Как перенаправить трафик одного сайта
-
Есть рабочая сеть. Есть определенный сайт, где нибудь в Америке. Этот сайт открывается только из рабочей сети. Соответственно, из домашней сети, через openvpn сайт не открывается. Я немного нуб в этом деле, никак не пойму что надо настроить в pfsence, что бы трафик к этому сайту шел через тоннель? Пробовал добавлять алиас с адресом сайта и правило в фаервол, не помогло.
-
@len1n89 pfSense у вас дома стоит или на работе?
-
Клиентом у вас тоже pfSense?
Тогда делается через policy-routing: https://docs.netgate.com/pfsense/en/latest/book/multiwan/policy-routing-configuration.html
опишите подробнее сеть
-
@rubic pfsense на работе стоит
-
@viktor_g Как бы просто сеть офиса в одном городе, сеть второго офиса в другом городе. VPN между офисами настроен на cisco asa. Отдельно поднят OpenVPN на pfsense для подключения из дома сотрудников к офисной сети. :
Server mode: Remote Access (ssl/tls+user auth)
udp
Device mode: tun
local port 1194
TLS authenticationEnable authentication of TLS packets.
IPv4 Tunnel Network: 192.168.161.0/24
IPv4 Local network(s): 192.168.158.0/24,192.158.161.0/24
Inter-client communicationAllow communication between clients connected to this serverСоответственно юзеры подключаются через OpenVPN
-
@len1n89 тогда проблема должна решаться не на pfSense, а на компьютере домашней сети. На pfSense вы можете только установить
Redirect IPv4 Gateway (Force all client-generated IPv4 traffic through the tunnel) в настройках OpenVPN сервера, если вас это устроит (весь интеренет домашнего компа в этом случае пойдет через рабочую сеть) -
@rubic said in Как перенаправить трафик одного сайта:
тогда проблема должна решаться не на pfSense, а на компьютере домашней сети. На pfSense вы можете только установить
Redirect IPv4 Gateway (Force all client-generated IPv4 traffic through the tunnel) в настройках OpenVPN сервера,Хм. На работе сервер тоже Server Remote Access (ssl/tls+user auth). Redirect IPv4 Gateway (Force all client-generated IPv4 traffic through the tunnel) не включен. Соответственно трафик через OpenVPN ходит только в нужные офисные сети.
Однако если в конфиг клиента добавить
redirect-gateway def1
весь "интеренет домашнего компа" идет через офис. -
@pigbrother вариант с направлением всего домашнего трафика через офис не очень хочется. Должен же быть способ настроить редирект только для одного сайта?
-
@len1n89 А если попробовать в настройках сервера в разделе Client Specific Overrides в разделе Local networks указать адрес нужного сайта .
Тогда , по логике, в таблице маршрутизации клиента будет указано, что на нужный сайт надо "лезть" через openvpn- интерфейс. -
@Konstanti Попробовал создать юзера в Client Specific Overrides, прописал туда сеть в IPv4 Local Network/s (не адрес, only valid ipv4 CIDR range(s)) не помогло, возможно я не знаю какая маска должна быть. Для теста еще поставил для
этого юзера галочку Force all client generated traffic through the tunnel, переподключился к vpn, тоже не помогло, сайт как не открывался так и не открывается. -
@len1n89
Для начала попробуйте "ручками " со стороны клиента прописать статический маршрут до сайте через OpenVpn туннель.
или вот так сделать в настройках сервера
Во втором варианте все клиенты сервера получат этот маршрут
Проверить можно ,посмотрев таблицу маршрутизации клиента
Если маршрут присутствует , а связи нет
tcpdump Вам в помощь
Контрольные точки
1 openvpn интерфейс клиента
2 openvpn интерфейс сервера
3 WAN интерфейс сервера -
@len1n89 said in Как перенаправить трафик одного сайта:
@Konstanti Попробовал создать юзера в Client Specific Overrides, прописал туда сеть в IPv4 Local Network/s (не адрес, only valid ipv4 CIDR range(s)) не помогло, возможно я не знаю какая маска должна быть. Для теста еще поставил для
этого юзера галочку Force all client generated traffic through the tunnel, переподключился к vpn, тоже не помогло, сайт как не открывался так и не открывается.Client Specific Overrides работает только в SSL/TLS режимах OpenVPN сервера (Server mode в настройках)
Для клиента OpenVPN нужен Outbound NAT на pfSense чтобы он мог попадать на сайт через туннель -
@rubic вот не выдумывайте фигни. Роутинг на стороне клиента настраивайте в конфиге. Если редирект gw работает. То и /32 подсеть замаршрутизировать тоже сработает...
-
@dragoangel Если подсети OpenVPN-клиента нет в NAT Outbound, перенаправления не будет. Другое дело, что сам PF создает для этого нужную запись во всех режимах NAT, кроме Manual Outbound NAT и Disable Outbound NAT.
-
@pigbrother я это и имел ввиду
-
А никто не подумал, что проблемный сайт из дома у ТС открываться не будет ПО ИМЕНИ даже через ВПН, пока домашний ДНС-трафик в этот туннель не завернут? Или пока в настройках браузера\сетевых настройках дома у ТС не начать использовать DNSSec, DoH etc?
Обычные DNS-запросы провайдер может на себя "заворачивать", выдавая адрес "заглушки" вместо имени сайта.Это проверить легко. Сбросить дома кеш ДНС + кеш браузера, поднять ВПН и обратиться к сайту по ip.
-
@werter said in Как перенаправить трафик одного сайта:
Или пока в настройках браузера\сетевых настройках дома у ТС не начать использовать DNSSec, DoH etc?
ТС может обойтись OpenVPN и для DNS - для этого есть директива block-outside-dns.
-
@pigbrother
опция block-outside-dns корректно обрабатывается только в ОС Windows
Если ТС захочет настроить доступ к сайту НЕ с ОС Вин - фокус не пройдет.В итоге. Или ЯВНО заворачивать днс в впн или пользовать секурный ДНС на выбор.
-
@dragoangel я где-то писал обратное? поясните вашу глубокую мысль пожалуйста