OpenVPNサーバーによってプッシュされたルートを拒否する方法は?


27

インターネット経由で企業のOpenVPNサーバーへのOpenVPNクライアント接続を確立すると、いくつかの静的ルートがプッシュされます。残念ながら、これらのルートは自分のルートと衝突するため、ローカルネットワーク環境内の一部の接続を切断します。これらのルートを拒否するにはどうすればよいですか?

回答:


30

時代は進んでおり、2017年(OpenVPN 2.4)の時点でこれは可能です

pull-filter accept "route 192.168."
pull-filter ignore "route 172."
pull-filter accept "route 1"
pull-filter ignore "route "

これにより(例は複雑)、192.168で始まるルートを学習し、172のすべてのルートを無視し、他のすべてのルートを1.anythingに許可してから、他のすべてのルートを無視します。

無視redirect-gatewayするには:

pull-filter ignore redirect-gateway

これらのコマンドは、クライアント構成ファイルに追加されます。

同様rejectに、受け入れられなかったことをVPNサーバーに伝えるキーワードを使用できます。これの使用法がわからない。

そして最後に、他の設定オプションもフィルタリングできます。DNSは私のためにローカルサーバーによって処理されるため、提供されているDNSサーバーを無視するためにこれを使用しました。


3
注、これはOpenVPN 2.4.xでのみ機能します。
ab77

Windows 10でOpenVPN GUI 11.13.0を使用してOpenVPN 2.4.7で作業し、同時に必要なデフォルト構成を使用して、2つのOpenVPN Accessサーバー間のサブネット競合を解決しました。それを機能させるための最終作品を提供していただきありがとうございます!
フリッカーフライ

24

openvpnマニュアルを徹底的に研究した後、私の質問に対する答えを見つけました。

ルートを自動的に実行したくないが、独自のツールで処理するには、次のオプションを使用します。

   --route-noexec
          Don't add or remove routes automatically.  Instead pass routes to --route-up script using environmental variables.

ルート以外のサーバーによってプッシュされるすべてを受け入れる場合は、次のオプションを使用します。

  --route-nopull
          When used with --client or --pull, accept options pushed by server EXCEPT for routes.
          When used on the client, this option effectively bars the server from adding routes to the client's routing table, however note that
          this option still allows the server to set the TCP/IP properties of the client's TUN/TAP interface.

2
.opvn構成route-nopullファイルでも使用できるfyi:stackoverflow.com/questions/35698215/…–
knocte

1

個々のルートを拒否することはできませんが、OpenVPN構成を編集するアクセス権--pushがあるclient場合pullは、構成のすべてのインスタンスを削除することにより、構成を実行しているサーバーを効果的に停止できます。あなたが追加する代わりに、必要があります。tls-clientこのディレクティブは、すでにお使いのコンフィギュレーションに存在しない場合(clientのためだけの同義語ですpulltls-client)。

もちろん、これを行うと、すべてのルートと、通常はpush編集される他の構成がすべて失われるため、トンネルが立ち上がった後にこれらの設定を手動で構成する必要があります。


ちょっとマイク、そして興味のあるサブネットだけにルートを手動で設定する方法は?(10.0.0._).opvnファイルでこれを設定する方法はありますか?
-knocte

ルート10.0.0.0 255.0.0.0
markhorrocks
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.