Nota al margen: Resulta que nuestro servidor OpenVPN está configurado para túneles divididos, pero nuestros clientes están impulsando sus propias puertas de enlace:
redirect-gateway def1 bypass-dhcp bypass-dns
Esto se hizo como una solución alternativa para acceder a algunos servicios internos a los que de otro modo no se podría acceder desde el mundo exterior. Una pregunta más apropiada sería: ¿Cuál es una forma adecuada de acceder a los servicios internos de VPN sin presionar una puerta de enlace que enrute todo el tráfico a través de la VPN? Aunque creo que esto es más bienuna pregunta diferente por sí sola.
Estoy en la oficina central y, aunque configuré una conexión VPN estable a través del Administrador de red, su velocidad es muy limitada. Tengo una conexión de 1 GB en casa, mientras que la conexión VPN por el momento sólo ofrece 10 MB.
Si bien ciertos servicios tienen que pasar por una conexión VPN, la mayor parte del tráfico podría evitarla sin problemas, ya que lo único que haría la VPN es ralentizar las cosas. (Estoy buscando especialmente servicios públicos con uso intensivo de datos, como la descarga de imágenes desde el Docker Hub oficial o el registro npm. Sin embargo, solo para configurarlo, tomemos un servicio como fast.com).
¿Cómo puedo incluir en la lista blanca ciertos sitios web para que utilicen la conexión VPN o en la lista negra de otros sitios para que no utilicen la conexión VPN?
Respuesta1
Discútelo con las personas que configuraron la VPN para ti.
Esto se conoce comúnmente como enrutamiento dividido, donde el túnel VPN se utilizará para los recursos que se encuentran dentro de la red corporativa, mientras que la puerta de enlace predeterminada se utilizará para el resto. Esto suele ser más fácil que filtrar por servicio. Comúnmente, la corporación tendráalgunotipo de plan interno a través de la red que facilita el suministro de enrutamiento dividido.
Debe verificar si está permitido en su organización. No todas las organizaciones permiten el enrutamiento dividido porque, por ejemplo, quieren prevenir la pérdida de datos en su tráfico.
Respuesta2
Aquí hay algunas alternativas que uno puede probar:
- Omita cambiar la puerta de enlace predeterminada:
cambiando la opción "redirect-gateway" a redirigir-privado en su directiva de configuración
- Solo enrute el tráfico para VPN a través de VPN:
(funciona si el servidor envía rutas explícitas al cliente)
Marque la casilla en Configuración de VPN -> IPV4 ->
"Utilice esta conexión sólo para recursos en su red"
Si impulsan rutas explícitas, solo ese tráfico pasará por la VPN.
- Enviar tráfico que no sea VPNafueradel túnel:
Conéctese a su VPN y luego en la terminal:
host www.sl.se # host you want outside tunnel
194.68.78.65 # the ip of the host above
sudo ip route add 194.68.78.65 dev eth0 # route traffic outside VPN
esto enrutará el tráfico a www.sl.se fuera de la VPN
- Empujar tráfico VPNAdentrotúnel host por host
Conéctese a su VPN y luego en la terminal:
host your-vpn-onlyhost.com # host you want inside of tunnel
1.1.1.1.1 # the ip of the host above
sudo ip route add 1.1.1.1 dev tun0 # route traffic inside VPN
Todos los ejemplos suponen que el nombre de la interfaz VPN es tun0 y el nombre de su tarjeta de red es eth0. Y que los nombres DNS se pueden recuperar en Internet.
Respuesta3
Lo que quieres se llama túnel dividido.
Lo que puede hacer depende del tipo de usuario que sea en su máquina cliente. Si no es un sudoer, entonces esto tendría que ser solucionado por uno de esos usuarios, generalmente un administrador de sistemas.
Si es un sudoer (y suponiendo que su organización esté de acuerdo con realizar cambios como este; esto depende de usted descubrirlo), puede seguiresta guía.
Notas:
Algunos cambios tuvieron lugar entre el 16.04 y el 18.04, por lo que es posible que las guías más antiguas no estén completas.
No sé si hubo algún cambio entre el 18.04 y el 19.10 que haga que la guía no funcione.
Relacionado:
Utilice OpenVPN solo para una aplicación/servicio
https://dltj.org/article/openvpn-split-routing/(desde 2010)