OpenVPN の server.conf を使用してスプリット トンネルを設定する方法

tag-icon tag-icon vpn openvpn
OpenVPN の server.conf を使用してスプリット トンネルを設定する方法

OpenVPN コミュニティ エディションを使用してスプリット トンネルを作成しようとしています。

必要に応じてルートを簡単に追加したり削除したりできるように、クライアントではなくサーバーでこれを実行したいと思います。これはUbuntu 20.04です。

私の現在の(非スプリットトンネル構成)は正常に動作しています:

port 1194
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_sdafasdf.crt
key server_sdafasdf.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
log-append /var/log/openvpn/auth.log
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
verb 3

動作しないスプリット トンネル構成は次のとおりです。編集: 8.8.8.8 に ping できますが、この構成では DNS が動作しないようです。

port 1194
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
#push "redirect-gateway def1 bypass-dhcp"
push "route XX.XX.XX.0 255.255.255.0" #anonymized
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_sdafasdf.crt
key server_sdafasdf.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
log-append /var/log/openvpn/auth.log
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
verb 3

クライアント設定:

client
proto udp
explicit-exit-notify
remote XX.XX.XX.XX 1194 #anonymized
dev tun
resolv-retry infinite
pull
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_sdafasdf name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3
register-dns
auth-user-pass

答え1

これを解決しました。

DNS ルートをプッシュする必要がありました。

push "route 8.8.4.4 255.255.255.255"

これは

setenv opt block-outside-dns

Windows では、block-outside-dns がまさにそれを実行します。そのため、ルートが必要です。

答え2

あなたの設定は私のものとほとんど変わらず、私の設定ではパブリック IP とプライベート IP の両方で「ルート プッシュ」を多用してもすべて正常に動作します。ネットワーク トポロジ/設定 (ファイアウォール、ルートなど) の何か他の要因により、指定したルートにアクセスできない可能性がありますか?

関連情報