Como rotear apenas o tráfego openVPN específico através de um openVPN com base na filtragem IP do destino? [fechadas]

14

Percebi que um serviço de proxy DNS que vi utiliza openvpn e encapsula supostamente apenas tráfego DNS através da VPN, que mascara os usuários da geolocalização da VPN e permite que o sistema de usuários use sua conexão inicial para todo o restante tráfego.

Eu pude ver isso sendo muito útil para um projeto em que estou trabalhando que utiliza VPNs e o tráfego que eu gostaria que fosse roteado pelo túnel seria DNS especificamente para determinados sites da intranet que temos.

Tentei pensar em como a configuração deles está funcionando via openvpn, não consigo encontrar informações sobre a filtragem de origem / destino do openvpn. O que encontrei são exemplos de administradores do openvpn que filtram o tráfego de acesso do cliente para que um cliente do openvpn possa conversar com outro cliente do openvpn, que não é o que eu quero.

A única maneira de conseguir isso com o que eu poderia pensar seria se o openvpn tivesse uma opção de filtragem para administradores onde o administrador pode colocar em uma lista de filtros IP de exclusões. Por exemplo, se um usuário consultar via google.ca o DNS do google.ca, o filtro de exclusões de IP do openvpn verá os do google.ca (eu sei que o openvpn tem apenas a camada3, portanto, uma solicitação de entrada do google seria apenas o IP do google que não é na lista de exclusões) O IP não é um IP aceitável para tráfego no túnel, mas se o usuário quiser conversar com myIntranetServer.com, o vpn saberá permitir o tráfego através da VPN.

Quando o servidor openvpn nega o tráfego IP do google.ca devido ao fato de os IPs do Google não serem um IP na lista de IPs que podem ser trafegados pela VPN, ele envia uma notificação de volta ao cliente openvpn para que o SO cliente faça o DNS consulta em vez da rota DNS do openvpn.

Como não estou familiarizado com todas as opções que o openvpn fornece e parece que não consigo encontrar informações explícitas para esse tipo de configuração, o que vocês acham de como esse serviço está fazendo isso?

Encontrei um exemplo que aborda um pouco o assunto, mas não sei como especificar o tráfego: OpenVPN - O tráfego do cliente não é totalmente roteado por meio da VPN

RCG
fonte
Este site não é o lugar para solicitar que as pessoas façam engenharia reversa de algum serviço de terceiros para você, este site é para solucionar os problemas que você tem. O servidor / cliente OpenVPN não faz nenhuma filtragem de pacotes. Isso é deixado para o sistema operacional no servidor ou cliente. Como a filtragem é aplicada depende do sistema operacional e da configuração.
Zoredache 25/09
Obrigado pelo feedback. No entanto, esse é um problema que tenho, pois todo o tráfego atualmente está passando pela VPN e desperdiçando largura de banda. Quando vi esse outro serviço, sabia que era o que queríamos implementar para nos ajudar a economizar também os custos de largura de banda. Por isso, estou pedindo esclarecimentos sobre como isso pode ser alcançado, que você declarou ser um servidor / cliente configuração juntamente com a filtragem de firewall em potencial. Estou tentando descobrir qual combinação de configurações de servidor / cliente e possíveis configurações adicionais de sistema operacional / firewall são necessárias para que eu possa realizar essa tarefa de economizar largura de banda.
RCG 25/09

Respostas:

23

Pesquisando isso com um ângulo diferente, descobri nas rotas openvpn que pode ser possível trafegar conteúdo específico.

Eu descobri que o seguinte tipo de configuração pode ser usado:

# redirect all default traffic via the VPN
redirect-gateway def1
# redirect the Intranet network 192.168.1/24 via the VPN
route 192.168.1.0 255.255.255.0
# redirect another network to NOT go via the VPN
route 10.10.0.0 255.255.255.0 net_gateway
# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

no entanto, com a última variável de configuração:

# redirect a host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

quando consulta a resolução do google.ca, filtra apenas o primeiro IP na resposta de consultas.

RCG
fonte
3
Para enviar essa configuração aos clientes, lembre-se de usar o comando "push". Portanto, se você gostaria de usar a primeira regra, usaria esta linha no seu openvpn.conf no servidor:push "redirect-gateway def1"
lucaferrario