Как направить трафик мимо VPN?

Question

[motcart]

Настроил OpenVPN на домашнем сервере для доступа к своей локалке. На сервере статичный айпи. Клиенты на трех разных провайдерах (думаю, это не важно). Клиенты - это 3 смарта на андроиде, 4 ПК на линуксах.

Подскажите как сделать, чтобы с клиентов трафик в интернет шел мимо впн, а в локалку через впн? Читал, что можно на сервере к конфиге openvpn настроить ifconfig-push, но до конца разобраться не смог.

Answer 1

[Nikita]

Убрать с конфига сервера параметр push "redirect-gateway def1"

Comments

[motcart]

В конфиге сервера убрал, но клиенты в интернет так же ходят через впн.

Добавилено: ноутбук все еще ходит в интернет через впн, клиенты на андроиде - напрямую. Но андроиды перестали ходить в локалку сервера.

[motcart]

В логах следующее:

TITLE,OpenVPN 2.4.8 [git:makepkg/3976acda9bf10b5e+] x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jan  3 2020
TIME,Sun May 17 22:28:21 2020,1589743701
HEADER,CLIENT_LIST,Common Name,Real Address,Virtual Address,Virtual IPv6 Address,Bytes Received,Bytes Sent,Connected Since,Connected Since (time_t),Username,Client ID,Peer ID
CLIENT_LIST,laptop,85.140.2.61:4451,10.8.0.10,,619151,1064223,Sun May 17 22:21:55 2020,1589743315,UNDEF,3,2
CLIENT_LIST,redmi-s2,85.140.2.61:32721,10.8.0.13,,5917,7094,Sun May 17 22:20:00 2020,1589743200,UNDEF,2,0
HEADER,ROUTING_TABLE,Virtual Address,Common Name,Real Address,Last Ref,Last Ref (time_t)
ROUTING_TABLE,10.8.0.10,laptop,85.140.2.61:4451,Sun May 17 22:28:20 2020,1589743700
ROUTING_TABLE,10.8.0.13,redmi-s2,85.140.2.61:32721,Sun May 17 22:20:01 2020,1589743201
GLOBAL_STATS,Max bcast/mcast queue length,2
END

[Nikita]

motcart, Это список клиентов, а не лог сервера

[motcart]

Nikita, виноват, это был статус-лог. Вот лог работы:

OpenVPN 2.4.8 [git:makepkg/3976acda9bf10b5e+] x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on Jan  3 2020
library versions: OpenSSL 1.1.1d  10 Sep 2019, LZO 2.10
Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
TUN/TAP device tun0 opened
/usr/bin/ip link set dev tun0 up mtu 1500
/usr/bin/ip addr add dev tun0 local 10.8.0.1 peer 10.8.0.2
Could not determine IPv4/IPv6 protocol. Using AF_INET
UDPv4 link local (bound): [AF_INET][undef]:53
UDPv4 link remote: [AF_UNSPEC]
ifconfig_pool_read(), in='client1,10.8.0.4', TODO: IPv6
succeeded -> ifconfig_pool_set()
ifconfig_pool_read(), in='laptop,10.8.0.8', TODO: IPv6
succeeded -> ifconfig_pool_set()
ifconfig_pool_read(), in='redmi-s2,10.8.0.12', TODO: IPv6
succeeded -> ifconfig_pool_set()
ifconfig_pool_read(), in='one-pc,10.8.0.16', TODO: IPv6
succeeded -> ifconfig_pool_set()
ifconfig_pool_read(), in='samsung,10.8.0.20', TODO: IPv6
succeeded -> ifconfig_pool_set()
ifconfig_pool_read(), in='two-pc,10.8.0.24', TODO: IPv6
succeeded -> ifconfig_pool_set()
ifconfig_pool_read(), in='samsung,10.8.0.28', TODO: IPv6
succeeded -> ifconfig_pool_set()
Initialization Sequence Completed
85.140.2.61:34000 VERIFY OK: depth=1, CN=Easy-RSA CA
85.140.2.61:34000 VERIFY KU OK
85.140.2.61:34000 Validating certificate extended key usage
85.140.2.61:34000 ++ Certificate has EKU (str) TLS Web Client Authentication, expects TLS Web Client Authentication
85.140.2.61:34000 VERIFY EKU OK
85.140.2.61:34000 VERIFY OK: depth=0, CN=redmi-s2
85.140.2.61:34000 peer info: IV_GUI_VER=OC30Android
85.140.2.61:34000 peer info: IV_VER=3.git::728733ae:Release
85.140.2.61:34000 peer info: IV_PLAT=android
85.140.2.61:34000 peer info: IV_IPv6=0
85.140.2.61:34000 peer info: IV_AUTO_SESS=1
85.140.2.61:34000 Outgoing Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
85.140.2.61:34000 Outgoing Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
85.140.2.61:34000 Incoming Data Channel: Cipher 'AES-256-CBC' initialized with 256 bit key
85.140.2.61:34000 Incoming Data Channel: Using 160 bit message hash 'SHA1' for HMAC authentication
85.140.2.61:34000 Control Channel: TLSv1.2, cipher SSLv3 DHE-RSA-AES256-SHA, 2048 bit RSA
85.140.2.61:34000 [redmi-s2] Peer Connection Initiated with [AF_INET]85.140.2.61:34000
85.140.2.61:3831 VERIFY OK: depth=1, CN=Easy-RSA CA
85.140.2.61:3831 VERIFY KU OK
85.140.2.61:3831 Validating certificate extended key usage
85.140.2.61:3831 ++ Certificate has EKU (str) TLS Web Client Authentication, expects TLS Web Client Authentication
85.140.2.61:3831 VERIFY EKU OK
85.140.2.61:3831 VERIFY OK: depth=0, CN=laptop
85.140.2.61:3831 peer info: IV_VER=2.4.9
85.140.2.61:3831 peer info: IV_PLAT=linux
85.140.2.61:3831 peer info: IV_PROTO=2
85.140.2.61:3831 peer info: IV_NCP=2
85.140.2.61:3831 peer info: IV_LZ4=1
85.140.2.61:3831 peer info: IV_LZ4v2=1
85.140.2.61:3831 peer info: IV_LZO=1
85.140.2.61:3831 peer info: IV_COMP_STUB=1
85.140.2.61:3831 peer info: IV_COMP_STUBv2=1
85.140.2.61:3831 peer info: IV_TCPNL=1
85.140.2.61:3831 Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, 2048 bit RSA
85.140.2.61:3831 [laptop] Peer Connection Initiated with [AF_INET]85.140.2.61:3831
laptop/85.140.2.61:3831 Data Channel: using negotiated cipher 'AES-256-GCM'
laptop/85.140.2.61:3831 Outgoing Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key
laptop/85.140.2.61:3831 Incoming Data Channel: Cipher 'AES-256-GCM' initialized with 256 bit key

[motcart]

С ноутбука интернет через впн, зато есть доступ к локалке впна 10.8.0.* и к локалке сервера 192.168.8.*.
На андроидах интернет мимо впн, но локалка только через 10.8.0.*. Доступ к 192.168.8.* обязательно нужен, т. к. там есть оборудование на котором впн не возможен, но доступ нужен.

[Nikita]

motcart, Странное поведение, будто с конфигом что-то. Покажите его

[motcart]

Nikita, вот конфиг

port 53
proto udp
dev tun
server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

keepalive 10 120
remote-cert-tls client
cipher AES-256-CBC

persist-key
persist-tun

status openvpn-status.log
verb 2
explicit-exit-notify 1
key-direction 0
client-config-dir /etc/openvpn/ccd/
log /var/log/openvpn.log

[Nikita]

motcart, Я не уверен, но попробуйте убрать ifconfig-pool-persist.

[motcart]

Nikita, убрал, но ничего не изменилось.

[Nikita]

motcart, Еще раз, вам нужно получить доступ к локальной сети VPN сервера ? Попробуйте ответ из этого вопроса Доступ к локальной сети через OpenVPN server. Маршрутизация

[motcart]

По ссылке почти помогло. Добавил:
push "route 192.168.0.0 255.255.255.0"
Теперь андроиды все ходят в интернет мимо впн, а в локалку через впн.
Ноут все равно лезет в интерет через впн, локалка работает через впн.

[Nikita]

motcart, А в клиентском конфиге ноута что ?

[motcart]

Nikita, конфиг на клиентах одинаковый

client
remote *************
port 53
dev tun
proto udp
resolv-retry infinite
nobind
 
persist-key
persist-tun

;mute-replay-warnings
 
remote-cert-tls server
cipher AES-256-CBC
verb 3
key-direction 1

[Nikita]

motcart, В таком случае я даже не знаю. Почему такое поведение на разных девайсах

[motcart]

Nikita, в общем решение такое. Конфиг сервера:

port 53
proto udp
dev tun

server 10.8.0.0 255.255.255.0
;ifconfig-pool-persist ipp.txt

push "autolocal def1 bypass-dhcp"
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.8.0 255.255.255.0"

ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/servername.crt
key /etc/openvpn/certs/servername.key
dh /etc/openvpn/certs/dh2048.pem

keepalive 10 120
remote-cert-tls client
tls-auth /etc/openvpn/certs/ta.key
cipher AES-256-CBC

persist-key
persist-tun

;compress lz4-v2
;push "compress lz4-v2"
;max-clients 100

status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 4

explicit-exit-notify 1
key-direction 0

Вся проблема была в Networkmanager-е или его плагине для openvpn. Если запускать напрямую
sudo openvpn /etc/openvpn/client/client.conf
все сразу работает - интернет напрямую, локальный трафик к серверу и его подсетям через впн.

Ваш первый ответ был верным

"Убрать с конфига сервера параметр push "redirect-gateway def1" "

[Nikita]

motcart, Отлично, рад что все решилось.