OpenVPN 使用自訂腳本修改傳入流量或負載

您的想法不可行，原因如下：

1）

據我所知，OpenVPN 本身沒有一項功能可以在轉送之前將資料從 VPN 連線傳輸到自訂進程。

如需快速參考：查看 OSI 堆疊中 TCP/IP 的使用位置。

OpenVPN 位於 OSI 堆疊的第 3 層（網路層），而 TCP 封包屬於第 4 層（傳輸層）。

您的問題僅出於這個原因超出了 OpenVPN 希望實現的範圍。

您唯一可以操縱的是客戶端連接到伺服器或斷開連接時發生的情況。

這些情況可以透過以下設定在伺服器設定檔中定義：

# client connected to VPN server
client-connect "/script/client_connect.sh"

# client disconnected from VPN server
client-disconnect "/script/client_disconnect.sh"

您的自訂腳本可用的所有環境變數都可以在此處找到：

https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/#scripting-and-environmental-variables

但本質上，您可以監控的唯一資訊是使用哪個客戶端憑證連接到伺服器以及將哪個 IP 位址分配給客戶端，然後根據誰連接以及再次斷開連接時在伺服器上進行一些自訂邏輯。

典型的設定可能是實現動態 DNS 伺服器端或執行一些自訂路由，例如根據哪個 VPN 連線啟動的故障轉移路由。

2）

請參考此 IPv4 封包圖維基百科：

從本質上講，您想要做的是根據來源位址或目標位址來操作資料欄位。

這也稱為中間人攻擊。

正如您所發現的，透過監聽 OpenVPN 介面很難做到這一點，因為所有內容都是加密的。發生的情況是，發送到網際網路的 IPv4 封包被封裝在另一個發送到 OpenVPN 伺服器的 IPv4 封包中。

封裝後的IPv4資料包儲存在上圖中的資料欄位中。

它是從 VPN 伺服器轉送到 Internet 的解封裝封包。

但有一個警告：

我認為 VPN 用戶端可以不是有一個公共IP位址。這表示在聯絡 Internet 上的任何主機之前，都會涉及 NAT 轉換，並且來源位址會被重寫為 VPN 伺服器的位址。

同樣，當主機回覆答案時，我們的目標 IPv4 位址與 VPN 伺服器相同。

這意味著為了操作資料字段，我們需要追蹤哪些連接埠正在network address translation table（也稱為 NAT）中使用。

使用的連接埠通常是動態的，因為多個 VPN 用戶端可以透過 VPN 和 NAT 連接到 Internet，並且每個 TCP 會話（郵件、Web、ssh 等）使用不同的連接埠。

所以如果你想操縱解密後的TCP封包它必須在解密之後、在 NAT 中轉換之前發生。

理論上，您可以使用 攔截資料包iptables，但當 VPN 和 NAT 駐留在同一台電腦上時，這並不簡單。

另一種方法是直接攻擊加密的 OpenVPN 流量，因為您控制 OpenVPN 伺服器意味著您還可以控制伺服器和用戶端上使用的憑證和私鑰。

這是一種直接的經典中間人攻擊。我不知道這是怎麼做到的。 :-)

……但這引出了我的最後一個論點：

3）

Internet 上的流量大多是 TLS 加密。

因此，即使解密 OpenVPN 流量之後，您也必須破解另一層加密才能操縱資料欄位的內容。

這部分比僅僅攻擊加密的 OpenVPN 流量更難攻擊，因為您無法控制用於會話的加密金鑰。

即使您嘗試解密 TLS 流量並重新加密內容，這樣對於最終用戶而言，加密流量確實源自 YouTube 或其他任何內容，但它仍然是徒勞的，因為您用於加密 https 流量的憑證是不被信任透過最終用戶電腦上的瀏覽器。

僅此一點就使您的中間人攻擊變得徒勞。

現在這已經接近您問題的完整答案了。

還有其他角度可以攻擊 TCP 會話，但現在我們將其擴展到屬於充滿安全專家的論壇的高級領域。

這部分遠遠超出了我的資格。 :-)