Как использовать туннель OpenVPN в качестве “маршрута по умолчанию” при подключении. Необходимо исключить маршрут к конечной точке VPN, иначе это нарушит соединение.

Вопрос или проблема

push "route <VPN_Endpoint> 255.255.255.255 <current_default_gateway>"
push "route 0.0.0.0 0.0.0.0"  

Ответ или решение

Использование OpenVPN для маршрутизации всего трафика через туннель, кроме трафика к VPN-endpoint, — это распространенная задача, с которой сталкиваются администраторы сетей. Этот процесс нередко вызывает сложности, поскольку необходимо правильно настроить маршруты так, чтобы VPN-endpoint оставался доступным напрямую, не запуская его через туннель. Рассмотрим, как можно реализовать эту конфигурацию, руководствуясь данным сценарием.

Теория

Когда вы подключаетесь к VPN, ваш компьютер получает новую маршрутизационную таблицу, которая может включать все или некоторые маршруты через защищенный туннель. Процедура установки OpenVPN обычно подразумевает изменение вашего шлюза по умолчанию таким образом, что весь трафик идет через VPN. Однако, чтобы избежать дублирования пути к endpoint, который может привести к разрыву соединения, необходимо добавить исключение в таблицу маршрутизации.

Чтобы достичь этого, вручную определяются маршруты, которые оставляют VPN-endpoint в обходе туннеля. Основная идея заключается в следующем:

1. Настроить маршрут к VPN-endpoint через исходный (локальный) шлюз.
2. Удалить текущий маршрут по умолчанию.
3. Добавить новый маршрут по умолчанию через VPN-туннель.

Пример

Предположим, у вас есть VPN-сервер с IP-адресом 198.51.100.1. Вы хотите, чтобы весь другой трафик шёл через VPN-канал, за исключением соединения с указанным VPN-сервером.

1. Конфигурация маршрутизации:
   Обычно, рутинг происходит следующим образом:

   route add 198.51.100.1 mask 255.255.255.255 <исходный_шлюз>
   route add 0.0.0.0 mask 0.0.0.0 <адрес_внутреннего_VPN-интерфейса>

2. Изменение конфигурации CCD файла:
   OpenVPN использует файлы CCD (Client Configuration Directory) для назначения уникальных конфигураций клиентам. Вы можете прописать команды пуша для создания маршрутов:

   push "route 198.51.100.1 255.255.255.255 <местный_шлюз_клиента>"
   push "redirect-gateway def1"

Применение

Сначала установите статический маршрут в вашей системе, чтобы пакеты к VPN-endpoint шли по локальному маршруту. Вы можете воспользоваться командой выше, вводя её либо в консоли системы, либо добавив её в скрипт пред-подключения вашего VPN-клиента. Это необходимо делать, если ваш клиент не поддерживает автоматическое добавление этих маршрутов.

Каждому клиенту может понадобиться доступ к различным дополнительным ресурсам, например, к локальным сетям VPN. Здесь особую роль играют файлы CCD, которых у вас может быть множество. В этих файлах используются директивы push для настройки специфичных маршрутов, приёмов сетевого трафика для клиентов и других параметров.

Важные моменты:

• Директива push "redirect-gateway def1": Способствует направлению всего интернет-трафика через VPN, обновляя существующий шлюз по умолчанию до VPN-пути.
• Специфическая маршрутизация: Вместо использования полного перенаправления шлюза, реализуйте специфические маршруты, чтобы поддерживать существующую сетевую топологию.

Помните, что управление и поддержка этих настроек требует понимания как сетевой архитектуры, так и конечной точки безопасности клиента. Убедитесь, что все изменения протестированы в безопасной среде, прежде чем внедрять на рабочие станции.

В заключение, создание маршрутов с помощью VPN может оказаться сложной задачей, но следуя вышеописанным инструкциям, она становится управляемой. Неправильная настройка может привести к обратной связи через VPN и потере соединения, так что тщательное планирование и исполнение чрезвычайно важны.