全て
OpenVPN サーバーが全員によって「意図したとおりに」使用されているかどうかを確認する方法はありますか? 会社の規則では、VPN 経由のローカル ネットワークのみを許可し、「完全な」インターネットは許可しません。しかし、一部のユーザーが誤って設定している場合があり、私の知る限り、サーバー側からこれを強制することすらできませんよね? そのため、少なくとも監視したいと思っています。
答え1
会社の規則では、VPN 経由のローカル ネットワークのみを許可し、「完全な」インターネットは許可しません。
ユーザーは、VPN を使用せずにアクセスできるインターネットではなく、内部リソースにアクセスする場合にのみ VPN を使用する必要があるという意味だと思います。
これはスプリットトンネル。
このような場合は、実際にこれをOpenVPNサーバーで強制することができます:
OpenVPN アクセス サーバーで設定するにはどうすればよいですか?
管理者 Web UI では、トグル ボタンをクリックするだけでスプリット トンネリングを開始できます。[構成] > [VPN 設定] > [ルーティング] で、[クライアントのインターネット トラフィックを VPN 経由でルーティングしますか?] を [いいえ] に切り替えます。[いいえ] に設定すると、プライベート ネットワーク宛てのトラフィックは VPN を通過します。その他のトラフィックは VPN をバイパスします。
この設定に加えて、クライアントがアクセスする必要があるプライベートサブネットも定義する必要があります。これは、[構成] > [VPN 設定] > [ルーティング] で、ラベル「すべてのクライアントがアクセスする必要があるプライベートサブネットを指定します (1 行に 1 つ)」の入力フィールドにサブネットを指定することで実行できます。
これが不可能であったり、スプリット トンネリングが実際には意図したものではなかったとしても、VPN サーバーを経由してインターネットに送信されるすべてのトラフィックをブロックする (または単にログに記録する) ファイアウォール ルールを使用して、この種の使用を常に監視またはドロップできます。