Как пустить трафик в обход ВПН?

Question

[hp-210493]

Доброго времени суток.
Имеется обычное интернет подключение через ротуер.

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.102
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1

Далее я установил ВПН подключение через OpenVPN и весь трафик идет через этот ВПН.

Ethernet adapter Подключение по локальной сети 2:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 10.2.21.78
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . :

Маршруты следующие:

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.102     20
          0.0.0.0        128.0.0.0        10.2.21.1       10.2.21.78     30
        10.2.21.0    255.255.255.0         On-link        10.2.21.78    286
       10.2.21.78  255.255.255.255         On-link        10.2.21.78    286
      10.2.21.255  255.255.255.255         On-link        10.2.21.78    286
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
        128.0.0.0        128.0.0.0        10.2.21.1       10.2.21.78     30
      192.168.1.0    255.255.255.0         On-link     192.168.1.102    276
    192.168.1.102  255.255.255.255         On-link     192.168.1.102    276
    192.168.1.255  255.255.255.255         On-link     192.168.1.102    276
      209.99.9.21  255.255.255.255      192.168.1.1    192.168.1.102     20
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.1.102    276
        224.0.0.0        240.0.0.0         On-link        10.2.21.78    286
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.1.102    276
  255.255.255.255  255.255.255.255         On-link        10.2.21.78    286

Вопрос. Как мне пустить трафик для отдельных приложений в обход VPN сети? То есть на прямую, как обычно это происходит, когда VPN сеть не подключена.

Answer 1

[Никита Сизов]

Для отдельных приложений это будет сделать затруднительно.
Маршрутизация работает на сетевом (3) уровне OSI, а не на прикладном (7).
Но обычно эта проблема решается так:

• в клиенте OpenVPN уберите создание шлюза по умолчанию через удаленную сеть
  
• через route add настройте маршрутизацию на те хосты/подсети в удаленной сети, которые нужны вашим приложениям.
  

Comments

[hp-210493]

А можно подробнее, как убрать создание шлюза по умолчанию и хотя бы 1 маршрут для примера. Спасибо

[Никита Сизов]

1. Смотря как у вас настроен OpenVPN клиент. Если в конфиге есть строчка redirect-gateway autolocal - уберите её. Иначе давайте конфиг (и ключи запуска).
Когда вы её уберете, вот эти два маршрута уйдут:
0.0.0.0 128.0.0.0 10.2.21.1 10.2.21.78 30
128.0.0.0 128.0.0.0 10.2.21.1 10.2.21.78 30

2.
Маршрут... ну, удаленная подсеть 10.2.21.0/24 у вас и так будет доступна. Пример для всей сети 10.2.0.0/16:
route add 10.2.0.0 mask 255.255.0.0 0.0.0.0 if 286
где 286 - номер интерфейса OpenVPN из route print.

[hp-210493]

client
dev tun
proto udp
remote au1.vyprvpn.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
persist-remote-ip
;ca ca.vyprvpn.com.crt
tls-remote au1.vyprvpn.com
auth-user-pass up.cfg
comp-lzo
verb 3
script-security 3 system
down "idown.bat"

[Никита Сизов]

hp-210493: тогда у вас сервер раздает эту инструкцию. Посмотрите конфиг сервера, там должно быть что-то вроде push "redirect-gateway def1"

[hp-210493]

Не получится. У меня нет доступа к конфигам сервера.

[Никита Сизов]

hp-210493: Добавьте route-nopull в конфиг, переподключитесь и проверьте табличку маршрутизации.
Здесь про похожую проблему написано: https://forums.openvpn.net/topic12929.html

[hp-210493]

Никита Сизов: Спасибо, дружище! :)