代理服务器设置为仅允许来自某个 IP 网络(来自 DHCP 服务器的 192.168.100.0/24)的流量通过,并且仅允许访问 Apache 服务器中列入白名单的某些网站。
我在代理服务器(路由器 PC)旁边的另一台机器(服务器 PC)上有一个 OpenVPN 服务器,它会向连接的客户端吐出自己的 DHCP IP(10.8.0.4/30)。所以我的客户端计算机有 2 个接口和 2 个 IP,一个连接到路由器 PC 并具有来自 DHCP 服务器的 IP(192.168.100.0/24),另一个 TAP 接口具有 OpenVPN 的 IP(10.8.0.6/30)。
据我所知,当我发送请求在我的 Apache2 服务器中打开一个网站时,OpenVPN 会加密发出的数据包并使用它自己的 IP 来发送这些数据包(隐藏原始 IP)。
我的问题是,尽管代理设置中没有允许的 IP(它使用 VPN 的 IP 10.8.0.4/30 而不是 192.168.100.0/24),请求如何通过 Squid,但代理仍然有效并阻止非白名单网站?
PS 这是我的网络与计算机工程专业词汇学院的期末考试,并没有提到 OpenVPN 是否应该安装在服务器 PC 或路由器 PC 上。
答案1
据我所知,当我发送请求在我的 Apache2 服务器中打开一个网站时,OpenVPN 会加密发出的数据包并使用它自己的 IP 来发送这些数据包(隐藏原始 IP)。
我感觉这里存在很大的误解。OpenVPN 不会拦截流量或任何东西。它在您的计算机上显示为具有 IP 地址等的常规网络接口。只有通过此虚拟网络接口离开的流量才会通过加密的 VPN 连接发送。
那么,流量是如何通过 VPN 接口定向的呢?使用常规路由。在 Windows 上,您可以使用route print检查路由表。除非您设置了某些内容(例如使用 OpenVPN 的选项),否则只有发往(可能是 的结果)的redirect-gateway流量才会使用 VPN 连接。10.8.0.4/30topology net30
如果 OpenVPN 配置为redirect-gateway def1,您仍然有一条更具体的路由通往 Squid 主机。联系 中的任何内容192.168.100.0/24都不会使用 VPN。