Поможете настроить OpenVPN строго для связи локальных сетей?

Есть две сетки: 192.168.1.0, 192.168.2.0 и 192.168.5.0
Во второй сетке запущена виртуалка с openvpn-server на debian.
Клиенты к ovpn подключаются, но через туннель идет весь трафик... вместе с интернетом. Нужно пускать через туннель только трафик локальных сети за туннелем (RDP, Radmin, подключение к серверу 1С), а всякие вконтактики и ютубчики шли через "местный" интернет клиента.

server.conf

local 192.168.2.104
port 1194
proto udp
dev tun
;sndbuf 393216
;rcvbuf 393216
;push "sndbuf 393216"
;push "rcvbuf 393216"
ca easy-rsa/pki/ca.crt
cert easy-rsa/pki/issued/.crt
key easy-rsa/pki/private/.key
dh easy-rsa/pki/dh.pem
crl-verify easy-rsa/pki/crl.pem
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd
push "route 192.168.2.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.5.0 255.255.255.0"
;push "redirect-gateway local def1"
push "redirect-gateway def1 bypass-dhcp"
push "route-gateway dhcp"
push "dhcp-option DNS 8.8.8.8"
;push "dhcp-option DNS 10.8.0.1"
;client-to-client
keepalive 10 120
tls-server
tls-timeout 120
auth SHA512
tls-auth easy-rsa/pki/tls.key 0
cipher AES-256-CBC
comp-lzo adaptive
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
log /var/log/openvpn.log
verb 3
mute 10
script-security 2
up up.sh
down down.sh
askpass server.pass

восстанавливаемый iptables при поднятии туннелья

GNU nano 3.2 /etc/openvpn/iptables

# Generated by xtables-save v1.8.2 on Thu Oct 8 10:31:09 2020
* filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i tun0 -o ens32 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ens32 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Thu Oct 8 10:31:09 2020
# Generated by xtables-save v1.8.2 on Thu Oct 8 10:31:09 2020
* nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o ens32 -j MASQUERADE
COMMIT
# Completed on Thu Oct 8 10:31:09 2020


Товарищей знатоков прошу помочь)
  • Вопрос задан
  • 207 просмотров
Решения вопроса 1
astrave
@astrave Автор вопроса
Нашел ответ сам. Нужно было в конфигурации сервера убрать эти 2 строчки. Одна выставляет по умолчанию гетвеем ovpn сервер, а вторая передает ему DNS.
push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы