Comment acheminer uniquement du trafic openVPN spécifique via un openVPN basé sur le filtrage IP de la destination? [fermé]

14

J'ai remarqué qu'un service proxy DNS que j'ai vu utilise openvpn et des tunnels soi-disant uniquement du trafic DNS via le VPN qui masque les utilisateurs de la géolocalisation du VPN et permet au système des utilisateurs d'utiliser leur connexion initiale pour tout autre trafic.

Je pourrais voir que cela est très utile pour un projet sur lequel je travaille qui utilise des VPN et le trafic que je voudrais acheminer via le tunnel serait le DNS spécifiquement pour certains sites intranet que nous avons.

J'ai essayé de penser au fonctionnement de leur configuration via openvpn, je n'arrive pas à trouver d'informations sur le filtrage source / destination d'Openvpn. Ce que j'ai trouvé sont des exemples d'administrateurs openvpn filtrant le trafic d'accès client afin qu'un client openvpn puisse parler à un autre client openvpn qui n'est pas ce que je veux.

La seule façon d'y parvenir à partir de ce que je peux penser serait si openvpn a une option de filtrage pour les administrateurs où l'administrateur peut placer dans une liste de filtres IP d'exclusions. Par exemple, si un utilisateur interroge via DNS pour google.ca, le filtre d'exclusions IP openvpn verra que google.ca (je sais que openvpn est uniquement à la couche 3, donc une demande d'entrée de google serait juste l'IP de google qui n'est pas dans la liste des exclusions) IP n'est pas une IP acceptable pour le trafic via le tunnel, mais si l'utilisateur veut parler à myIntranetServer.com, le vpn sait autoriser le trafic via le VPN.

Lorsque le serveur openvpn refuse le trafic IP google.ca en raison du fait que l'adresse IP de google n'est pas une IP dans la liste des adresses IP autorisées à être acheminées via le VPN, il envoie une notification au client openvpn pour que le système d'exploitation client fasse le DNS requête au lieu de la route DNS d'Openvpn.

Étant donné que je ne connais pas toutes les options fournies par openvpn et ne semble pas trouver d'informations explicites pour ce type de configuration, que pensez-vous de la façon dont ce service fait cela?

J'ai trouvé un exemple qui touche un peu le sujet mais je ne sais pas comment spécifier le trafic: OpenVPN - Le trafic client n'est pas entièrement routé via VPN

RCG
la source
Ce site n'est pas l'endroit idéal pour demander aux gens de faire de l'ingénierie inverse pour un service tiers, ce site vise à résoudre les problèmes que vous rencontrez. Le serveur / client OpenVPN ne fait aucun filtrage de paquets. Cela est laissé au système d'exploitation sur le serveur ou le client. La façon dont le filtrage est appliqué dépend du système d'exploitation et de la configuration.
Zoredache
Merci pour votre retour. Cependant, c'est un problème que j'ai, car tout le trafic passe actuellement par le VPN et gaspille la bande passante. Quand j'ai vu cet autre service, je savais que c'était ce que nous voulions implémenter pour nous aider à réduire les coûts de bande passante, c'est pourquoi je demande des éclaircissements sur la façon dont il pourrait être réalisé, que vous avez déclaré qu'il s'agit d'un serveur / client configuration avec filtrage de pare-feu potentiel. J'essaie de comprendre quelle combinaison de configurations serveur / client et de configurations de système d'exploitation / pare-feu supplémentaires supplémentaires sont nécessaires pour que je puisse accomplir cette tâche d'économie de bande passante.
RCG

Réponses:

23

En recherchant cela sous un angle différent, j'ai trouvé avec les routes openvpn qu'il peut être possible de diffuser du contenu spécifique.

J'ai trouvé que le type d'installation suivant pouvait être utilisé:

# redirect all default traffic via the VPN
redirect-gateway def1
# redirect the Intranet network 192.168.1/24 via the VPN
route 192.168.1.0 255.255.255.0
# redirect another network to NOT go via the VPN
route 10.10.0.0 255.255.255.0 net_gateway
# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

cependant avec la dernière variable de configuration:

# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

lorsqu'il recherche la résolution de google.ca, il ne filtre que la première adresse IP dans la réponse aux requêtes.

RCG
la source
3
Pour envoyer cette configuration aux clients, n'oubliez pas d'utiliser la commande "push". Donc, si vous souhaitez utiliser la première règle, vous utiliseriez cette ligne dans votre openvpn.conf sur le serveur:push "redirect-gateway def1"
lucaferrario