Tengo varios perfiles OpenVPN que pueden conectarse a la red de mis clientes. Utilizo la última GUI openvpn de Windows.
Algunos de estos perfiles están causando problemas porque la conexión VPN define rutas y resolución de nombres para usar la red del cliente exclusivamente. Esto es un problema porque solo tengo acceso a una lista blanca de servidores (el servidor DNS y la puerta de enlace de Internet no están en esta lista).
Así que estoy buscando una manera de configurar mi conexión VPN para usarla solo en una subred muy específica y evitar resolver nombres con el servidor DNS del cliente.
¿Existe una forma universal de hacerlo?
Intenté agregar esto a mi perfil:
pull-filter ignore "dhcp-option DNS"
pull-filter ignore "route"
route-nopull
route 10.0.0.0 255.255.0.0
La idea es deshabilitar cualquier ruta y opción proveniente del servidor y agregar manualmente una ruta a la subred del cliente.
Sin embargo, esto todavía no es suficiente.
Impresión de ruta antes de la conexión VPN:
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.20.254 192.168.20.58 55
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.20.0 255.255.255.0 On-link 192.168.20.58 311
192.168.20.58 255.255.255.255 On-link 192.168.20.58 311
192.168.20.255 255.255.255.255 On-link 192.168.20.58 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.20.58 311
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.20.58 311
nslookupmuestra que el ns es 192.168.20.254 (que es mi enrutador local).
Después de abrir la conexión VPN:
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.20.254 192.168.20.58 55
0.0.0.0 128.0.0.0 10.100.100.5 10.100.100.6 291
10.0.0.0 255.255.0.0 10.100.100.5 10.100.100.6 291
10.100.100.4 255.255.255.252 On-link 10.100.100.6 291
10.100.100.6 255.255.255.255 On-link 10.100.100.6 291
10.100.100.7 255.255.255.255 On-link 10.100.100.6 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
128.0.0.0 128.0.0.0 10.100.100.5 10.100.100.6 291
185.118.18.66 255.255.255.255 192.168.20.254 192.168.20.58 311
192.168.20.0 255.255.255.0 On-link 192.168.20.58 311
192.168.20.58 255.255.255.255 On-link 192.168.20.58 311
192.168.20.255 255.255.255.255 On-link 192.168.20.58 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.100.100.6 291
224.0.0.0 240.0.0.0 On-link 192.168.20.58 311
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.100.100.6 291
255.255.255.255 255.255.255.255 On-link 192.168.20.58 311
===========================================================================
Parece que todavía se agregan rutas.
Puedo verificar el comportamiento incorrecto con:
PS C:\WINDOWS\system32> Find-NetRoute -RemoteIPAddress 8.8.8.8 | Select IPAddress,NextHop
IPAddress NextHop
--------- -------
10.100.100.6
10.100.100.5
Gracias de antemano por la ayuda
Respuesta1
Las rutas adicionales son resultado de la redirect-gatewayopción.
Esto agrega 3 rutas, las dos primeras juntas abarcan todo Internet y redirigen al túnel:
dest 0.0.0.0 mask 128.0.0.0 gw 10.100.100.5
dest 128.0.0.0 mask 128.0.0.0 gw 10.100.100.5
Estos proporcionan una coincidencia de enrutamiento "mejor" que la puerta de enlace predeterminada (con una máscara de cero) para todas las direcciones de Internet.
El tercero redirige la dirección IP real del punto final de VPN para usar la puerta de enlace original y se usará para los paquetes VPN cifrados:
dest 185.118.18.66 mask 255.255.255.255 gw 192.168.20.254
Este ingenioso truco permite configurar la VPN sin tocar la ruta de puerta de enlace predeterminada.