OpenVPN接続からSSHおよびWebサーバーを除外

OpenVPN接続からSSHおよびWebサーバーを除外

外部でホストされているサーバーがあり、Webサーバーがあり、SSHを使用してアクセスし、そのIPは111.111.111.111。 OpenVPN(NordVPNからインポートされた設定ファイル)を使用してサーバーをVPNに接続したsudo openvpn XXX.ovpn後、SSHとWebサーバーが機能しなくなり、同じIPを使用してサーバーにアクセスしようとすると問題が発生します111.111.111.111

自分のコンピュータにパスを追加してもアクセスできますが、ip route add <MY_IP_PC> via 10.0.0.1 dev enp0s6この方法でWebサーバーにアクセスできる人は私だけで、他の誰もアクセスできません。

VPN接続前

ubuntu@server1:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp0s6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 02:00:17:00:78:88 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.67/24 metric 100 brd 10.0.0.255 scope global enp0s6
       valid_lft forever preferred_lft forever
    inet6 fe80::17ff:fe00:7888/64 scope link
       valid_lft forever preferred_lft forever
ubuntu@server1:~$ ip route
default via 10.0.0.1 dev enp0s6
default via 10.0.0.1 dev enp0s6 proto dhcp src 10.0.0.67 metric 100
10.0.0.0/24 dev enp0s6 proto kernel scope link src 10.0.0.67 metric 100
10.0.0.1 dev enp0s6 proto dhcp scope link src 10.0.0.67 metric 100
<MY_IP_PC> via 10.0.0.1 dev enp0s6
169.254.0.0/16 dev enp0s6 scope link
169.254.0.0/16 dev enp0s6 proto dhcp scope link src 10.0.0.67 metric 100
169.254.169.254 via 10.0.0.1 dev enp0s6 proto dhcp src 10.0.0.67 metric 100

VPN接続後

ubuntu@server1:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: enp0s6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 02:00:17:00:78:88 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.67/24 metric 100 brd 10.0.0.255 scope global enp0s6
       valid_lft forever preferred_lft forever
    inet6 fe80::17ff:fe00:7888/64 scope link
       valid_lft forever preferred_lft forever
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 500
    link/none
    inet 10.8.1.10/24 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::4f41:a589:8792:84e6/64 scope link stable-privacy
       valid_lft forever preferred_lft forever
ubuntu@server1:~$ ip route
0.0.0.0/1 via 10.8.1.1 dev tun0
default via 10.0.0.1 dev enp0s6
default via 10.0.0.1 dev enp0s6 proto dhcp src 10.0.0.67 metric 100
10.0.0.0/24 dev enp0s6 proto kernel scope link src 10.0.0.67 metric 100
10.0.0.1 dev enp0s6 proto dhcp scope link src 10.0.0.67 metric 100
10.8.1.0/24 dev tun0 proto kernel scope link src 10.8.1.10
<MY_IP_PC> via 10.0.0.1 dev enp0s6
128.0.0.0/1 via 10.8.1.1 dev tun0
169.254.0.0/16 dev enp0s6 scope link
169.254.0.0/16 dev enp0s6 proto dhcp scope link src 10.0.0.67 metric 100
169.254.169.254 via 10.0.0.1 dev enp0s6 proto dhcp src 10.0.0.67 metric 100
217.138.219.171 via 10.0.0.1 dev enp0s6

答え1

$ ip route
0.0.0.0/1 via 10.8.1.1 dev tun0

したがって、トラフィックの半分(0.0.0.0/1、宛先IPアドレスが偶数で終わる場合)はVPN接続を通過し、残りの半分(宛先IPアドレスが奇数で終わる場合)はVPN接続を通過します。デフォルトゲートウェイ。どんなに言っても言葉ではありません。

つまり、リクエストが enp0s6 インターフェイスから来ても、HTTP および SSH 接続への応答は VPN を介して行うことができます。 VPN側の適切なファイアウォールがそれをブロックする可能性もあります。

関連情報