Percebi que um serviço de proxy DNS que vi utiliza openvpn e encapsula supostamente apenas tráfego DNS através da VPN, que mascara os usuários da geolocalização da VPN e permite que o sistema de usuários use sua conexão inicial para todo o restante tráfego.
Eu pude ver isso sendo muito útil para um projeto em que estou trabalhando que utiliza VPNs e o tráfego que eu gostaria que fosse roteado pelo túnel seria DNS especificamente para determinados sites da intranet que temos.
Tentei pensar em como a configuração deles está funcionando via openvpn, não consigo encontrar informações sobre a filtragem de origem / destino do openvpn. O que encontrei são exemplos de administradores do openvpn que filtram o tráfego de acesso do cliente para que um cliente do openvpn possa conversar com outro cliente do openvpn, que não é o que eu quero.
A única maneira de conseguir isso com o que eu poderia pensar seria se o openvpn tivesse uma opção de filtragem para administradores onde o administrador pode colocar em uma lista de filtros IP de exclusões. Por exemplo, se um usuário consultar via google.ca o DNS do google.ca, o filtro de exclusões de IP do openvpn verá os do google.ca (eu sei que o openvpn tem apenas a camada3, portanto, uma solicitação de entrada do google seria apenas o IP do google que não é na lista de exclusões) O IP não é um IP aceitável para tráfego no túnel, mas se o usuário quiser conversar com myIntranetServer.com, o vpn saberá permitir o tráfego através da VPN.
Quando o servidor openvpn nega o tráfego IP do google.ca devido ao fato de os IPs do Google não serem um IP na lista de IPs que podem ser trafegados pela VPN, ele envia uma notificação de volta ao cliente openvpn para que o SO cliente faça o DNS consulta em vez da rota DNS do openvpn.
Como não estou familiarizado com todas as opções que o openvpn fornece e parece que não consigo encontrar informações explícitas para esse tipo de configuração, o que vocês acham de como esse serviço está fazendo isso?
Encontrei um exemplo que aborda um pouco o assunto, mas não sei como especificar o tráfego: OpenVPN - O tráfego do cliente não é totalmente roteado por meio da VPN
Respostas:
Pesquisando isso com um ângulo diferente, descobri nas rotas openvpn que pode ser possível trafegar conteúdo específico.
Eu descobri que o seguinte tipo de configuração pode ser usado:
no entanto, com a última variável de configuração:
quando consulta a resolução do google.ca, filtra apenas o primeiro IP na resposta de consultas.
fonte
push "redirect-gateway def1"