Как отключить перенаправление трафика через tun интефейс (OpenVPN)

sander	# 4 года, 6 месяцев назад (отредактировано 4 года, 6 месяцев назад)
Темы: 19 Сообщения: 65 Участник с: 16 февраля 2014	Ситуация такая. Мне VPN провайдер выдал конфигурацию openvpn. По умолчанию, если я подключаюсь через `# openvpn client.ovpn` , создаётся tun интефейс и прописывается маршрут по умолчанию в интернет через туннель openvpn. И соответственно в интернет выхожу с адреса vpn сервера. Мне такие радости не нужны. От openvpn мне нужна только виртуальная сеть клиентов. В интернет хочу выходить напрямую через своего родного провайдера. Пробовал прописывать статический маршрут через `route add 0.0.0.0 mask 0.0.0.0 gateway 192.168.1.1` работает только до перезапуска службы openvpn. Пробовал гуглить по настройке клиента, находил только информацию о том, что нужно редактировать конфигурацию самого сервера, а доступа у меня к нему нет. Я особо не вкурсе может можно как-то в свой клиентский конфиг дописать параметр аля "push "route 192.168.1.1" Буду благодарен за любую информацию.

# 4 года, 6 месяцев назад (отредактировано 4 года, 6 месяцев назад)

Сообщения: 65

Участник с: 16 февраля 2014

Ситуация такая. Мне VPN провайдер выдал конфигурацию openvpn. По умолчанию, если я подключаюсь через

# openvpn client.ovpn

, создаётся tun интефейс и прописывается маршрут по умолчанию в интернет через туннель openvpn. И соответственно в интернет выхожу с адреса vpn сервера. Мне такие радости не нужны. От openvpn мне нужна только виртуальная сеть клиентов. В интернет хочу выходить напрямую через своего родного провайдера. Пробовал прописывать статический маршрут через

 route add 0.0.0.0 mask 0.0.0.0 gateway 192.168.1.1

работает только до перезапуска службы openvpn. Пробовал гуглить по настройке клиента, находил только информацию о том, что нужно редактировать конфигурацию самого сервера, а доступа у меня к нему нет. Я особо не вкурсе может можно как-то в свой клиентский конфиг дописать параметр аля "push "route 192.168.1.1" Буду благодарен за любую информацию.

vs220	# 4 года, 6 месяцев назад
Темы: 22 Сообщения: 8070 Участник с: 16 августа 2009	Что то вроде https://habrahabr.ru/post/310646/ сам правда не пробовал

Natrio	# 4 года, 6 месяцев назад (отредактировано 4 года, 6 месяцев назад)
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Насколько я понимаю, роуты ваша клиентская часть OpenVPN получает от сервера, и в их числе приходит дефолтный роут в VPN. В этом случае всё просто – от сервера ваш клиент получает только адреса для роутов на туннель, а метрики вы можете спокойно задать в клиентском конфиге. Чем больше метрика, тем ниже приоритет роута среди роутов своей подсети, то есть ваш местный дефолтный роут станет более приоритетным, чем дефолтный роут в туннель. Чтобы изменить метрику получаемых от сервера роутов, нужно дописать в ваш client.ovpn строчку вида `route-metric 300` и перезапустить OpenVPN. Вместо 300 можете вписать любое число больше, чем у вашего "родного" дефолтного роута в интернет. В итоге у вас должно оказаться два дефолтный роута сразу, в интернет с меньшей метрикой (или без неё), и в туннель с заданным вами числом, примерно так: `$ ip route 192.168.1.1/24 dev eth0 scope link src 192.168.1.2 metric 100 10.11.12.13/24 dev tun0 scope link metric 300 default via 192.168.1.1 dev eth0 metric 100 default dev tun0 scope link metric 300` Если вы не видите одновременно оба роута, значит у них обоих метрика была равна нулю, и один заменялся другим. В этом случае сначала отключите OpenVPN, потом переподключитесь к своей сети, чтобы восстановился нормальный дефолтный роут, и после этого запустите уже перенастроенный OpenVPN.

Natrio

# 4 года, 6 месяцев назад (отредактировано 4 года, 6 месяцев назад)

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

Насколько я понимаю, роуты ваша клиентская часть OpenVPN получает от сервера, и в их числе приходит дефолтный роут в VPN.
В этом случае всё просто – от сервера ваш клиент получает только адреса для роутов на туннель, а метрики вы можете спокойно задать в клиентском конфиге.
Чем больше метрика, тем ниже приоритет роута среди роутов своей подсети, то есть ваш местный дефолтный роут станет более приоритетным, чем дефолтный роут в туннель.

Чтобы изменить метрику получаемых от сервера роутов, нужно дописать в ваш client.ovpn строчку вида

route-metric 300

и перезапустить OpenVPN.
Вместо 300 можете вписать любое число больше, чем у вашего "родного" дефолтного роута в интернет.
В итоге у вас должно оказаться два дефолтный роута сразу, в интернет с меньшей метрикой (или без неё), и в туннель с заданным вами числом, примерно так:

$ ip route
192.168.1.1/24 dev eth0 scope link src 192.168.1.2 metric 100
10.11.12.13/24 dev tun0 scope link metric 300
default via 192.168.1.1 dev eth0 metric 100
default dev tun0 scope link metric 300

Если вы не видите одновременно оба роута, значит у них обоих метрика была равна нулю, и один заменялся другим. В этом случае сначала отключите OpenVPN, потом переподключитесь к своей сети, чтобы восстановился нормальный дефолтный роут, и после этого запустите уже перенастроенный OpenVPN.

sander	# 4 года, 6 месяцев назад
Темы: 19 Сообщения: 65 Участник с: 16 февраля 2014	Natrio Насколько я понимаю, роуты ваша клиентская часть OpenVPN получает от сервера, и в их числе приходит дефолтный роут в VPN. В этом случае всё просто – от сервера ваш клиент получает только адреса для роутов на туннель, а метрики вы можете спокойно задать в клиентском конфиге. Чем больше метрика, тем ниже приоритет роута среди роутов своей подсети, то есть ваш местный дефолтный роут станет более приоритетным, чем дефолтный роут в туннель. Чтобы изменить метрику получаемых от сервера роутов, нужно дописать в ваш client.ovpn строчку вида `route-metric 300` и перезапустить OpenVPN. Вместо 300 можете вписать любое число больше, чем у вашего "родного" дефолтного роута в интернет. В итоге у вас должно оказаться два дефолтный роута сразу, в интернет с меньшей метрикой (или без неё), и в туннель с заданным вами числом, примерно так: `$ ip route 192.168.1.1/24 dev eth0 scope link src 192.168.1.2 metric 100 10.11.12.13/24 dev tun0 scope link metric 300 default via 192.168.1.1 dev eth0 metric 100 default dev tun0 scope link metric 300` Если вы не видите одновременно оба роута, значит у них обоих метрика была равна нулю, и один заменялся другим. В этом случае сначала отключите OpenVPN, потом переподключитесь к своей сети, чтобы восстановился нормальный дефолтный роут, и после этого запустите уже перенастроенный OpenVPN. Спасибо за подсказку. Загуглил про метрику, оказывается, помимо вашего параметра, существует еще такой параметр который просто отключает установку роута по умолчанию. Добавил в client.ovpn строку `route-nopull` Теперь vpn подсеть мне видна без роута интернет трафика. Задачу считаю решенной. Еще раз Спасибо за наводку!

sander

# 4 года, 6 месяцев назад

Темы: 19

Сообщения: 65

Участник с: 16 февраля 2014

Natrio
Насколько я понимаю, роуты ваша клиентская часть OpenVPN получает от сервера, и в их числе приходит дефолтный роут в VPN.
В этом случае всё просто – от сервера ваш клиент получает только адреса для роутов на туннель, а метрики вы можете спокойно задать в клиентском конфиге.
Чем больше метрика, тем ниже приоритет роута среди роутов своей подсети, то есть ваш местный дефолтный роут станет более приоритетным, чем дефолтный роут в туннель.

Чтобы изменить метрику получаемых от сервера роутов, нужно дописать в ваш client.ovpn строчку вида
route-metric 300
и перезапустить OpenVPN.
Вместо 300 можете вписать любое число больше, чем у вашего "родного" дефолтного роута в интернет.
В итоге у вас должно оказаться два дефолтный роута сразу, в интернет с меньшей метрикой (или без неё), и в туннель с заданным вами числом, примерно так:
$ ip route
192.168.1.1/24 dev eth0 scope link src 192.168.1.2 metric 100
10.11.12.13/24 dev tun0 scope link metric 300
default via 192.168.1.1 dev eth0 metric 100
default dev tun0 scope link metric 300
Если вы не видите одновременно оба роута, значит у них обоих метрика была равна нулю, и один заменялся другим. В этом случае сначала отключите OpenVPN, потом переподключитесь к своей сети, чтобы восстановился нормальный дефолтный роут, и после этого запустите уже перенастроенный OpenVPN.

Спасибо за подсказку. Загуглил про метрику, оказывается, помимо вашего параметра, существует еще такой параметр который просто отключает установку роута по умолчанию.
Добавил в client.ovpn строку

route-nopull

Теперь vpn подсеть мне видна без роута интернет трафика.
Задачу считаю решенной. Еще раз Спасибо за наводку!

Natrio	# 4 года, 6 месяцев назад
Темы: 47 Сообщения: 4763 Участник с: 08 января 2011	Рад за вас, но насколько я понял, эта опция отключает приём от сервера вообще всех роутов, а не только дефолтного. Единственный роут в туннель, который у вас остаётся – автоматически создаваемый при назначении адреса (или подсети) интерфейсу tun0. К примеру, если вы (в консоли от рута) выполните команду `ip addr add 10.11.12.13/24 dev tun0` она не только добавит интерфейсу адрес 10.11.12.13 с подсетью /24, но ещё и создаст роут, направляющий подсеть 10.11.12.0/24 в туннель. Поскольку адрес и подсеть передаются сервером OpenVPN отдельно от роутов, опция route-nopull не помешает этому единственному роуту появиться так же, как при выполнении этой команды. Если вам его достаточно, вы действительно решили проблему. В противном случае однажды вы обнаружите, что вам недоступны некоторые адреса VPN, находящиеся в других подсетях.

Natrio

# 4 года, 6 месяцев назад

Темы: 47

Сообщения: 4763

Участник с: 08 января 2011

Рад за вас, но насколько я понял, эта опция отключает приём от сервера вообще всех роутов, а не только дефолтного.
Единственный роут в туннель, который у вас остаётся – автоматически создаваемый при назначении адреса (или подсети) интерфейсу tun0.

К примеру, если вы (в консоли от рута) выполните команду

ip addr add 10.11.12.13/24 dev tun0

она не только добавит интерфейсу адрес 10.11.12.13 с подсетью /24, но ещё и создаст роут, направляющий подсеть 10.11.12.0/24 в туннель.

Поскольку адрес и подсеть передаются сервером OpenVPN отдельно от роутов, опция route-nopull не помешает этому единственному роуту появиться так же, как при выполнении этой команды.

Если вам его достаточно, вы действительно решили проблему.
В противном случае однажды вы обнаружите, что вам недоступны некоторые адреса VPN, находящиеся в других подсетях.