Como configurar um túnel dividido com server.conf do OpenVPN

tag-icon tag-icon vpn openvpn
Como configurar um túnel dividido com server.conf do OpenVPN

Estou tentando criar um túnel dividido com a edição da comunidade OpenVPN.

Quero fazer isso no servidor em vez do cliente para poder adicionar e remover facilmente rotas conforme necessário. Isso está no Ubuntu 20.04

Minha configuração atual (configuração de túnel não dividido) funciona bem:

port 1194
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_sdafasdf.crt
key server_sdafasdf.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
log-append /var/log/openvpn/auth.log
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
verb 3

Aqui está minha configuração de túnel dividido que não funciona. EDIT: Posso executar ping em 8.8.8.8, mas parece que o DNS não funciona com esta configuração.

port 1194
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.0.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
#push "redirect-gateway def1 bypass-dhcp"
push "route XX.XX.XX.0 255.255.255.0" #anonymized
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_sdafasdf.crt
key server_sdafasdf.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
log-append /var/log/openvpn/auth.log
plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
verb 3

Configuração do cliente:

client
proto udp
explicit-exit-notify
remote XX.XX.XX.XX 1194 #anonymized
dev tun
resolv-retry infinite
pull
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_sdafasdf name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3
register-dns
auth-user-pass

Responder1

Eu resolvi isso.

Eu precisava enviar as rotas de DNS.

push "route 8.8.4.4 255.255.255.255"

Isto é por causa

setenv opt block-outside-dns

No Windows, block-outside-dns fará exatamente isso. Portanto, uma rota é necessária.

Responder2

Sua configuração varia insignificantemente da minha e tudo funciona corretamente com "route push" pesado em minha configuração, tanto IPs públicos quanto provados. Poderia ser alguma outra coisa na topologia/configuração da sua rede (firewalls, rotas, etc.) que impede você de acessar as rotas especificadas?

informação relacionada