValdikSS ★★★★★ ()
Ответ на: комментарий от ValdikSS

Я начинаю понимать в чем дело. Все что я вам посылал - это результат импорта .ovpn файла в NetworkManager. Я попробовал запускать при помощи команды openvpn - траффик до гугла шел как ему следует идти. Так что проблема в network manager

LIKAN ★★★ ()
Ответ на: комментарий от LIKAN

NetworkManager импортирует только адрес сервера, базовые настройки и ключи из конфигурационного файла. Поставьте галку «использовать только для ресурсов этого соединения» в настройках маршрутизации этого соединения.

ValdikSS ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.