Làm cách nào để từ chối các tuyến đường được máy chủ OpenVPN PUSHed?

27

Khi tôi thiết lập kết nối máy khách OpenVPN qua Internet đến máy chủ OpenVPN của công ty chúng tôi, nó sẽ đẩy một số tuyến tĩnh. Thật không may, các tuyến này phá vỡ một số kết nối trong môi trường mạng cục bộ của tôi, vì chúng va chạm với các tuyến của riêng tôi. Làm thế nào tôi có thể từ chối những tuyến đường?

networking  routing  openvpn 
mbaitoff
nguồn

Câu trả lời:

30

Thời gian đã trôi qua và kể từ năm 2017 (OpenVPN 2.4), điều này là có thể với 

pull-filter accept "route 192.168."
pull-filter ignore "route 172."
pull-filter accept "route 1"
pull-filter ignore "route "

Điều này (ví dụ) sẽ cho phép các tuyến đường được học bắt đầu bằng 192.168, bỏ qua tất cả 172. tuyến đường, cho phép các tuyến đường khác đến 1. mọi thứ và sau đó bỏ qua tất cả các tuyến đường khác.

Để bỏ qua redirect-gatewaybạn có thể:

pull-filter ignore redirect-gateway

Các lệnh này được thêm vào tập tin cấu hình máy khách của bạn.

Tương tự như vậy, bạn có thể sử dụng từ khóa thông báo rejectcho máy chủ VPN mà nó không được chấp nhận. Không chắc chắn việc sử dụng này.

Và cuối cùng, bạn cũng có thể lọc các tùy chọn cấu hình khác. Tôi đã sử dụng điều này để bỏ qua các máy chủ DNS được cung cấp, bởi vì DNS được xử lý bởi một máy chủ cục bộ cho tôi.

Criggie
nguồn
3
Lưu ý, điều này chỉ hoạt động trong OpenVPN 2.4.x.
ab77
Đã hoạt động trên OpenVPN 2.4.7 bằng cách sử dụng OpenVPN GUI 11.13.0 trên Windows 10 để giải quyết xung đột mạng con giữa hai máy chủ Truy cập OpenVPN cả hai sử dụng các cấu hình mặc định mà tôi cần cùng lúc. Cảm ơn bạn đã cung cấp phần cuối cùng để làm cho nó hoạt động!
flickerfly
24

Sau khi nghiên cứu sâu về openvpnhướng dẫn, tôi đã tìm thấy câu trả lời cho câu hỏi của mình:

Tôi không muốn các tuyến được thực thi tự động, nhưng được xử lý bằng công cụ của riêng bạn, hãy sử dụng tùy chọn sau:

   --route-noexec
          Don't add or remove routes automatically.  Instead pass routes to --route-up script using environmental variables.

Nếu bạn chấp nhận mọi thứ được đẩy bởi máy chủ ngoại trừ các tuyến đường, hãy sử dụng tùy chọn sau:

  --route-nopull
          When used with --client or --pull, accept options pushed by server EXCEPT for routes.
          When used on the client, this option effectively bars the server from adding routes to the client's routing table, however note that
          this option still allows the server to set the TCP/IP properties of the client's TUN/TAP interface.
mbaitoff
nguồn
2
FYI bạn cũng có thể sử dụng route-nopulltrong file config .opvn: stackoverflow.com/questions/35698215/...
knocte
1

Bạn không thể từ chối các tuyến riêng lẻ, tuy nhiên nếu bạn có quyền truy cập để chỉnh sửa cấu hình OpenVPN thì bạn có thể dừng máy chủ một cách hiệu quả với --pushbất kỳ cấu hình nào cho bạn bằng cách xóa tất cả các phiên bản clienthoặc pullkhỏi cấu hình của bạn. Thay vào đó, bạn sẽ cần thêm tls-clientnếu lệnh này không tồn tại trong cấu hình của bạn ( clientchỉ là từ đồng nghĩa với pull, tls-client).

Tất nhiên, nếu bạn làm điều đó, bạn sẽ mất tất cả các tuyến và bất kỳ cấu hình nào khác thường được chỉnh pushsửa cho bạn, vì vậy bạn sẽ cần phải định cấu hình thủ công các cài đặt này sau khi đường hầm của bạn xuất hiện.

Mike Insch
nguồn
Xin chào Mike, và làm thế nào để tự kết nối một tuyến đường đến mạng con tôi quan tâm? (10.0.0._) có cách nào để định cấu hình tệp này trong tệp .opvn không?
knocte
tuyến 10.0.0.0 255.0.0.0
markhorrocks
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.