Rota estática Openvpn / forçar GW

Rota estática Openvpn / forçar GW

então eu tenho na configuração um servidor openvpn rodando na sub-rede 192.168.7.0/24. o servidor openvpn está servindo uma configuração semicomplexa de servidores, portanto, alterar a sub-rede é visto apenas como último recurso (espero não chegar lá)

o problema é que alguns usuários estão reclamando que no homeoffice não conseguem usar alguns recursos de rede embora tenham o vpn ativado, uma análise mais aprofundada mostrou que eles usam para suas redes domésticas a mesma sub-rede do servidor openvpn! portanto, as solicitações estão sendo roteadas internamente em vez de serem enviadas pela VPN.

mudar para IPv6 não é possível, e usar NAT para tal é extremamente sujo.

tentei forçar os clientes VPN a usar o servidor VPN como GW padrão com push "redirect-gateway def1" ou/e push "redirect-gateway local def1" no lado de configuração do servidor, sem sorte

alguma ideia?

muito obrigado

Responder1

O problema com o gateway redireciona que na tabela de roteamento as entradas mais específicas substituem as menos específicas. Portanto, empurrar o gateway geralmente não é uma grande ajuda, já que cada computador contém uma /24entrada de rota no escopo do link para a rede local, que é obviamente mais específica do que a rota padrão anunciada, portanto será usada em seu lugar.

Se você realmente não deseja alterar a sub-rede VPN, o melhor que você pode fazer é enviar rotas específicas para os recursos na rede VPN, pois uma rota para um host simples substituirá a entrada do escopo do link.

Você pode querer "trapacear" e enviar duas /25redes (isto é, 192.168.7.0/25e 192.168.7.128/25), que são mais específicas que a /24rede local, e essas duas cobrem quase toda a sub-rede VPN (menos os hosts na "fronteira" - isto é , hosts 127e 128). Nesse caso, você também deseja enviar as diretivas redirect-localou , para ter certeza de não perder o gateway padrão e, com ele, a conexão do cliente com o servidor VPN.redirect-local def1

A melhor solução, entretanto, na minha opinião, é mudar a sub-rede VPN para algo "feio" que provavelmente não colida com as redes domésticas (por exemplo, algumas pessoas configuram sua rede doméstica para algo como 10.287.29.0/24). Esta pode ser uma tarefa difícil, mas é o caminho “limpo”. Além disso, é a melhor maneira de garantir que você não encontrará surpresas devido à sobreposição de sub-redes.

informação relacionada