Как перенаправить трафик одного сайта

viktor_g

Клиентом у вас тоже pfSense?

Тогда делается через policy-routing: https://docs.netgate.com/pfsense/en/latest/book/multiwan/policy-routing-configuration.html

опишите подробнее сеть

len1n89

@rubic pfsense на работе стоит

len1n89

@viktor_g Как бы просто сеть офиса в одном городе, сеть второго офиса в другом городе. VPN между офисами настроен на cisco asa. Отдельно поднят OpenVPN на pfsense для подключения из дома сотрудников к офисной сети. :
Server mode: Remote Access (ssl/tls+user auth)
udp
Device mode: tun
local port 1194
TLS authenticationEnable authentication of TLS packets.
IPv4 Tunnel Network: 192.168.161.0/24
IPv4 Local network(s): 192.168.158.0/24,192.158.161.0/24
Inter-client communicationAllow communication between clients connected to this server

Соответственно юзеры подключаются через OpenVPN

rubic

@len1n89 тогда проблема должна решаться не на pfSense, а на компьютере домашней сети. На pfSense вы можете только установить
Redirect IPv4 Gateway (Force all client-generated IPv4 traffic through the tunnel) в настройках OpenVPN сервера, если вас это устроит (весь интеренет домашнего компа в этом случае пойдет через рабочую сеть)

pigbrother

@rubic said in Как перенаправить трафик одного сайта:

тогда проблема должна решаться не на pfSense, а на компьютере домашней сети. На pfSense вы можете только установить
Redirect IPv4 Gateway (Force all client-generated IPv4 traffic through the tunnel) в настройках OpenVPN сервера,

Хм. На работе сервер тоже Server Remote Access (ssl/tls+user auth). Redirect IPv4 Gateway (Force all client-generated IPv4 traffic through the tunnel) не включен. Соответственно трафик через OpenVPN ходит только в нужные офисные сети.
Однако если в конфиг клиента добавить
redirect-gateway def1
весь "интеренет домашнего компа" идет через офис.

len1n89

@pigbrother вариант с направлением всего домашнего трафика через офис не очень хочется. Должен же быть способ настроить редирект только для одного сайта?

Konstanti

@len1n89 А если попробовать в настройках сервера в разделе Client Specific Overrides в разделе Local networks указать адрес нужного сайта .
Тогда , по логике, в таблице маршрутизации клиента будет указано, что на нужный сайт надо "лезть" через openvpn- интерфейс.

len1n89

@Konstanti Попробовал создать юзера в Client Specific Overrides, прописал туда сеть в IPv4 Local Network/s (не адрес, only valid ipv4 CIDR range(s)) не помогло, возможно я не знаю какая маска должна быть. Для теста еще поставил для
этого юзера галочку Force all client generated traffic through the tunnel, переподключился к vpn, тоже не помогло, сайт как не открывался так и не открывается.

Konstanti

@len1n89
Для начала попробуйте "ручками " со стороны клиента прописать статический маршрут до сайте через OpenVpn туннель.
или вот так сделать в настройках сервера

Во втором варианте все клиенты сервера получат этот маршрут
Проверить можно ,посмотрев таблицу маршрутизации клиента
Если маршрут присутствует , а связи нет
tcpdump Вам в помощь
Контрольные точки
1 openvpn интерфейс клиента
2 openvpn интерфейс сервера
3 WAN интерфейс сервера

rubic

@len1n89 said in Как перенаправить трафик одного сайта:

@Konstanti Попробовал создать юзера в Client Specific Overrides, прописал туда сеть в IPv4 Local Network/s (не адрес, only valid ipv4 CIDR range(s)) не помогло, возможно я не знаю какая маска должна быть. Для теста еще поставил для
этого юзера галочку Force all client generated traffic through the tunnel, переподключился к vpn, тоже не помогло, сайт как не открывался так и не открывается.

Client Specific Overrides работает только в SSL/TLS режимах OpenVPN сервера (Server mode в настройках)
Для клиента OpenVPN нужен Outbound NAT на pfSense чтобы он мог попадать на сайт через туннель

dragoangel

@rubic вот не выдумывайте фигни. Роутинг на стороне клиента настраивайте в конфиге. Если редирект gw работает. То и /32 подсеть замаршрутизировать тоже сработает...

pigbrother

@dragoangel Если подсети OpenVPN-клиента нет в NAT Outbound, перенаправления не будет. Другое дело, что сам PF создает для этого нужную запись во всех режимах NAT, кроме Manual Outbound NAT и Disable Outbound NAT.

dragoangel

@pigbrother я это и имел ввиду

werter

А никто не подумал, что проблемный сайт из дома у ТС открываться не будет ПО ИМЕНИ даже через ВПН, пока домашний ДНС-трафик в этот туннель не завернут? Или пока в настройках браузера\сетевых настройках дома у ТС не начать использовать DNSSec, DoH etc?
Обычные DNS-запросы провайдер может на себя "заворачивать", выдавая адрес "заглушки" вместо имени сайта.

Это проверить легко. Сбросить дома кеш ДНС + кеш браузера, поднять ВПН и обратиться к сайту по ip.

pigbrother

@werter said in Как перенаправить трафик одного сайта:

Или пока в настройках браузера\сетевых настройках дома у ТС не начать использовать DNSSec, DoH etc?

ТС может обойтись OpenVPN и для DNS - для этого есть директива block-outside-dns.

werter

@pigbrother
опция block-outside-dns корректно обрабатывается только в ОС Windows
Если ТС захочет настроить доступ к сайту НЕ с ОС Вин - фокус не пройдет.

В итоге. Или ЯВНО заворачивать днс в впн или пользовать секурный ДНС на выбор.

rubic

@dragoangel я где-то писал обратное? поясните вашу глубокую мысль пожалуйста