Estimados lectores ha pasado ya un buen tiempo desde que no escribo aquí, ya va siendo hora ¿no? Pues bien, hoy os traigo una entrada para ver cómo Redirigir el Default Gateway en OpenVPN sobre OPNsense o mejor dicho, forzar que todo el tráfico excepto la red local viaje por el interfaz de túnel.
Nos situamos en una necesidad en la cual ciertos usuarios requieren su salida a Internet con origen un firewall OPNsense, por ejemplo y el cual implementa OpenVPN, donde no queremos generalizar que todo el tráfico de cada uno de los clientes que inician la sesión VPN (Cliente OpenVPN) pase por el túnel.
En el extremo del servidor OpenVPN disponemos de la función global Redirect Gateway («Force all client generated traffic through the tunnel.«), esto resultaría en forzar que todos los clientes salieran a Internet mediante el túnel. Si lo que requerimos es que ciertos usuarios lo hagan, por ejemplo por restricciones en el acceso a ciertas aplicaciones Web que comprueban la IP de origen, lo que debemos hacer es añadir lo siguiente al archivo de configuración cliente (archivo.ovpn):
redirect-gateway def1
. . .Guardando el archivo de configuración e iniciando sesión nuevamente en el cliente VPN observamos lo siguiente en nuestra tabla de enrutamiento (ejemplo en Windows 11):
======================================================================= IPv4 Tabla de enrutamiento ======================================================================= Rutas activas: Destino de red Máscara de red Puerta de enlace Interfaz Métrica 0.0.0.0 0.0.0.0 192.168.11.1 192.168.11.114 25 0.0.0.0 128.0.0.0 10.254.5.25 10.254.5.26 281 . . . 128.0.0.0 128.0.0.0 10.254.5.25 10.254.5.26 281 . . .
Tenemos la puerta de enlace hacia Internet de nuestro equipo, la 0.0.0.0/0, y vemos 2 nuevas entradas con métrica de menor prioridad pero máscara de subred más restrictiva: es decir, lo que hace OpenVPN para cubrir todo el espectro de IPs es utilizar la ruta 128.0.0.0/128.0.0.0 que cubre 0.0.0.0 hasta 127.255.255.255 y 0.0.0.0/128.0.0.0 que cubre 128.0.0.0 hasta 255.255.255.255.
Con este cambio todo el tráfico «no conocido» se dirigirá hacia estas nuevas rutas lo cual significa, en términos de acceso a Internet, que tendremos la ip pública de nuestro firewall OPNsense.
This Post by David Solé Pérez is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License
¿Te ha gustado este artículo? ¡Suscríbete!
Artículos Relacionados
