Как перенаправить трафик одного сайта
-
@rubic said in Как перенаправить трафик одного сайта:
тогда проблема должна решаться не на pfSense, а на компьютере домашней сети. На pfSense вы можете только установить
Redirect IPv4 Gateway (Force all client-generated IPv4 traffic through the tunnel) в настройках OpenVPN сервера,Хм. На работе сервер тоже Server Remote Access (ssl/tls+user auth). Redirect IPv4 Gateway (Force all client-generated IPv4 traffic through the tunnel) не включен. Соответственно трафик через OpenVPN ходит только в нужные офисные сети.
Однако если в конфиг клиента добавить
redirect-gateway def1
весь "интеренет домашнего компа" идет через офис. -
@pigbrother вариант с направлением всего домашнего трафика через офис не очень хочется. Должен же быть способ настроить редирект только для одного сайта?
-
@len1n89 А если попробовать в настройках сервера в разделе Client Specific Overrides в разделе Local networks указать адрес нужного сайта .
Тогда , по логике, в таблице маршрутизации клиента будет указано, что на нужный сайт надо "лезть" через openvpn- интерфейс. -
@Konstanti Попробовал создать юзера в Client Specific Overrides, прописал туда сеть в IPv4 Local Network/s (не адрес, only valid ipv4 CIDR range(s)) не помогло, возможно я не знаю какая маска должна быть. Для теста еще поставил для
этого юзера галочку Force all client generated traffic through the tunnel, переподключился к vpn, тоже не помогло, сайт как не открывался так и не открывается. -
@len1n89
Для начала попробуйте "ручками " со стороны клиента прописать статический маршрут до сайте через OpenVpn туннель.
или вот так сделать в настройках сервера
Во втором варианте все клиенты сервера получат этот маршрут
Проверить можно ,посмотрев таблицу маршрутизации клиента
Если маршрут присутствует , а связи нет
tcpdump Вам в помощь
Контрольные точки
1 openvpn интерфейс клиента
2 openvpn интерфейс сервера
3 WAN интерфейс сервера -
@len1n89 said in Как перенаправить трафик одного сайта:
@Konstanti Попробовал создать юзера в Client Specific Overrides, прописал туда сеть в IPv4 Local Network/s (не адрес, only valid ipv4 CIDR range(s)) не помогло, возможно я не знаю какая маска должна быть. Для теста еще поставил для
этого юзера галочку Force all client generated traffic through the tunnel, переподключился к vpn, тоже не помогло, сайт как не открывался так и не открывается.Client Specific Overrides работает только в SSL/TLS режимах OpenVPN сервера (Server mode в настройках)
Для клиента OpenVPN нужен Outbound NAT на pfSense чтобы он мог попадать на сайт через туннель -
@rubic вот не выдумывайте фигни. Роутинг на стороне клиента настраивайте в конфиге. Если редирект gw работает. То и /32 подсеть замаршрутизировать тоже сработает...
-
@dragoangel Если подсети OpenVPN-клиента нет в NAT Outbound, перенаправления не будет. Другое дело, что сам PF создает для этого нужную запись во всех режимах NAT, кроме Manual Outbound NAT и Disable Outbound NAT.
-
@pigbrother я это и имел ввиду
-
А никто не подумал, что проблемный сайт из дома у ТС открываться не будет ПО ИМЕНИ даже через ВПН, пока домашний ДНС-трафик в этот туннель не завернут? Или пока в настройках браузера\сетевых настройках дома у ТС не начать использовать DNSSec, DoH etc?
Обычные DNS-запросы провайдер может на себя "заворачивать", выдавая адрес "заглушки" вместо имени сайта.Это проверить легко. Сбросить дома кеш ДНС + кеш браузера, поднять ВПН и обратиться к сайту по ip.
-
@werter said in Как перенаправить трафик одного сайта:
Или пока в настройках браузера\сетевых настройках дома у ТС не начать использовать DNSSec, DoH etc?
ТС может обойтись OpenVPN и для DNS - для этого есть директива block-outside-dns.
-
@pigbrother
опция block-outside-dns корректно обрабатывается только в ОС Windows
Если ТС захочет настроить доступ к сайту НЕ с ОС Вин - фокус не пройдет.В итоге. Или ЯВНО заворачивать днс в впн или пользовать секурный ДНС на выбор.
-
@dragoangel я где-то писал обратное? поясните вашу глубокую мысль пожалуйста