2 votes

Stu avatar

Évitez que le client OpenVPN agisse en tant que passerelle par défaut

Demandé el 5 de Février, 2018
Quand la question a-t-elle été
13673 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai une série de profils OpenVPN qui peuvent se connecter au réseau de mes clients. J'utilise la dernière GUI OpenVPN pour Windows.

Certains de ces profils posent problème car la connexion VPN définit des routes et une résolution de noms pour utiliser exclusivement le réseau du client. C'est un problème car je n'ai accès qu'à une liste blanche de serveurs (le serveur DNS, la passerelle Internet ne font pas partie de cette liste).

Je cherche donc un moyen de configurer ma connexion VPN pour l'utiliser uniquement pour un sous-réseau très spécifique, et éviter de résoudre les noms avec le serveur DNS du client.

Existe-t-il un moyen universel de le faire ?

J'ai essayé d'ajouter ceci à mon profil :

pull-filter ignore "dhcp-option DNS"
pull-filter ignore "route"
route-nopull
route 10.0.0.0 255.255.0.0

L'idée est de désactiver toutes les routes et options provenant du serveur, et d'ajouter manuellement une route vers le sous-réseau client.

Cependant, cela ne suffit toujours pas.

Route avant la connexion VPN :

Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0   192.168.20.254    192.168.20.58     55
        127.0.0.0        255.0.0.0         Sur le lien         127.0.0.1    331
        127.0.0.1  255.255.255.255         Sur le lien         127.0.0.1    331
  127.255.255.255  255.255.255.255         Sur le lien         127.0.0.1    331
     192.168.20.0    255.255.255.0         Sur le lien     192.168.20.58    311
    192.168.20.58  255.255.255.255         Sur le lien     192.168.20.58    311
   192.168.20.255  255.255.255.255         Sur le lien     192.168.20.58    311
        224.0.0.0        240.0.0.0         Sur le lien         127.0.0.1    331
        224.0.0.0        240.0.0.0         Sur le lien     192.168.20.58    311
  255.255.255.255  255.255.255.255         Sur le lien         127.0.0.1    331
  255.255.255.255  255.255.255.255         Sur le lien     192.168.20.58    311

nslookup montre que le serveur DNS est 192.168.20.254 (qui est mon routeur local).

Après avoir ouvert la connexion VPN :

Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0   192.168.20.254    192.168.20.58     55
          0.0.0.0        128.0.0.0     10.100.100.5     10.100.100.6    291
         10.0.0.0      255.255.0.0     10.100.100.5     10.100.100.6    291
     10.100.100.4  255.255.255.252         Sur le lien      10.100.100.6    291
     10.100.100.6  255.255.255.255         Sur le lien      10.100.100.6    291
     10.100.100.7  255.255.255.255         Sur le lien      10.100.100.6    291
        127.0.0.0        255.0.0.0         Sur le lien         127.0.0.1    331
        127.0.0.1  255.255.255.255         Sur le lien         127.0.0.1    331
  127.255.255.255  255.255.255.255         Sur le lien         127.0.0.1    331
        128.0.0.0        128.0.0.0     10.100.100.5     10.100.100.6    291
    185.118.18.66  255.255.255.255   192.168.20.254    192.168.20.58    311
     192.168.20.0    255.255.255.0         Sur le lien     192.168.20.58    311
    192.168.20.58  255.255.255.255         Sur le lien     192.168.20.58    311
   192.168.20.255  255.255.255.255         Sur le lien     192.168.20.58    311
        224.0.0.0        240.0.0.0         Sur le lien         127.0.0.1    331
        224.0.0.0        240.0.0.0         Sur le lien      10.100.100
Demandé el 5 de Février, 2018 par Stu

Réponse

Trop de publicités?

2voto

Turbo J avatar
Turbo J Points 1949

Les routes supplémentaires sont le résultat de l'option redirect-gateway.

Cela ajoute 3 routes, les deux premières couvrant ensemble l'ensemble d'Internet et redirigeant dans le tunnel :

    dest   0.0.0.0  mask 128.0.0.0 gw 10.100.100.5
    dest 128.0.0.0  mask 128.0.0.0 gw 10.100.100.5

Ces routes fournissent une correspondance de routage "meilleure" que la passerelle par défaut (avec un masque de zéro) pour toutes les adresses Internet.

La troisième route redirige l'adresse IP réelle du point de terminaison VPN pour utiliser la passerelle d'origine, et sera utilisée pour les paquets VPN chiffrés :

dest 185.118.18.66 mask 255.255.255.255 gw 192.168.20.254

Ce petit truc permet de configurer le VPN sans toucher à la route de la passerelle par défaut.

Répondu el 5 de Février, 2018 par Turbo J (1949 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X