Open VPN на LAN интерфейсе, частичная маршрутизация



  • привет!

    Есть такая задача, что бы на LAN интерфейса был OPENVPN server и внутрь тунеля поместить только трафик который идет наружу (в интернет), а весь трафик, который внутри сети не попадал в тунель. Некий аналог split tun в Cisco. Как это организоват ?



  • @alexniko Добрый вечер
    По-моему , тут не все так сложно , на WAN интерфейсе разворачиваете OPENVPN сервер , и к нему подсоединяются клиенты из внутренней сети (LAN) .
    Тогда весь трафик , который не принадлежит сети LAN NET , пойдет через tun интерфейс. А трафик для внутренней сети будет бегать напрямую между хостами незашифрованным .



  • @konstanti said in Open VPN на LAN интерфейсе, частичная маршрутизация:

    @alexniko Добрый вечер
    По-моему , тут не все так сложно , на WAN интерфейсе разворачиваете OPENVPN сервер , и к нему подсоединяются клиенты из внутренней сети (LAN) .
    Тогда весь трафик , который не принадлежит сети LAN NET , пойдет через tun интерфейс. А трафик для внутренней сети будет бегать напрямую между хостами незашифрованным .

    @Konstanti прав. Трафик между хостами LAN по умолчанию в pfSense вообще не попадает. Другое дело, если LAN несколько и pfSense является для них маршрутизатором, но и тогда трафик будет ходить не попадая ы туннель.



  • @pigbrother Доброе утро
    Для других сетей именно попадет в туннель , а потом выйдя из туннеля будет отмаршрутизирован PF по назначению.
    В качестве примера
    1 traceroute без OPENVPN
    2 traceroute с включенным OPENVPN
    0_1542696956117_29e851ff-1481-4880-a150-7f023b1fe112-image.png

    Естественно это работает при условии , что эти другие сети не прописаны явно в таблице маршрутизации хоста