セットアップでは、192.168.7.0/24 サブネットで 1 台の OpenVPN サーバーが稼働しています。OpenVPN サーバーは、やや複雑なサーバー セットアップを提供しているため、サブネットの変更は最後の手段としてのみ考えられます (そこまでには至らないことを願っていますが)
問題は、一部のユーザーが、自宅オフィスでは VPN がオンになっているにもかかわらず、一部のネットワーク リソースを使用できないと不満を言っていることです。詳しく調べてみると、自宅のネットワークに OpenVPN サーバーと同じサブネットを使用していることがわかりました。そのため、リクエストは VPN 経由で送信されるのではなく、内部でルーティングされています。
IPv6 への変更は不可能であり、そのような目的で NAT を使用することは非常に不適切です。
サーバー構成側で「redirect-gateway def1」または「redirect-gateway local def1」をプッシュして、VPNクライアントにVPNサーバーをデフォルトのGWとして使用するように強制しようとしましたが、うまくいきませんでした。
何か案は?
どうもありがとう
答え1
ゲートウェイ リダイレクトの問題は、ルーティング テーブルで、より具体的なエントリが、より具体的でないエントリを上書きすることです。したがって、ゲートウェイをプッシュしても、通常、大きな助けにはなりません。すべてのコンピューター/24
には、ローカル ネットワークのリンク スコープ ルート エントリが含まれており、これは当然、アドバタイズされたデフォルト ルートよりも具体的であるため、代わりに使用されます。
VPN サブネットを変更したくない場合は、単純なホストのルートがリンク スコープ エントリを上書きするため、VPN ネットワーク上のリソースに特定のルートをプッシュするのが最善の方法です。
「ごまかし」をして、ローカル ネットワークよりも具体的な2 つの/25
ネットワーク (つまり、192.168.7.0/25
と) を送信することもできます。この 2 つは、VPN サブネットのほぼ全体をカバーします (「境界」にあるホスト、つまり、ホストとを除く)。この場合、デフォルト ゲートウェイが失われないように、また、それとともにクライアントの VPN サーバーへの接続が失われないように、 またはディレクティブもプッシュする必要があります。192.168.7.128/25
/24
127
128
redirect-local
redirect-local def1
しかし、私の意見では、最善の解決策は、VPN サブネットを、ホーム ネットワークと衝突する可能性が低い「醜い」ものに変更することです (たとえば、かなり多くの人がホーム ネットワークを のようなものに設定しています10.287.29.0/24
)。これは困難な作業かもしれませんが、「クリーンな」方法です。また、サブネットの重複による予期せぬ事態が発生しないようにするための最善の方法でもあります。