OpenVPN как НЕ пускать через него весь траф?

Главная » Форум » Программинг, Скрипты, Софт, Сервисы »

Тема: OpenVPN как НЕ пускать через него весь траф?

цитата
12/07/11 в 20:41

JM
Клиент под винду...
Вот кусок того что он делает на автомате при коннекте...

Код:

Tue Jul 12 21:25:28 2011 us=96000 C:\WINDOWS\system32\route.exe DELETE 0.0.0.0 MASK 0.0.0.0 192.168.3.1
Tue Jul 12 21:25:28 2011 us=96000 Route deletion via IPAPI succeeded [adaptive]
Tue Jul 12 21:25:28 2011 us=96000 C:\WINDOWS\system32\route.exe ADD 0.0.0.0 MASK 0.0.0.0 192.168.120.1

После чего все идет само собой через опен-впн, мне это не нужно как ему это дело запретить делать АВТОМАТОМ?
В конфиге (локально) ничего такого не прописанно..

цитата
12/07/11 в 22:42

Desperate Andy
Ты можешь вручную задать пути до ИП адресов, которые нужно открывать минуя ВПН, путем следующих команд:

route -p add XXX.XXX.XXX.XXX MASK 255.255.255.255 192.168.3.1

По route/? посмотри справку если что. Ключ -p добавляет путь на постоянку (после перезагрузки сохранится).

цитата
12/07/11 в 22:55

msth
опция в конфиге openvpn (на сервере)

Код:

push "redirect-gateway def1"

для добавления определенных хостов

Код:

push "route 1.2.3.4 255.255.255.255"
push "route 1.2.3.5 255.255.255.255"
push "route 1.2.3.6 255.255.255.255"

Чтобы push работали на клиенте надо добавить
Код:

pull

Цитата:

--pull This option must be used on a client which is connecting to a multi-client server. It indicates to OpenVPN that it should accept options pushed by the server, provided
they are part of the legal set of pushable options (note that the --pull option is implied by --client ).

In particular, --pull allows the server to push routes to the client, so you should not use --pull or --client in situations where you don't trust the server to have con‐
trol over the client's routing table.

либо если неохота юзать push, юзать на клиенте:
Код:

route 1.2.3.4 255.255.255.255
route 1.2.3.5 255.255.255.255
route 1.2.3.6 255.255.255.255

если надо пустить определенные хосты через дефолтный гейт, то
Код:

route 1.2.3.4 255.255.255.255 net_gateway
route host.com 255.255.255.255 net_gateway
route 1.2.3.4 255.255.255.255 net_gateway

Последний раз редактировалось: msth (12/07/11 в 23:12), всего редактировалось 5 раз(а)

цитата
12/07/11 в 23:07

Dr.Syshalt
Опция push-reset на клиенте отключает push, насколько понимаю.

P.S. не пробовал. Но man так говорит. Маны хорошие

цитата
12/07/11 в 23:16

JM
Мне тупо нужно пустить ВСЕ хосты через ДЕФОЛТ!
Пока тупо добавил строчку
route-delay 50000000000000
Т.е. он мне не врубает роутинг на себя, а ждет бесконечно долго... цевильное есть решение?

цитата
12/07/11 в 23:20

Dr.Syshalt
JM писал:

Мне тупо нужно пустить ВСЕ хосты через ДЕФОЛТ!

Ты не сказал, у тебя доступ к серверу есть или нет? Потому как если есть - просто отключи push вообще. Если нету - используй push-reset на клиенте. И у тебя роутинг-таблицы вообще не будут меняться.

Вот и все.

цитата
12/07/11 в 23:38

JM
На сервак нет если в конфиге локально дописываю push-reset

Options error: option 'push-reset' cannot be used in this context
и все...

цитата
13/07/11 в 00:02

Dr.Syshalt
https://forums.openvpn.net/topic7806.html

В середине страницы где-то. Кстати, не поверишь, если скажу, откуда я ссылку взял

цитата
13/07/11 в 00:06

msth
Можешь попробовать заменить client на tls-client в конфиге.

Либо добавить route-nopull (не уверен точно ли оно заигнорит redirect-def gateway.)

Так как опция client уже включает pull и tls-client.

цитата
13/07/11 в 00:17

JM
Помог
route-nopull

Всем спасибо!!!
Но вот блин почему про это в мануале незя написать ;)?
P.S.
tls-client - к стате вообще весь роутинг убивает, даже который нужный остеться ;) тоже вариант, но более длинный вышел... не стал доделывать до конца

цитата
13/07/11 в 00:20

JM
Dr.Syshalt: не поверю но расскажи если гугл то по какому запросу ;)

цитата
13/07/11 в 08:56

Dr.Syshalt
JM писал:

не поверю но расскажи если гугл то по какому запросу ;)

"openvpn ignore server push"

там наткнулся на упоминание route-nopull

проверил еще одним поиском.

на все - 15 секунд ;)

цитата
13/07/11 в 09:03

JM
Ну вот главное надо знать что искатьб я искал disable route... и в таком духе ниче не нашел ;(
Еще раз спасибо!

Новая тема Ответить

Эта страница в полной версии