Saltar al contenido

Dirija todo el tráfico a través de OpenVPN

Esta inquietud se puede resolver de variadas formas, sin embargo te compartimos la solución más completa para nosotros.

Solución:

He probado esto usando un servidor OpenVPN y configurando el redirect-gateway def1 La opción en la configuración del cliente y del servidor funciona bien.

Cuando accedo a whatismyip.org, veo la IP de mi servidor OpenVPN.

A continuación se muestra la configuración del cliente que uso:

client
dev tun
proto udp
# THE IP OF THE REMOTE OPENVPN SERVER:
remote ip_address port
resolv-retry infinite
nobind
persist-key
persist-tun
# THE CSR FILE:
pkcs12 certificate.p12
ns-cert-type server
cipher AES-256-CBC
comp-lzo
redirect-gateway def1
verb 3

También probé agregando la opción redirect-gateway def1 al comando openvpn y obtuve el mismo resultado. La configuración del servidor es:

port 1194
proto udp
dev tun

dh /etc/openvpn/easy-rsa/keys/dh1024.pem
ca /etc/openvpn/easy-rsa/keys/ca.crt
# ENSURE THE DOMAIN NAME/FILENAME IS CORRECT:
cert /etc/openvpn/easy-rsa/keys/cert.crt
key /etc/openvpn/easy-rsa/keys/cert.key

server 10.5.3.0  255.255.255.0
# YOUR LOCAL SERVER IP HERE:
client-config-dir ccd
route 10.5.3.0 255.255.255.0
ifconfig-pool-persist ipp.txt
cipher AES-256-CBC
comp-lzo
persist-key
persist-tun

status log/openvpn-status.log 5
status-version 2
log-append log/openvpn.log
verb 3  # verbose mode
management localhost port /etc/openvpn/management-password

# ROUTE THE CLIENT'S INTERNET ACCESS THROUGH THIS SERVER:
push "redirect-gateway def1"
push "remote-gateway vpn_server_ip"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 60

¿Quizás olvidaste modificar tu NAT? Ejecute esos 3 comandos como root

Comandos:

iptables -I FORWARD -i tun0 -o eth0 
         -s 10.8.0.0/24 -m conntrack --ctstate NEW -j ACCEPT

iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED 
         -j ACCEPT

iptables -t nat -I POSTROUTING -o eth0 
          -s 10.8.0.0/24 -j MASQUERADE

Subtítulo:

  • tun0: su tarjeta de red VPN virtual
  • eth0: su tarjeta de red normal
  • 10.8.0.0: bloque de ip de su red VPN

Añade el siguiente directiva al archivo de configuración del servidor:

push "redirect-gateway def1"

Si su configuración de VPN se realiza a través de una red inalámbrica, donde todos los clientes y el servidor se encuentran en la misma subred inalámbrica, agregue la bandera local:

push "redirect-gateway local def1"

Al presionar la opción de puerta de enlace de redirección a los clientes, todo el tráfico de la red IP que se origina en las máquinas del cliente pasará a través del servidor OpenVPN. El servidor deberá configurarse para manejar este tráfico de alguna manera, por ejemplo, mediante NAT a Internet o enrutándolo a través del proxy HTTP del sitio del servidor.

En Linux, podría usar un comando como este para NAT el tráfico del cliente VPN a Internet:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Este comando asume que la subred VPN es 10.8.0.0/24 (tomada de la directiva del servidor en OpenVPN configuración del servidor) y que la interfaz ethernet local es eth0.

Cuando se utiliza la puerta de enlace de redirección, los clientes de OpenVPN enrutarán las consultas de DNS a través de la VPN, y el servidor VPN deberá manejarlas. Esto se puede lograr enviando una dirección de servidor DNS a los clientes que se conectan, lo que reemplazará la configuración normal de su servidor DNS durante el tiempo que la VPN esté activa. Por ejemplo:

push "dhcp-option DNS 10.8.0.1"

configurará clientes de Windows (o clientes que no sean de Windows con algunas secuencias de comandos adicionales del lado del cliente) para usar 10.8.0.1 como su servidor DNS. Cualquier dirección a la que se pueda acceder desde los clientes se puede utilizar como dirección del servidor DNS.

Sección de Reseñas y Valoraciones

Puedes corroborar nuestra investigación añadiendo un comentario y valorándolo te estamos agradecidos.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)



Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *