Как перенаправить трафик одного сайта



  • Есть рабочая сеть. Есть определенный сайт, где нибудь в Америке. Этот сайт открывается только из рабочей сети. Соответственно, из домашней сети, через openvpn сайт не открывается. Я немного нуб в этом деле, никак не пойму что надо настроить в pfsence, что бы трафик к этому сайту шел через тоннель? Пробовал добавлять алиас с адресом сайта и правило в фаервол, не помогло.



  • @len1n89 pfSense у вас дома стоит или на работе?


  • Global Moderator

    Клиентом у вас тоже pfSense?

    Тогда делается через policy-routing: https://docs.netgate.com/pfsense/en/latest/book/multiwan/policy-routing-configuration.html

    опишите подробнее сеть



  • @rubic pfsense на работе стоит



  • @viktor_g Как бы просто сеть офиса в одном городе, сеть второго офиса в другом городе. VPN между офисами настроен на cisco asa. Отдельно поднят OpenVPN на pfsense для подключения из дома сотрудников к офисной сети. :
    Server mode: Remote Access (ssl/tls+user auth)
    udp
    Device mode: tun
    local port 1194
    TLS authenticationEnable authentication of TLS packets.
    IPv4 Tunnel Network: 192.168.161.0/24
    IPv4 Local network(s): 192.168.158.0/24,192.158.161.0/24
    Inter-client communicationAllow communication between clients connected to this server

    Соответственно юзеры подключаются через OpenVPN



  • @len1n89 тогда проблема должна решаться не на pfSense, а на компьютере домашней сети. На pfSense вы можете только установить
    Redirect IPv4 Gateway (Force all client-generated IPv4 traffic through the tunnel) в настройках OpenVPN сервера, если вас это устроит (весь интеренет домашнего компа в этом случае пойдет через рабочую сеть)



  • @rubic said in Как перенаправить трафик одного сайта:

    тогда проблема должна решаться не на pfSense, а на компьютере домашней сети. На pfSense вы можете только установить
    Redirect IPv4 Gateway (Force all client-generated IPv4 traffic through the tunnel) в настройках OpenVPN сервера,

    Хм. На работе сервер тоже Server Remote Access (ssl/tls+user auth). Redirect IPv4 Gateway (Force all client-generated IPv4 traffic through the tunnel) не включен. Соответственно трафик через OpenVPN ходит только в нужные офисные сети.
    Однако если в конфиг клиента добавить
    redirect-gateway def1
    весь "интеренет домашнего компа" ☺ идет через офис.



  • @pigbrother вариант с направлением всего домашнего трафика через офис не очень хочется. Должен же быть способ настроить редирект только для одного сайта?



  • @len1n89 А если попробовать в настройках сервера в разделе Client Specific Overrides в разделе Local networks указать адрес нужного сайта .
    Тогда , по логике, в таблице маршрутизации клиента будет указано, что на нужный сайт надо "лезть" через openvpn- интерфейс.



  • @Konstanti Попробовал создать юзера в Client Specific Overrides, прописал туда сеть в IPv4 Local Network/s (не адрес, only valid ipv4 CIDR range(s)) не помогло, возможно я не знаю какая маска должна быть. Для теста еще поставил для
    этого юзера галочку Force all client generated traffic through the tunnel, переподключился к vpn, тоже не помогло, сайт как не открывался так и не открывается.



  • @len1n89
    Для начала попробуйте "ручками " со стороны клиента прописать статический маршрут до сайте через OpenVpn туннель.
    или вот так сделать в настройках сервера
    caa2b17a-9134-4f5c-a55f-f22e9b4e83f5-image.png

    Во втором варианте все клиенты сервера получат этот маршрут
    Проверить можно ,посмотрев таблицу маршрутизации клиента
    Если маршрут присутствует , а связи нет
    tcpdump Вам в помощь
    Контрольные точки
    1 openvpn интерфейс клиента
    2 openvpn интерфейс сервера
    3 WAN интерфейс сервера



  • @len1n89 said in Как перенаправить трафик одного сайта:

    @Konstanti Попробовал создать юзера в Client Specific Overrides, прописал туда сеть в IPv4 Local Network/s (не адрес, only valid ipv4 CIDR range(s)) не помогло, возможно я не знаю какая маска должна быть. Для теста еще поставил для
    этого юзера галочку Force all client generated traffic through the tunnel, переподключился к vpn, тоже не помогло, сайт как не открывался так и не открывается.

    Client Specific Overrides работает только в SSL/TLS режимах OpenVPN сервера (Server mode в настройках)
    Для клиента OpenVPN нужен Outbound NAT на pfSense чтобы он мог попадать на сайт через туннель



  • @rubic вот не выдумывайте фигни. Роутинг на стороне клиента настраивайте в конфиге. Если редирект gw работает. То и /32 подсеть замаршрутизировать тоже сработает...



  • @dragoangel Если подсети OpenVPN-клиента нет в NAT Outbound, перенаправления не будет. Другое дело, что сам PF создает для этого нужную запись во всех режимах NAT, кроме Manual Outbound NAT и Disable Outbound NAT.



  • @pigbrother я это и имел ввиду


Log in to reply