Cómo configurar un túnel dividido con server.conf de OpenVPN

tag-icon tag-icon vpn openvpn
Cómo configurar un túnel dividido con server.conf de OpenVPN

Estoy intentando crear un túnel dividido con la edición comunitaria OpenVPN.

Quiero hacer esto en el servidor en lugar del cliente para poder agregar y eliminar rutas fácilmente según sea necesario. Esto está en Ubuntu 20.04

Mi actual (configuración de túnel no dividido) funciona bien:

port 1194
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_sdafasdf.crt
key server_sdafasdf.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
log-append /var/log/openvpn/auth.log
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
verb 3

Aquí está mi configuración de túnel dividido que no funciona. EDITAR: puedo hacer ping a 8.8.8.8 pero parece que DNS no funciona con esta configuración.

port 1194
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
#push "redirect-gateway def1 bypass-dhcp"
push "route XX.XX.XX.0 255.255.255.0" #anonymized
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_sdafasdf.crt
key server_sdafasdf.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
log-append /var/log/openvpn/auth.log
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
verb 3

Configuración del cliente:

client
proto udp
explicit-exit-notify
remote XX.XX.XX.XX 1194 #anonymized
dev tun
resolv-retry infinite
pull
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_sdafasdf name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3
register-dns
auth-user-pass

Respuesta1

Resolví esto.

Necesitaba impulsar las rutas DNS.

push "route 8.8.4.4 255.255.255.255"

Esto se debe a

setenv opt block-outside-dns

En Windows, block-outside-dns hará precisamente eso. Entonces se requiere una ruta.

Respuesta2

Su configuración varía insignificantemente de la mía y todo funciona correctamente con un fuerte "empuje de ruta" en mi configuración, tanto en IP públicas como privadas. ¿Podría ser que haya algo más en la topología/configuración de su red (firewalls, rutas, etc.) que le impida acceder a las rutas que especifique?

información relacionada