Nota lateral: Acontece que nosso servidor OpenVPN está realmente configurado para tunelamento dividido, mas nossos clientes estão empurrando seus próprios gateways:
redirect-gateway def1 bypass-dhcp bypass-dns
Isso foi feito como uma solução alternativa para acessar alguns serviços internos que, de outra forma, seriam inacessíveis do mundo externo. Uma pergunta mais adequada seria: Qual é a maneira correta de acessar serviços internos da VPN sem forçar um gateway que rotearia todo o tráfego através da VPN, embora eu ache que isso é bastanteuma pergunta diferente por si só.
Estou em homeoffice e embora tenha configurado uma conexão VPN estável através do Network Manager, sua velocidade é muito limitada. Tenho uma conexão de 1 GBit em casa, enquanto a conexão VPN no momento oferece apenas 10 MBit.
Embora certos serviços tenham que passar por uma conexão VPN, a maior parte do tráfego poderia contorná-la perfeitamente, pois tudo o que a VPN faria seria apenas desacelerar as coisas. (Estou procurando especialmente serviços públicos com uso intensivo de dados, como baixar imagens do hub oficial do docker ou do registro npm. No entanto, apenas para configurá-lo, vamos usar um serviço como fast.com.)
Como posso colocar certos sites na lista de permissões para usar a conexão VPN ou colocar outros sites na lista negra para não usarem a conexão VPN?
Responder1
Discuta isso com as pessoas que configuraram a VPN para você.
Isso é comumente conhecido como roteamento dividido, onde o túnel VPN será usado para recursos que estão dentro da rede corporativa, enquanto o gateway padrão será usado para o resto. Geralmente isso é mais fácil do que filtrar por serviço. Normalmente, a corporação teráalgunstipo de plano interno na rede que facilita o fornecimento de roteamento dividido.
Você deve verificar se isso é permitido em sua organização. Nem todas as organizações permitem roteamento dividido, porque, por exemplo, desejam fazer prevenção contra perda de dados em seu tráfego.
Responder2
Aqui estão algumas alternativas que você pode experimentar:
- Omita a alteração do gateway padrão:
alterando a opção "redirect-gateway" para redirect-private em sua diretiva de configuração
- Roteie apenas o tráfego para VPN por meio de VPN:
(funciona se o servidor enviar rotas explícitas ao cliente)
Marque a caixa em Configurações de VPN -> IPV4 ->
"Use esta conexão apenas para recursos da sua rede"
Se eles enviarem rotas explícitas, somente esse tráfego passará pela VPN.
- Enviar tráfego não VPNforado túnel:
Conecte-se à sua VPN e depois no terminal:
host www.sl.se # host you want outside tunnel
194.68.78.65 # the ip of the host above
sudo ip route add 194.68.78.65 dev eth0 # route traffic outside VPN
isso encaminhará o tráfego para www.sl.se fora da VPN
- Enviar tráfego VPNDentrotúnel host por host
Conecte-se à sua VPN e depois no terminal:
host your-vpn-onlyhost.com # host you want inside of tunnel
1.1.1.1.1 # the ip of the host above
sudo ip route add 1.1.1.1 dev tun0 # route traffic inside VPN
Todos os exemplos assumem que o nome da interface VPN é tun0 e o nome da placa de rede é eth0. E que os nomes DNS podem ser recuperados na Internet.
Responder3
O que você quer é chamado Split Tunneling.
O que você pode fazer depende do tipo de usuário que você é na máquina cliente. Se você não for um sudoer, isso deverá ser corrigido por um desses usuários, normalmente um administrador de sistema.
Se você é um sudoer (e assumindo que sua organização concorda em fazer alterações como essa; cabe a você descobrir), você pode seguireste guia.
Notas:
Algumas mudanças ocorreram entre 16.04 e 18.04, portanto os guias mais antigos podem não estar completos.
Não sei se houve alguma alteração entre 18.04 e 19.10 que faça com que o guia não funcione.
Relacionado: