OpenVPNクライアントがデフォルトゲートウェイとして動作しないようにする

tag-icon tag-icon routing openvpn
OpenVPNクライアントがデフォルトゲートウェイとして動作しないようにする

顧客のネットワークに接続できる OpenVPN プロファイルが多数あります。最新の Windows OpenVPN GUI を使用しています。

これらのプロファイルの一部は、VPN 接続が顧客ネットワークのみを使用するようにルートと名前解決を定義するため、問題を引き起こしています。これは、サーバーのホワイト リストにしかアクセスできないため問題となります (DNS サーバー、インターネット ゲートウェイはこのリストに含まれていません)。

そこで、特定のサブネットにのみ使用されるように VPN 接続を設定し、顧客の DNS サーバーで名前を解決しないようにする方法を探しています。

普遍的な方法はありますか?

これを自分のプロフィールに追加しようとしました:

pull-filter ignore "dhcp-option DNS"
pull-filter ignore "route"
route-nopull
route 10.0.0.0 255.255.0.0

考え方としては、サーバーからのすべてのルートとオプションを無効にし、顧客のサブネットにルートを手動で追加することです。

しかし、これではまだ十分ではありません。

VPN接続前のルート印刷:

Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0   192.168.20.254    192.168.20.58     55
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
     192.168.20.0    255.255.255.0         On-link     192.168.20.58    311
    192.168.20.58  255.255.255.255         On-link     192.168.20.58    311
   192.168.20.255  255.255.255.255         On-link     192.168.20.58    311
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.20.58    311
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.20.58    311

nslookupns が 192.168.20.254 (ローカル ルーター) であることがわかります。

VPN 接続を開いた後:

Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0   192.168.20.254    192.168.20.58     55
          0.0.0.0        128.0.0.0     10.100.100.5     10.100.100.6    291
         10.0.0.0      255.255.0.0     10.100.100.5     10.100.100.6    291
     10.100.100.4  255.255.255.252         On-link      10.100.100.6    291
     10.100.100.6  255.255.255.255         On-link      10.100.100.6    291
     10.100.100.7  255.255.255.255         On-link      10.100.100.6    291
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
        128.0.0.0        128.0.0.0     10.100.100.5     10.100.100.6    291
    185.118.18.66  255.255.255.255   192.168.20.254    192.168.20.58    311
     192.168.20.0    255.255.255.0         On-link     192.168.20.58    311
    192.168.20.58  255.255.255.255         On-link     192.168.20.58    311
   192.168.20.255  255.255.255.255         On-link     192.168.20.58    311
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link      10.100.100.6    291
        224.0.0.0        240.0.0.0         On-link     192.168.20.58    311
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link      10.100.100.6    291
  255.255.255.255  255.255.255.255         On-link     192.168.20.58    311
===========================================================================

まだルートが追加されているようです。

間違った動作は次のように確認できます。

PS C:\WINDOWS\system32> Find-NetRoute -RemoteIPAddress 8.8.8.8 | Select IPAddress,NextHop

IPAddress    NextHop
---------    -------
10.100.100.6
             10.100.100.5

ご協力ありがとうございます

答え1

追加ルートはオプションの結果ですredirect-gateway

これにより 3 つのルートが追加され、最初の 2 つはインターネット全体に広がり、トンネルにリダイレクトされます。

    dest   0.0.0.0  mask 128.0.0.0 gw 10.100.100.5
    dest 128.0.0.0  mask 128.0.0.0 gw 10.100.100.5

これらは、すべてのインターネット アドレスに対して、デフォルト ゲートウェイ (マスクが 0) よりも「優れた」ルーティング マッチを提供します。

3 番目は、実際の VPN エンドポイント IP アドレスを元のゲートウェイを使用するようにリダイレクトし、暗号化された VPN パケットに使用されます。

dest 185.118.18.66 mask 255.255.255.255 gw 192.168.20.254

この巧妙なトリックにより、デフォルト ゲートウェイ ルートに触れることなく VPN を設定できます。

関連情報