Redirigir el Default Gateway en OpenVPN sobre OPNsense

Estimados lectores ha pasado ya un buen tiempo desde que no escribo aquí, ya va siendo hora ¿no? Pues bien, hoy os traigo una entrada para ver cómo Redirigir el Default Gateway en OpenVPN sobre OPNsense o mejor dicho, forzar que todo el tráfico excepto la red local viaje por el interfaz de túnel.

Nos situamos en una necesidad en la cual ciertos usuarios requieren su salida a Internet con origen un firewall OPNsense, por ejemplo y el cual implementa OpenVPN, donde no queremos generalizar que todo el tráfico de cada uno de los clientes que inician la sesión VPN (Cliente OpenVPN) pase por el túnel.

En el extremo del servidor OpenVPN disponemos de la función global Redirect GatewayForce all client generated traffic through the tunnel.«), esto resultaría en forzar que todos los clientes salieran a Internet mediante el túnel. Si lo que requerimos es que ciertos usuarios lo hagan, por ejemplo por restricciones en el acceso a ciertas aplicaciones Web que comprueban la IP de origen, lo que debemos hacer es añadir lo siguiente al archivo de configuración cliente (archivo.ovpn):

redirect-gateway def1
. . .

Guardando el archivo de configuración e iniciando sesión nuevamente en el cliente VPN observamos lo siguiente en nuestra tabla de enrutamiento (ejemplo en Windows 11):

=======================================================================

IPv4 Tabla de enrutamiento
=======================================================================
Rutas activas:
Destino de red  Máscara de red   Puerta de enlace   Interfaz       Métrica
0.0.0.0         0.0.0.0          192.168.11.1       192.168.11.114   25
0.0.0.0         128.0.0.0        10.254.5.25        10.254.5.26     281
. . .
128.0.0.0       128.0.0.0        10.254.5.25        10.254.5.26     281
. . .

Tenemos la puerta de enlace hacia Internet de nuestro equipo, la 0.0.0.0/0, y vemos 2 nuevas entradas con métrica de menor prioridad pero máscara de subred más restrictiva: es decir, lo que hace OpenVPN para cubrir todo el espectro de IPs es utilizar la ruta 128.0.0.0/128.0.0.0 que cubre 0.0.0.0 hasta 127.255.255.255 y 0.0.0.0/128.0.0.0 que cubre 128.0.0.0 hasta 255.255.255.255.

Con este cambio todo el tráfico «no conocido» se dirigirá hacia estas nuevas rutas lo cual significa, en términos de acceso a Internet, que tendremos la ip pública de nuestro firewall OPNsense.


Licencia de Creative Commons

This Post by David Solé Pérez is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License

Pagina Principal
5/5 - (3 votos)
1.242 Visitas del Post

¿Te ha gustado este artículo? ¡Suscríbete!

Artículos Relacionados

Autor: David Solé Pérez

Padre de Paula e Ivet, entusiasta de las Tecnologías de la Información y de la Comunicación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *