Tenho vários perfis OpenVPN que podem se conectar à rede dos meus clientes. Eu uso a GUI do Windows openvpn mais recente.
Alguns desses perfis estão causando problemas porque a conexão VPN define rotas e resolução de nomes para usar exclusivamente a rede do cliente. Isso é um problema porque só tenho acesso a uma lista branca de servidores (servidor DNS e gateway de internet não estão nesta lista).
Então, estou procurando uma maneira de configurar minha conexão VPN para ser usada apenas em uma sub-rede muito específica e evitar a resolução de nomes com o servidor DNS do cliente.
Existe uma maneira universal de fazer isso?
Tentei adicionar isso ao meu perfil:
pull-filter ignore "dhcp-option DNS"
pull-filter ignore "route"
route-nopull
route 10.0.0.0 255.255.0.0
A ideia é desabilitar qualquer rota e opção proveniente do servidor e adicionar manualmente uma rota à sub-rede do cliente.
Contudo, isto ainda não é suficiente.
Impressão da rota antes da conexão VPN:
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.20.254 192.168.20.58 55
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.20.0 255.255.255.0 On-link 192.168.20.58 311
192.168.20.58 255.255.255.255 On-link 192.168.20.58 311
192.168.20.255 255.255.255.255 On-link 192.168.20.58 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.20.58 311
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.20.58 311
nslookupmostra que o ns é 192.168.20.254 (que é meu roteador local).
Depois de abrir a conexão VPN:
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.20.254 192.168.20.58 55
0.0.0.0 128.0.0.0 10.100.100.5 10.100.100.6 291
10.0.0.0 255.255.0.0 10.100.100.5 10.100.100.6 291
10.100.100.4 255.255.255.252 On-link 10.100.100.6 291
10.100.100.6 255.255.255.255 On-link 10.100.100.6 291
10.100.100.7 255.255.255.255 On-link 10.100.100.6 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
128.0.0.0 128.0.0.0 10.100.100.5 10.100.100.6 291
185.118.18.66 255.255.255.255 192.168.20.254 192.168.20.58 311
192.168.20.0 255.255.255.0 On-link 192.168.20.58 311
192.168.20.58 255.255.255.255 On-link 192.168.20.58 311
192.168.20.255 255.255.255.255 On-link 192.168.20.58 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 10.100.100.6 291
224.0.0.0 240.0.0.0 On-link 192.168.20.58 311
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 10.100.100.6 291
255.255.255.255 255.255.255.255 On-link 192.168.20.58 311
===========================================================================
parece que as rotas ainda foram adicionadas.
Posso verificar o comportamento errado com:
PS C:\WINDOWS\system32> Find-NetRoute -RemoteIPAddress 8.8.8.8 | Select IPAddress,NextHop
IPAddress NextHop
--------- -------
10.100.100.6
10.100.100.5
Obrigado antecipadamente pela ajuda
Responder1
As rotas adicionais são o resultado da redirect-gatewayopção.
Isso adiciona 3 rotas, as duas primeiras juntas abrangem toda a Internet e redirecionam para o túnel:
dest 0.0.0.0 mask 128.0.0.0 gw 10.100.100.5
dest 128.0.0.0 mask 128.0.0.0 gw 10.100.100.5
Eles fornecem uma correspondência de roteamento "melhor" do que o gateway padrão (com máscara zero) para todos os endereços da Internet.
O terceiro redireciona o endereço IP real do endpoint VPN para usar o gateway original e será usado para os pacotes VPN criptografados:
dest 185.118.18.66 mask 255.255.255.255 gw 192.168.20.254
Este truque interessante permite configurar a VPN sem alterar a rota do gateway padrão.