设置:(名称被通用术语取代)
“供应商”需要使用 VPN 来访问其资源。我们的多个员工都需要访问供应商的资源。为了减轻供应商 VPN 服务器的开销,我们同意将隧道添加到我们的顶级路由器,并通过普通 NAT 通过隧道将流量静态路由到供应商的子网,而所有其他流量则以正常方式流出。静态路由是从供应商的服务器推送的,因此我(网络/系统管理员)所要做的就是使用他们的配置文件启动 openvpn,一切都运行顺利,直到……
问题:
上周,供应商的 VPN 服务器错误地推送了一条默认网关规则,我们的路由器通过添加与redirect-gateway def1
配置等效的路由规则来遵守该规则。由于供应商不会转发到非供应商地址的流量,因此导致中断。供应商“已修复此问题”,但我正在寻找可以应用于我们这边的修复程序,以防止这种情况再次发生。我们对非供应商地址的使用不应依赖于供应商正确配置任何内容。我想要一个 CLI 或配置文件选项来告诉 OpenVPN 客户端忽略任何路由推送,这样我就可以手动添加应该存在的单个路由规则。我没有在 OpenVPN 手册中看到任何有希望的内容,而且我在这里看到的大多数 OpenVPN 网关帖子都在试图实现与此相反的目标。
临时修复:短期内,我设置了一个 cron 任务来终止任何0.0.0.0/1
路由128.0.0.0/1
。
版本:
openvpn 2.3.10,带有低延迟内核的 ubuntu 18 服务器。
答案1
啊,找到了。
route-nopull
route-gateway dhcp
route 192.168.0.0 255.255.0.0