Как OpenVPN сочетает redirect-gateway и push?

Question

[776166]

Нужно пускать весь трафик через VPN, кроме отдельных адресов, которые будут посещаться напрямую.

Вопрос: можно ли одновременно указать redirect-gateway и push с расчётом на то, что всё, что не push, будет redirect-gateway?

Answer 1

[776166]

В CCD-файле клиента надо написать так:

push "route 104.23.132.69 255.255.255.255 net_gateway"

Я думал, что, если это настройка для клиента, то она пушится сама.

Answer 2

[mureevms]

Если надо пушить с сервера:

push "redirect-gateway def1"
push "route x.x.x.x 255.255.255.255 net_gateway"

Если надо применить на клиенте:
route x.x.x.x 255.255.255.255 net_gateway

Comments

[776166]

redirect я пушу с общего конфига сервера, а route для каждого клиента свой, но я тоже хочу их пушить с персональных настроек.

[res2001]

776166,

но я тоже хочу их пушить с персональных настроек.

Пожалуйста. Тот же самый push будет работать и в файле конфигурации пользователя. Для сетей за клиентом надо использовать iroute, вместо route.

[776166]

res2001, не работает

Я добавляю строку route x.x.x.x 255.255.255.255 с/без net_gateway в ccd-файлик клиента на сервере. В логах ошибка:

Options error: option 'route' cannot be used in this context (/etc/openvpn/foo/ccd/bar)

Параметр iproute вообще расценивается, как ошибочный.

[res2001]

776166, iroute
https://community.openvpn.net/openvpn/wiki/RoutedLans

[776166]

res2001, это понятно, не понятно остальное :))
Мне нужно с локальной машины напрямую ходить по определённым адресам. А по остальным через VPN.

[res2001]

776166,

это понятно, не понятно остальное

Что понятно? Вы, возможно, не правильно написали опцию. Я указал правильное написание и дал ссылку на мануал с описанием ее применения.
Остальное будет работать. Маршрут по умолчанию применяется всегда когда не находится других более специализированных маршрутов. И это не специфика ВПН или openvpn - так работает маршрутизация в TCP/IP.

Вообще вы можете прямо на локальной машине задать фиксированные маршруты, если вас такой вариант устраивает.
Опции route/iroute и push route аналогично добавляют маршруты, разница только в том где они добавляют их - push route добавляет маршрут на ВПН клиенте, route/iroute - на ВПН сервере.

[mureevms]

776166, когда в одном предложении упоминается пуш и ОпенВПН, то подразумевается пуш настройки от сервера клиенту.

В общем, можно пойти двумя путями
1. Пушить роут клиенту с сервера. Значит, что при подключении клиента ему автоматически прилетают настройки от сервера. Настраивается на стороне сервера.
1.1. Пушить можно один роут сразу всем клиентам, для этого надо вписать строку push "route x.x.x.x 255.255.255.255 net_gateway" в основной конфиг файл сервера
1.2. Пушить роут конкретному клиенту. Для этого надо использовать ccd, что требует отдельной настройки.

2. Применять роут на стороне клиента. Значит, что клиент при подключении сам применяет эту настройку и сервер тут не при чем. Настраивается на стороне клиента. Добавить в конфиг клиента строку route x.x.x.x 255.255.255.255 net_gateway

Собственно, это и написано в ответе, но не было понято

[mureevms]

776166,

Я добавляю строку route x.x.x.x 255.255.255.255 с/без net_gateway в ccd-файлик клиента на сервере. В логах ошибка

Куда добавляете? Вообще, покажите конфиг и сервера, и клиента.

[776166]

mureevms,
Я, конечно, тупой, но не на столько. :)
1) Я пушу из конфига сервера redirect-gateway, и это работает.
2) Я пушу из ccd ip клиента, и это работает.
3) Я хочу через ccd пушить отдельные ip, которые не должны пропускаться через vpn. И вот тут беда.

Я предполагал, что конфиги будут применяться так: базовый — пуш от сервера, потом пуш для конкретного клиента, потом локальные настройки. Но это так не работает.
Но если совместить ман, то, что пишут здесь и реальность, то мне кажется, что проблема с самим сервером.

Версия openvpn: 2.4.7-1ubuntu2.20.04.3

[776166]

Серверный конфиг

client-config-dir /etc/openvpn/client/foo
mode server
ifconfig 10.9.10.254 255.255.255.0
ifconfig-pool 10.9.10.1 10.9.10.249 255.255.255.0
push "route-gateway 10.9.10.254"
push "redirect-gateway def1 bypass-dhcp"
push "topology subnet"
topology subnet

В клиенте ничего такого нет, но тем не менее

Клиент

topology subnet
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
auth SHA256
verb 3
key-direction 1
verb 3

CCD-конфиг клиента в /etc/openvpn/foo/user:

spoiler

ifconfig-push 10.9.10.177 255.255.255.0
#route 104.23.132.69 255.255.255.255 net_gateway # Не работает, option 'route' cannot be used in this context
#route 104.23.131.69 255.255.255.255 # Не работает option 'route' cannot be used in this context
#iroute 104.23.131.69 255.255.255.255 # Работает но на клиенте ip недоступен

[776166]

[РЕШЕНО]:
В CCD-файле клиента надо написать так:

push "route 104.23.132.69 255.255.255.255 net_gateway"

Я думал, что, если это настройка для клиента, то она пушится сама.