Ich habe eine Reihe von OpenVPN-Profilen, die eine Verbindung zum Netzwerk meiner Kunden herstellen können. Ich verwende die neueste Windows OpenVPN-GUI.
Einige dieser Profile verursachen Probleme, da die VPN-Verbindung Routen und Namensauflösung so definiert, dass ausschließlich das Kundennetzwerk verwendet wird. Dies ist ein Problem, da ich nur Zugriff auf eine Whitelist von Servern habe (DNS-Server und Internet-Gateway sind nicht in dieser Liste enthalten).
Daher suche ich nach einer Möglichkeit, meine VPN-Verbindung so einzurichten, dass sie nur für ein ganz bestimmtes Subnetz verwendet werden kann und die Namensauflösung mit dem DNS-Server des Kunden vermieden wird.
Gibt es eine universelle Möglichkeit, dies zu tun?
Ich habe versucht, dies zu meinem Profil hinzuzufügen:
pull-filter ignore "dhcp-option DNS"
pull-filter ignore "route"
route-nopull
route 10.0.0.0 255.255.0.0
Die Idee besteht darin, alle vom Server kommenden Routen und Optionen zu deaktivieren und manuell eine Route zum Kundensubnetz hinzuzufügen.
Dies reicht jedoch noch immer nicht aus.
Routenausdruck vor VPN-Verbindung:
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.20.254 192.168.20.58 55
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.20.0 255.255.255.0 On-link 192.168.20.58 311
192.168.20.58 255.255.255.255 On-link 192.168.20.58 311
192.168.20.255 255.255.255.255 On-link 192.168.20.58 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.20.58 311
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.20.58 311
nslookupzeigt, dass der ns 192.168.20.254 ist (das ist mein lokaler Router).
Nach dem Öffnen der VPN-Verbindung:
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.20.254 192.168.20.58 55
0.0.0.0 128.0.0.0 10.100.100.5 10.100.100.6 291
10.0.0.0 255.255.0.0 10.100.100.5 10.100.100.6 291
10.100.100.4 255.255.255.252 On-link 10.100.100.6 291
10.100.100.6 255.255.255.255 On-link 10.100.100.6 291
10.100.100.7 255.255.255.255 On-link 10.100.100.6 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
128.0.0.0 128.0.0.0 10.100.100.5 10.100.100.6 291
185.118.18.66 255.255.255.255 192.168.20.254 192.168.20.58 311
192.168.20.0 255.255.255.0 On-link 192.168.20.58 311
192.168.20.58 255.255.255.255 On-link 192.168.20.58 311
192.168.20.255 255.255.255.255 On-link 192.168.20.58 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.100.100.6 291
224.0.0.0 240.0.0.0 On-link 192.168.20.58 311
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.100.100.6 291
255.255.255.255 255.255.255.255 On-link 192.168.20.58 311
===========================================================================
es sieht so aus, als würden noch Routen hinzugefügt.
Ich kann das falsche Verhalten mit folgendem überprüfen:
PS C:\WINDOWS\system32> Find-NetRoute -RemoteIPAddress 8.8.8.8 | Select IPAddress,NextHop
IPAddress NextHop
--------- -------
10.100.100.6
10.100.100.5
Danke im Voraus für die Hilfe
Antwort1
Die zusätzlichen Routen ergeben sich aus der redirect-gatewayOption.
Dadurch werden drei Routen hinzugefügt. Die ersten beiden umfassen zusammen das gesamte Internet und leiten in den Tunnel weiter:
dest 0.0.0.0 mask 128.0.0.0 gw 10.100.100.5
dest 128.0.0.0 mask 128.0.0.0 gw 10.100.100.5
Diese bieten für alle Internetadressen eine „bessere“ Routing-Übereinstimmung als das Standard-Gateway (mit einer Maske von Null).
Die dritte leitet die echte IP-Adresse des VPN-Endpunkts um, um das ursprüngliche Gateway zu verwenden, und wird für die verschlüsselten VPN-Pakete verwendet:
dest 185.118.18.66 mask 255.255.255.255 gw 192.168.20.254
Mit diesem praktischen Trick können Sie ein VPN einrichten, ohne die Standard-Gateway-Route zu berühren.