todo
¿Hay alguna forma de determinar si todos utilizan el servidor openvpn "según lo previsto"? La regla de la empresa es permitir únicamente la red local a través de VPN, no Internet "completo". Pero a veces algunos usuarios lo configuran mal y, hasta donde yo sé, ni siquiera se puede forzar esto desde el lado del servidor, ¿verdad? Así que me gustaría al menos controlarlo.
Respuesta1
La regla de la empresa es permitir únicamente la red local a través de VPN, no Internet "completo".
Supongo que te refieres a que los usuarios sólo deberían usar la VPN para acceder a recursos internos, no a Internet (a la que pueden acceder sin usar la VPN).
Esto se conoce comotúnel dividido.
Si este es el caso,De hecho, puedes aplicar esto en el servidor OpenVPN.:
¿Cómo lo configuro en OpenVPN Access Server?
En la interfaz de usuario web de administración, puede iniciar el túnel dividido con un simple clic en un botón de alternancia. En Configuración > Configuración de VPN > Enrutamiento, cambie “¿Debería enrutarse el tráfico de Internet del cliente a través de la VPN?” a No. Una vez configurado en "no", el tráfico destinado a sus redes privadas atravesará la VPN. El resto del tráfico pasará por alto la VPN.
Además de esta configuración, también debe definir las subredes privadas a las que los clientes necesitan acceso. Puede hacer esto en Configuración > Configuración de VPN > Enrutamiento especificando las subredes en el campo de entrada con la etiqueta: "Especifique las subredes privadas a las que se debe dar acceso a todos los clientes (una por línea)".
Incluso si esto no fuera posible, o si el túnel dividido no fuera realmente lo que quería decir, siempre puede monitorear o eliminar este tipo de uso con una regla de firewall que bloquea (o simplemente registra) cualquier tráfico a través del servidor VPN hacia Internet.