web-dev-qa-db-ja.com

OpenVPNクライアントがデフォルトゲートウェイとして機能しないようにする

私の顧客ネットワークに接続できるOpenVPNプロファイルがたくさんあります。最新のWindowsOpenvpnGUIを使用しています。

VPN接続では、カスタマーネットワークを排他的に使用するためのルートと名前解決が定義されているため、これらのプロファイルの一部が問題を引き起こしています。サーバーのホワイトリストにしかアクセスできないため、これは問題です(DNSサーバー、インターネットゲートウェイはこのリストに含まれていません)。

したがって、非常に特定のサブネットにのみ使用されるようにvpn接続を設定し、顧客のDNSサーバーで名前を解決しないようにする方法を探しています。

それを行う普遍的な方法はありますか?

私はこれを自分のプロファイルに追加しようとしました:

pull-filter ignore "dhcp-option DNS"
pull-filter ignore "route"
route-nopull
route 10.0.0.0 255.255.0.0

サーバーからのルートとオプションを無効にし、顧客のサブネットにルートを手動で追加するという考え方です。

しかし、これはまだ十分ではありません。

VPN接続前のルートプリント:

Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0   192.168.20.254    192.168.20.58     55
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
     192.168.20.0    255.255.255.0         On-link     192.168.20.58    311
    192.168.20.58  255.255.255.255         On-link     192.168.20.58    311
   192.168.20.255  255.255.255.255         On-link     192.168.20.58    311
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.20.58    311
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.20.58    311

nslookupは、nsが192.168.20.254(これは私のローカルルーターです)であることを示しています。

VPN接続を開いた後:

Destination réseau    Masque réseau  Adr. passerelle   Adr. interface Métrique
          0.0.0.0          0.0.0.0   192.168.20.254    192.168.20.58     55
          0.0.0.0        128.0.0.0     10.100.100.5     10.100.100.6    291
         10.0.0.0      255.255.0.0     10.100.100.5     10.100.100.6    291
     10.100.100.4  255.255.255.252         On-link      10.100.100.6    291
     10.100.100.6  255.255.255.255         On-link      10.100.100.6    291
     10.100.100.7  255.255.255.255         On-link      10.100.100.6    291
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
        128.0.0.0        128.0.0.0     10.100.100.5     10.100.100.6    291
    185.118.18.66  255.255.255.255   192.168.20.254    192.168.20.58    311
     192.168.20.0    255.255.255.0         On-link     192.168.20.58    311
    192.168.20.58  255.255.255.255         On-link     192.168.20.58    311
   192.168.20.255  255.255.255.255         On-link     192.168.20.58    311
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link      10.100.100.6    291
        224.0.0.0        240.0.0.0         On-link     192.168.20.58    311
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link      10.100.100.6    291
  255.255.255.255  255.255.255.255         On-link     192.168.20.58    311
===========================================================================

ルートがまだ追加されているようです。

私は次の方法で間違った動作を確認できます:

PS C:\WINDOWS\system32> Find-NetRoute -RemoteIPAddress 8.8.8.8 | Select IPAddress,NextHop

IPAddress    NextHop
---------    -------
10.100.100.6
             10.100.100.5

助けてくれてありがとう

routingopenvpn
2
Steve B

追加のルートは、redirect-gateayオプションの結果です。

これにより3つのルートが追加され、最初の2つはインターネット全体に広がり、トンネルにリダイレクトされます。

dest   0.0.0.0  mask 128.0.0.0 gw 10.100.100.5
dest 128.0.0.0  mask 128.0.0.0 gw 10.100.100.5

これらは、すべてのインターネットアドレスに対して、デフォルトゲートウェイ(マスクがゼロ)よりも「優れた」ルーティング一致を提供します。

3番目は、元のゲートウェイを使用するように実際のVPNエンドポイントIPアドレスをリダイレクトし、暗号化されたVPNパケットに使用されます。

dest 185.118.18.66 mask 255.255.255.255 gw 192.168.20.254

この巧妙なトリックにより、デフォルトゲートウェイルートに触れることなくVPNをセットアップできます。

2
Turbo J