web-dev-qa-db-fra.com

Comment acheminer uniquement du trafic openVPN spécifique via un openVPN basé sur le filtrage IP de la destination?

J'ai remarqué qu'un service proxy DNS que j'ai vu utilise openvpn et des tunnels soi-disant uniquement du trafic DNS via le VPN qui masque les utilisateurs de la géolocalisation du VPN et permet au système des utilisateurs d'utiliser leur connexion initiale pour tout autre trafic.

Je pourrais voir que cela est très utile pour un projet sur lequel je travaille qui utilise des VPN et le trafic que je voudrais acheminer via le tunnel serait le DNS spécifiquement pour certains sites intranet que nous avons.

J'ai essayé de penser au fonctionnement de leur configuration via openvpn, je n'arrive pas à trouver d'informations sur le filtrage source/destination d'Openvpn. Ce que j'ai trouvé sont des exemples d'administrateurs openvpn filtrant le trafic d'accès client afin qu'un client openvpn puisse parler à un autre client openvpn qui n'est pas ce que je veux.

La seule façon d'y parvenir à partir de ce que je peux penser serait si openvpn a une option de filtrage pour les administrateurs où l'administrateur peut placer dans une liste de filtres IP d'exclusions. Par exemple, si un utilisateur interroge via google.ca pour DNS, le filtre d'exclusions IP openvpn verra que google.ca (je sais que openvpn est uniquement à la couche 3, donc une demande d'entrée de google serait juste l'IP de google qui n'est pas dans la liste des exclusions) IP n'est pas une IP acceptable pour le trafic via le tunnel, mais si l'utilisateur veut parler à myIntranetServer.com, le vpn sait autoriser le trafic via le VPN.

Lorsque le serveur openvpn refuse le trafic IP google.ca car l'IP de google n'est pas une IP dans la liste des IP autorisées à être acheminées via le VPN, il envoie une notification au client openvpn pour que l'OS client fasse le DNS requête au lieu de la route DNS d'Openvpn.

Étant donné que je ne connais pas toutes les options fournies par openvpn et ne semble pas trouver d'informations explicites pour ce type de configuration, que pensez-vous de la façon dont ce service fait cela?

J'ai trouvé un exemple qui touche un peu le sujet mais je ne sais pas comment spécifier le trafic: OpenVPN - Le trafic client n'est pas entièrement routé via VPN

14
RCG

En recherchant cela sous un angle différent, j'ai trouvé avec des routes openvpn qu'il peut être possible de diffuser du contenu spécifique.

J'ai trouvé que le type d'installation suivant pouvait être utilisé:

# redirect all default traffic via the VPN
redirect-gateway def1
# redirect the Intranet network 192.168.1/24 via the VPN
route 192.168.1.0 255.255.255.0
# redirect another network to NOT go via the VPN
route 10.10.0.0 255.255.255.0 net_gateway
# redirect a Host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

cependant avec la dernière variable de configuration:

# redirect a Host using a domainname to NOT go via the VPN
route www.google.ca 255.255.255.255 net_gateway

lorsqu'il recherche la résolution de google.ca, il ne filtre que la première adresse IP dans la réponse aux requêtes.

23
RCG