Итак, у меня в настройках есть один сервер OpenVPN, работающий в подсети 192.168.7.0/24. Сервер OpenVPN обслуживает полусложную настройку серверов, поэтому изменение подсети рассматривается только как крайняя мера (надеюсь, я до этого не дойду).
проблема в том, что некоторые пользователи жалуются, что в домашнем офисе они не могут использовать некоторые сетевые ресурсы, хотя у них включен VPN. Более глубокий анализ показал, что они используют для своих домашних сетей ту же подсеть, что и для сервера OpenVPN! Таким образом, запросы маршрутизируются внутри, а не отправляются через VPN.
Переход на IPv6 невозможен, а использование NAT для таких целей крайне нечестно.
Я пытался заставить клиентов VPN использовать сервер VPN в качестве шлюза по умолчанию с помощью push-команды "redirect-gateway def1" или/и push-команды "redirect-gateway local def1" на стороне конфигурации сервера, но безуспешно.
Любые идеи?
большое спасибо
решение1
Проблема с перенаправлением шлюза в том, что в таблице маршрутизации более конкретные записи переопределяют менее конкретные. Так что pushing gateway обычно не сильно помогает, так как каждый компьютер содержит /24запись маршрута link-scope для локальной сети, которая, конечно, более конкретна, чем объявленный маршрут по умолчанию, поэтому он будет использоваться вместо него.
Если вы действительно не хотите менять подсеть VPN, то лучшее, что вы можете сделать, — это продвинуть определенные маршруты для ресурсов в сети VPN, поскольку маршрут для простого хоста переопределит запись области действия ссылки.
Вы можете захотеть «схитрить» и отправить две /25сети (то есть 192.168.7.0/25и 192.168.7.128/25), которые более специфичны, чем локальная /24сеть, и эти две сети покрывают почти всю подсеть VPN (за исключением хостов на «границе» — то есть хостов 127и 128). В этом случае вы также хотите протолкнуть директивы redirect-localили redirect-local def1, чтобы убедиться, что не потеряете шлюз по умолчанию, а вместе с ним и подключение клиента к серверу VPN.
Однако, по моему мнению, лучшим решением будет изменить подсеть VPN на что-то "уродливое", что вряд ли будет конфликтовать с домашними сетями (например, довольно много людей настраивают свою домашнюю сеть на что-то вроде 10.287.29.0/24). Это может быть сложной задачей, но это "чистый" способ. Кроме того, это лучший способ убедиться, что вы не столкнетесь с сюрпризами из-за перекрывающихся подсетей.