Redirigir el Default Gateway en OpenVPN sobre OPNsense

Estimados lectores ha pasado ya un buen tiempo desde que no escribo aquí, ya va siendo hora ¿no? Pues bien, hoy os traigo una entrada para ver cómo Redirigir el Default Gateway en OpenVPN sobre OPNsense o mejor dicho, forzar que todo el tráfico excepto la red local viaje por el interfaz de túnel.

Nos situamos en una necesidad en la cual ciertos usuarios requieren su salida a Internet con origen un firewall OPNsense, por ejemplo y el cual implementa OpenVPN, donde no queremos generalizar que todo el tráfico de cada uno de los clientes que inician la sesión VPN (Cliente OpenVPN) pase por el túnel.

En el extremo del servidor OpenVPN disponemos de la función global Redirect GatewayForce all client generated traffic through the tunnel.«), esto resultaría en forzar que todos los clientes salieran a Internet mediante el túnel. Si lo que requerimos es que ciertos usuarios lo hagan, por ejemplo por restricciones en el acceso a ciertas aplicaciones Web que comprueban la IP de origen, lo que debemos hacer es añadir lo siguiente al archivo de configuración cliente (archivo.ovpn):

redirect-gateway def1
. . .

Guardando el archivo de configuración e iniciando sesión nuevamente en el cliente VPN observamos lo siguiente en nuestra tabla de enrutamiento (ejemplo en Windows 11):

=======================================================================

IPv4 Tabla de enrutamiento
=======================================================================
Rutas activas:
Destino de red  Máscara de red   Puerta de enlace   Interfaz       Métrica
0.0.0.0         0.0.0.0          192.168.11.1       192.168.11.114   25
0.0.0.0         128.0.0.0        10.254.5.25        10.254.5.26     281
. . .
128.0.0.0       128.0.0.0        10.254.5.25        10.254.5.26     281
. . .

Tenemos la puerta de enlace hacia Internet de nuestro equipo, la 0.0.0.0/0, y vemos 2 nuevas entradas con métrica de menor prioridad pero máscara de subred más restrictiva: es decir, lo que hace OpenVPN para cubrir todo el espectro de IPs es utilizar la ruta 128.0.0.0/128.0.0.0 que cubre 0.0.0.0 hasta 127.255.255.255 y 0.0.0.0/128.0.0.0 que cubre 128.0.0.0 hasta 255.255.255.255.

Con este cambio todo el tráfico «no conocido» se dirigirá hacia estas nuevas rutas lo cual significa, en términos de acceso a Internet, que tendremos la ip pública de nuestro firewall OPNsense.


Licencia de Creative Commons

This Post by David Solé Pérez is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License

Pagina Principal
5/5 - (3 votos)
223 Visitas del Post

¿Te ha gustado este artículo? ¡Suscríbete!

Artículos Relacionados

  • Warnings masivos de SMVI en discos RDM Estimados lectores, hace poco me he encontrado una incidencia con Warnings masivos de SMVI en discos RDM. El escenario se compone de un vCenter con VSC 4.2.1 el cual tiene activada la […]
  • HCI la solución de hiperconvergencia de NetApp Estimados lectores, en este nuevo artículo haremos una breve descripción sobre HCI la solución de hiperconvergencia de NetApp, tan solo hace unos días he tenido la ocasión de ponerla en […]
  • Ampliar una NetApp FAS3140 Hace unos días he tenido que ampliar una NetApp FAS3140 de chasis simple con doble controladora que tenía un stack FC y otro SATA con las míticas DS14mk4 y DS14mk2, respectivamente, […]
  • Migrar VMs de VMware entre Datacenters de distintas versiones Estimados lectores, en este nuevo artículo os voy a explicar cómo migrar VMs de VMware entre Datacenters de distintas versiones con el mismo almacenamiento. Esta es una funcionalidad muy […]
  • Instalación de System Center Configuration Manager 2012: SQL Server 2012 En esta nueva entrada continuamos con la instalación de System Center Configuration Manager 2012: SQL Server, donde veremos el procedimiento de instalación del servidor SQL que albergará […]
  • Verificar las versiones SMB en NetApp CIFS Estimados lectores, en esta nueva entrada vamos a ver cómo verificar las versiones SMB en NetApp CIFS que están habilitadas en nuestro sistema de almacenamiento así como las sesiones […]

Autor: David Solé Pérez

Padre de Paula e Ivet, entusiasta de las Tecnologías de la Información y de la Comunicación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *