1 Temat przez jeremi (edytowany przez jeremi 2019-09-05 12:30:20)

  • jeremi
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-09-05
  • Posty: 6

Temat: Routing klientów VPN do wybranego serwera

Cześć wszystkim, sory że tak z buta wchodzę i ledwo zarejestrowany i już pomocy szukam smile

Nie jestem wybitnym administratorem i nie mogę sobie poradzić z chyba pozornie prostym routingiem na linksysie z Gargoyle v.1.9.1.2 (r49474), a temat przejąłem po jeszcze większej łamadze.

Otóż mianowicie potrzebuję wszystkich podłączonych zdalnie klientów VPN wypuszczać przez IP publiczne tego routera ale tylko dla jednego specyficznego adresu ip / lub domeny.

Opis praktyczny: Mam sobie serwer zewnętrzny, w innej lokalizacji zabezpieczony przez firewall z ruchem dopuszczonym po IP z tego routera linksys postawionego na Gargoyle. Jeśli podepnę się bezpośrednio pod ten router (kabel, wifi) to mam dostęp do serwera zewnętrznego, jeśli podepnę się za pomocą OpenVPN to rzecz jasna nie mam dostępu, a chcę mieć go również.

Jest oczywiście opcja w konfiguracji serwera openvpn by klienci vpn mieli dostęp do całego ruchu internetowego i wtedy działa, bo wychodzi z IP publicznym routera ALE to nie jest rozwiązanie dla mnie, muszę wypuścić ruch z VPN przez IP publiczne TYLKO do wybranych serwerów.

Da się to jakoś zrobić, wyklikać z panelu albo z consoli? Szukać w konfiguracji serwera openvpn czy w statycznych trasach? Czy może trzeba dodać jakąś trasę po stronie klienta (choć to chyba słaba opcja)?

Dzięki za pomoc!

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,892

Odp: Routing klientów VPN do wybranego serwera

Czyli - to klient musi wiedzieć że jak ma być normalny ruch to przez swoje łącze, a jak do wybranego serwera to przez vpn. Z gui tego nie wyklikasz.

Nigdy nie robiłem tak. Spróbuj coś takiego:
Na routerze - zezwolenie na cały ruch internetowy
Na kliencie - ignorować wszystkie trasy które przychodzą z vpn (!), dodać własną trasę aby IP danego serwera skierować na tunel VPN. Albo to w konfigu openvpn klienta, albo ręcznie na kliencie bawiąc się trasami.

Jak dojdziesz do sytuacji że będzie działać to napisz co i jak.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez jeremi

  • jeremi
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-09-05
  • Posty: 6

Odp: Routing klientów VPN do wybranego serwera

Na kliencie - ignorować wszystkie trasy które przychodzą z vpn (!)

Rozwiń temat, co masz na myśli, jak szukać podpowiedzi w google?

Czyli temat nie jest tak prosty jak mi się wydawało. Najgorsze jest to, że konfiguracje po stronie klienta będą dla mnie
upierdliwe i nie wiem czy pójdę w tym kierunku. Opcja B to dla mnie serwer proxy w tej lokalizacji i konfiguracja przeglądarki. Jest to o tyle proste, że user sobie sam poradzi.

4 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,892

Odp: Routing klientów VPN do wybranego serwera

https://community.openvpn.net/openvpn/w … ectGateway

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

5 Odpowiedź przez Gr4nd0

  • Gr4nd0
  • Użytkownik
  • Nieaktywny
  • Skąd: Swarzędz
  • Zarejestrowany: 2016-10-06
  • Posty: 276

Odp: Routing klientów VPN do wybranego serwera

jeremi napisał/a:

Otóż mianowicie potrzebuję wszystkich podłączonych zdalnie klientów VPN wypuszczać przez IP publiczne tego routera ale tylko dla jednego specyficznego adresu ip / lub domeny.

Hmm. Jak to wyklikać to nie mam pojęcia.
Zawsze możesz w konfiguracji serwera OpenVPN dodać opcję:

push "route 8.8.8.8 255.255.255.255 10.0.0.1"

gdzie:
8.8.8.8 - wybrany przez ciebie specyficzny adres IP docelowego komputera,
10.0.0.1 - adres IP serwera OpenVPN.
Jeśli chcesz przetestować czy to działa to zamiast 8.8.8.8 wpisz 85.128.227.204, zajrzyj na stronę https://moj-ip.pl/ i sprawdź czy jako twoje IP strona podaje publiczny adres serwera VPN.

GUI jest przereklamowane

ASUS WL-500gP v2, TP-Link TL-MR3420 v2, TP-Link TL-WR1043ND v3, TP-Link TL-WDR4300 v1, D-Link DWR-921 C3,
Netgear R6220

6 Odpowiedź przez jeremi

  • jeremi
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-09-05
  • Posty: 6

Odp: Routing klientów VPN do wybranego serwera

Gr4nd0 napisał/a:

Zawsze możesz w konfiguracji serwera OpenVPN dodać opcję:

push "route 8.8.8.8 255.255.255.255 10.0.0.1"

Taka opcja była by najlepsza, nie testowałem bo nie mam jeszcze dostępu do tego sprzętu ale zdaje się, że żeby to działało najpierw muszę puścić cały ruch internetowy z klientów przez router? Czy się mylę?

Ps. Gdzie znajdę ten config w Gargulcu? Bo w sumie w /etc/openvpn jako takiego configu nie ma, ale są pliki w katalogu route_data i wygląda to jakby dla każdego klienta można było ustawić routing indywidualnie (pliki są puste) i jest plik route_data/server gdzie jest jeden wpis rotujących sieć klientów VPN do sieci lokalnej. Teoretycznie ten wpis co proponujesz wystarczyło by mi dodać jako kolejny - nie mogę się doczekać żeby to sprawdzić.

7 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,892

Odp: Routing klientów VPN do wybranego serwera

Jest w /etc/openvpn o ile włączyłeś serwer w gui.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

8 Odpowiedź przez jeremi (edytowany przez jeremi 2019-09-09 10:29:22)

  • jeremi
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2019-09-05
  • Posty: 6

Odp: Routing klientów VPN do wybranego serwera

Gr4nd0, Cezary - dzięki Panowie mamy sukces dokładnie taki, jak oczekiwałem!

Rozwiązanie dla potomnych (zakładam, że serwer openvpn jest już skonfigurowany z poziomu gui i działający):

1) Logujemy się na router za pomocą ssh;
2) W pliku /etc/openvpn/server.conf dopisujemy pod innymi regułami:
push "route 8.8.8.8 255.255.255.255 10.0.0.1"

gdzie:
8.8.8.8 - wybrany przez ciebie specyficzny adres IP docelowego komputera;
10.0.0.1 - adres IP serwera OpenVPN;

3) restartujemy serwer openvpn /etc/init.d/openvpn restart;
4) restartujemy podłączonych klientów openvpn (po restarcie klient dostanie nową trasę).

I rzeczywiście, po takiej konfiguracji cały ruch internetowy wychodzi przez łącze klienta, a zdefiniowany routing przez serwer VPN.


Dziękuję bardzo, czapki z głów, zaoszczędziliście mi masę czasu!