Как с помощью маршрутизации и брандмауэра Windows реализовать для OpenVPN split tunneling для целевого приложения?

Question

[gameoverlord]

Здравствуйте.

Стоит задача в ОС Windows настроить использование OpenVPN только одним приложением.
Не хочу использовать ForceBindIP, считаю его костылём, требуется максимально стабильное решение, желательно средствами самой ОС.

Поэтому хочу реализовать следующий сценарий:

• В системе после подключения туннеля есть два маршрута по умолчанию, с меньшей метрикой - стандартный шлюз по умолчанию, с большей метрикой - шлюз OpenVPN.
  
• Брандмауэром Windows запрещаю целевому приложению исходящую связь через реальные физические интерфейсы (у него есть такая возможность).
  
• Целевое приложение, получая запрет на использование физических интерфейсов, посылает трафик в виртуальный, так как он также является шлюзом по умолчанию.
  
• Все остальные приложения и система используют стандартный шлюз.
  

Звучит красиво, но не получается (((

Что я делаю.

• После подключения VPN удаляю маршруты вида 0.0.0.0/1 и 128.0.0.0/1, а затем заменяю их одним маршрутом вида 0.0.0.0/0 (см. скриншоты). На этом этапе работает, трафик идёт через VPN.
  
• Далее пытаюсь у стандартного шлюза понизить метрику, полагая, что после этого трафик пойдёт через основной шлюз, а туннельный шлюз будет альтернативным. И вот здесь происходит затык.
  

Прилагаю несколько скриншотов с маршрутами:

первый скриншот до подключения и различных манипуляций



второй после подключения туннеля



третий после ручного изменения маршрутов (здесь пока работает)



четвёртый после попыток изменить метрику для маршрута (здесь уже не работает)



Помогите, пожалуйста, понять в чем моя ошибка и что делаю не правильно.

Заранее благодарен за ваши ответы.

Comments

[Drno]

Не проще прокси поднять и в приложение прописать?
В винде еще те «развлекухи» с маршрутизыцией…

[gameoverlord]

Drno, не проще )))
Нужен именно VPN

[Alexey Dmitriev]

НЕ вижу статического маршрута до VPN сервера с высокой метрикой через стандартный шлюз. Вероятно ваши манипуляции с маршрутами не дают возможности работать самому соединению OpenVPN.

[Drno]

gameoverlord, почему не проще. Если прога умеет - то это оптимальный и самый логичный вариант…

Если не ошибаюсь, тут как то советовали прогу Printulp. Она вроде умеет сама всё делать. И можно свои конфиги опенвпн подсовывать

Поищите схожие темы, я точно не помню название программы

UDP не принтул естесвенно, я перепутал. Вот в этой теме есть. Может поможет чем

Как настроить VPN для определенных программ?

[rrambo]

Сделай виртуальную машину, туда vpn и софт. Рекомендую hyper-v очень шустро все работает и родными средствами виндоуз

[gameoverlord]

Drno, Большое спасибо за Ваше желание помочь!
Но в силу обстоятельств, от меня не зависящих, могу использовать только OpenVPN.
Попробовал предложенный Вами вариант с Printulp (не знал о нем раньше) - не подошел.
Я упоминал, что сервер OpenVPN мне не подконтролен.
Вариант с Printulp работает когда и клиент и сервер - Printulp.
Я пробовал клиент Printulp - сервер OpenVPV, не коннектится...

[gameoverlord]

Alexey Dmitriev, Вроде как есть.
Вот посмотрите:

[Drno]

gameoverlord, Как настроить VPN для определенных программ?

[Alexey Dmitriev]

gameoverlord, не знаю как в Windows - но стоит попробовать поискать прокси сервер для Windows, который умеет "выходить" с определенного сетевого интерфейса и просто настроить нужное вам приложение на использование этого локального прокси.

[AlexVWill]

настроить использование OpenVPN только одним приложением

А что за приложение? Оно должно иметь возможность направлять в VPN только определенные пакеты с заранее определенными IP, портами и маршрутами, или может посылать запрос на любые в т.ч. DNS?

[gameoverlord]

AlexVWill, Конечно на любые адреса. Иначе не было бы вопроса. Маршруты бы прописал либо в конфиге OpenVPN или в системной таблице маршрутизации.

[gameoverlord]

Alexey Dmitriev, Вообще для этих целей ProxyCap есть. Но я не нашел способа "подружить" его с OnenVPN'ом. А использовать OpenVPN принципиально.

Конечно странная ситуация с этой виндой.
Просто метрики поменять и не работает!
(((

[gameoverlord]

не знаю как в Windows - но стоит попробовать поискать прокси сервер для Windows, который умеет "выходить" с определенного сетевого интерфейса и просто настроить нужное вам приложение на использование этого локального прокси.

Alexey Dmitriev, Очень здравая мысль. Например можно в UP скрипте OpenVPN'а инициировать запуск 3proxy на только что поднятом виртуальном адресе. При такой конфигурации прокси сервер должен трафик в туннель отсылать. И еще в конфиг клиента добавить директиву nopul.

Попробую реализовать.

Answer 1

[ky0]

Звучит красиво, но когда пытаешься решить задачу неподходящим инструментом - обычно такой результат и получается. Вам уже об этом сообщили в комментариях, я присоединяюсь к оному.

Простыню не осилил, но по диагонали выглядит как попытка реализовать что-то, похожее на линуксовые множественные таблицы маршрутизации, скрещенные с policy-based routing. Кажется, как будто windows - не самая подходящая для таких экспериментов ОС.

Comments

[Drno]

Да. Именно так)

[gameoverlord]

Выглядит как витиеватая попытка сказать "Я не знаю".
Не скромничайте, так и скажите.
В незнании нет ничего постыдного )))

[gameoverlord]

Я же не прошу policy-based routing, хотя он тоже по приложениям не разрулит, он для этого не предназначен, максимум source routing.

Речь идет о примитивном изменении приоритетов двух шлюзов по умолчанию с помощью метрик.
Это третий класс вторая четверть...

P.S.: Я тогда как раз болел ))))))

Answer 2

[ValdikSS]

В Windows такой возможности нет. Это можно реализовать на уровне драйвера/WFP (пример), но не стандартными средствами.

Разве что можно задействовать возможность добавления DSCP-меток для разных приложений, с помощью которого роутер может маршрутизировать трафик от разных приложений самостоятельно:
https://serverfault.com/questions/769843/cannot-se...
https://docs.openwrt.melmac.net/vpn-policy-routing/