OpenVPN 和路由

Question

为了将所有流量路由到 VPN 服务器，VPN 客户端会将客户端计算机的默认路由设置为隧道设备。但是，VPN 客户端创建的传出加密数据包需要直接路由到 VPN 服务器（而不是返回 VPN 客户端），因此会创建一条从本地网关到 VPN 服务器的特定路由。路由表如下所示（其中 1.2.3.4 是 VPN 服务器的公共 IP）：

192.168.0.0/24 dev eth0     # Local network
1.2.3.4/32 via 192.168.0.1  # Route to VPN server
default via 10.8.0.2        # Everything else via VPN client

当您访问 VPN 服务器上的另一项服务时，它会与该特定路由匹配并直接路由到 Internet。

有几种方法可以解决这个问题：

访问 VPN 服务器上的其他服务时使用 VPN 服务器上的私有 IP（例如，使用 10.8.0.1 而不是 1.2.3.4）。理想情况下，这可以通过 VPN 服务器上的 DNS 服务器来实现，该服务器为 VPN 客户端提供拆分 DNS。
为 VPN 服务器使用专用 IP 地址。
在客户端上配置基于端口的策略路由，以便只有发往 VPN 端口号上的 VPN 服务器的数据包才会直接路由到 Internet 上。

Answer 1

为了将所有流量路由到 VPN 服务器，VPN 客户端会将客户端计算机的默认路由设置为隧道设备。但是，VPN 客户端创建的传出加密数据包需要直接路由到 VPN 服务器（而不是返回 VPN 客户端），因此会创建一条从本地网关到 VPN 服务器的特定路由。路由表如下所示（其中 1.2.3.4 是 VPN 服务器的公共 IP）：

192.168.0.0/24 dev eth0     # Local network
1.2.3.4/32 via 192.168.0.1  # Route to VPN server
default via 10.8.0.2        # Everything else via VPN client

当您访问 VPN 服务器上的另一项服务时，它会与该特定路由匹配并直接路由到 Internet。

有几种方法可以解决这个问题：

访问 VPN 服务器上的其他服务时使用 VPN 服务器上的私有 IP（例如，使用 10.8.0.1 而不是 1.2.3.4）。理想情况下，这可以通过 VPN 服务器上的 DNS 服务器来实现，该服务器为 VPN 客户端提供拆分 DNS。
为 VPN 服务器使用专用 IP 地址。
在客户端上配置基于端口的策略路由，以便只有发往 VPN 端口号上的 VPN 服务器的数据包才会直接路由到 Internet 上。

OpenVPN 和路由

答案1

相关内容