OpenVPN 클라이언트가 기본 게이트웨이 역할을 하지 않도록 방지

tag-icon tag-icon routing openvpn
OpenVPN 클라이언트가 기본 게이트웨이 역할을 하지 않도록 방지

고객 네트워크에 연결할 수 있는 OpenVPN 프로필이 많이 있습니다. 최신 Windows openvpn GUI를 사용합니다.

이러한 프로필 중 일부는 VPN 연결이 고객 네트워크를 독점적으로 사용하도록 경로와 이름 확인을 정의하기 때문에 문제를 일으키고 있습니다. 이는 화이트리스트 서버에만 액세스할 수 있기 때문에 문제가 됩니다(DNS 서버, 인터넷 게이트웨이는 이 목록에 없음).

그래서 저는 매우 특정한 서브넷에만 사용되도록 VPN 연결을 설정하고 고객 DNS 서버에서 이름을 확인하지 않도록 하는 방법을 찾고 있습니다.

보편적인 방법이 있나요?

내 프로필에 다음을 추가하려고 했습니다.

pull-filter ignore "dhcp-option DNS"
pull-filter ignore "route"
route-nopull
route 10.0.0.0 255.255.0.0

아이디어는 서버에서 오는 모든 경로와 옵션을 비활성화하고 고객 서브넷에 경로를 수동으로 추가하는 것입니다.

그러나 이것으로는 아직 충분하지 않습니다.

VPN 연결 전 인쇄 라우팅:

Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0   192.168.20.254    192.168.20.58     55
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
     192.168.20.0    255.255.255.0         On-link     192.168.20.58    311
    192.168.20.58  255.255.255.255         On-link     192.168.20.58    311
   192.168.20.255  255.255.255.255         On-link     192.168.20.58    311
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.20.58    311
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.20.58    311

nslookupns는 192.168.20.254(내 로컬 라우터)임을 보여줍니다.

VPN 연결을 연 후:

Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0   192.168.20.254    192.168.20.58     55
          0.0.0.0        128.0.0.0     10.100.100.5     10.100.100.6    291
         10.0.0.0      255.255.0.0     10.100.100.5     10.100.100.6    291
     10.100.100.4  255.255.255.252         On-link      10.100.100.6    291
     10.100.100.6  255.255.255.255         On-link      10.100.100.6    291
     10.100.100.7  255.255.255.255         On-link      10.100.100.6    291
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
        128.0.0.0        128.0.0.0     10.100.100.5     10.100.100.6    291
    185.118.18.66  255.255.255.255   192.168.20.254    192.168.20.58    311
     192.168.20.0    255.255.255.0         On-link     192.168.20.58    311
    192.168.20.58  255.255.255.255         On-link     192.168.20.58    311
   192.168.20.255  255.255.255.255         On-link     192.168.20.58    311
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link      10.100.100.6    291
        224.0.0.0        240.0.0.0         On-link     192.168.20.58    311
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link      10.100.100.6    291
  255.255.255.255  255.255.255.255         On-link     192.168.20.58    311
===========================================================================

아직 경로가 추가된 것 같습니다.

다음을 통해 잘못된 동작을 확인할 수 있습니다.

PS C:\WINDOWS\system32> Find-NetRoute -RemoteIPAddress 8.8.8.8 | Select IPAddress,NextHop

IPAddress    NextHop
---------    -------
10.100.100.6
             10.100.100.5

도움을 주셔서 미리 감사드립니다.

답변1

추가 경로는 옵션의 결과입니다 redirect-gateway.

이렇게 하면 3개의 경로가 추가됩니다. 처음 두 개는 전체 인터넷에 걸쳐 있으며 터널로 리디렉션됩니다.

    dest   0.0.0.0  mask 128.0.0.0 gw 10.100.100.5
    dest 128.0.0.0  mask 128.0.0.0 gw 10.100.100.5

이는 모든 인터넷 주소에 대해 기본 게이트웨이(마스크 0)보다 "더 나은" 라우팅 일치를 제공합니다.

세 번째는 원래 게이트웨이를 사용하도록 실제 VPN 엔드포인트 IP 주소를 리디렉션하고 암호화된 VPN 패킷에 사용됩니다.

dest 185.118.18.66 mask 255.255.255.255 gw 192.168.20.254

이 깔끔한 트릭을 사용하면 기본 게이트웨이 경로를 건드리지 않고도 VPN을 설정할 수 있습니다.

관련 정보