【DevOps】OpenVPN 实现分流的几种方法和实战

时间:2024-06-11 11:31:31

目录

一、OpenVPN 的几种分流方法

1、基于路由表的分流 (Policy Based Routing)

2、 基于代理的分流 (Proxy Based Routing)

3、基于 OpenVPN 服务器配置的分流

二、实战Openvpn连接阿里云流量分流实现

1、 确定阿里云内网目标地址

2、配置路由表

3、测试分流效果


一、OpenVPN 的几种分流方法

OpenVPN 本身并不提供直接的分流功能,需要结合其他工具和技术来实现。以下是几种常用的 OpenVPN 分流方法:

1、基于路由表的分流 (Policy Based Routing)

这是最常见也是最灵活的 OpenVPN 分流方法。其原理是根据数据包的目标地址或其他特征,将其路由到不同的网络接口,从而实现分流。

优点:

  • 灵活:可以根据各种规则进行分流,例如域名、IP 地址、端口等。
  • 精确:可以精确控制哪些流量走 VPN,哪些流量不走。

缺点:

  • 配置复杂:需要对路由表有一定的了解。
  • 不同系统配置方式不同:Windows、macOS、Linux 等系统配置方式略有差异。

实现方法:

  • Windows: 可以使用 route 命令或第三方工具(如 NetRouteView)进行配置。
  • macOS: 可以使用 route 命令或第三方工具(如 Tunnelblick)进行配置。
  • Linux: 可以使用 iptables 或 nftables 进行配置。

2、 基于代理的分流 (Proxy Based Routing)

这种方法是将 OpenVPN 的流量转发到一个代理服务器,然后由代理服务器根据规则进行分流。

优点:

  • 配置简单:相对于路由表分流,配置更简单。
  • 支持多种协议:可以对 HTTP、HTTPS、Socks 等协议进行分流。

缺点:

  • 依赖代理服务器:需要搭建或使用现有的代理服务器。
  • 性能损耗:代理服务器可能会引入额外的延迟和性能损耗。

实现方法:

  • OpenVPN 客户端配置: 在 OpenVPN 客户端配置文件中设置代理服务器地址和端口。
  • 代理服务器配置: 在代理服务器上配置分流规则,例如使用 Squid、Privoxy 等软件。

3、基于 OpenVPN 服务器配置的分流

一些 OpenVPN 服务器端软件(如 pfSense、OpenWrt)提供了内置的分流功能,可以通过配置服务器来实现分流。

优点:

  • 配置方便:直接在服务器端进行配置,无需修改客户端。
  • 集中管理:可以统一管理所有客户端的分流规则。

缺点:

  • 服务器依赖:需要使用支持分流功能的 OpenVPN 服务器软件。
  • 可控性较低:客户端无法自定义分流规则。

实现方法:

  • 具体配置方法取决于所使用的 OpenVPN 服务器软件,请参考相关文档。

一些额外的建议:

  • 在配置分流之前,建议先测试 OpenVPN 连接是否正常。
  • 可以使用一些网站或工具测试分流是否生效,例如 https://www.ip.cn/。
  • 分流规则配置需要注意避免循环路由等问题。

二、实战Openvpn连接阿里云流量分流实现

以下是实现您需求的详细步骤,包含基于路由表分流的 Windows、macOS 和 Linux 系统配置方法:

前提条件:

  • 您已经成功搭建了 OpenVPN 连接,并可以访问阿里云内网。
  • 您已经确定了需要走 VPN 访问的阿里云内网 IP 地址范围或域名。

1、 确定阿里云内网目标地址

  • IP 地址范围: 例如 192.168.10.0/24 表示从 192.168.10.0 到 192.168.10.255 的所有 IP 地址。
  • 域名: 例如 *.aliyun.com 表示所有以 .aliyun.com 结尾的域名。

2、配置路由表

Windows:

  • 以管理员身份运行 命令提示符 或 PowerShell

  • 使用 route print 命令查看当前路由表。

  • 使用以下命令添加路由规则,将目标地址流量指向 OpenVPN 网关:

    route add <目标地址> mask <子网掩码> <OpenVPN 网关> metric <跃点数>
    

    例如,将 192.168.10.0/24 的流量路由到网关为 10.8.0.1 的 OpenVPN 连接:

    route add 192.168.10.0 mask 255.255.255.0 10.8.0.1 metric 10
    
    • <目标地址>: 阿里云内网 IP 地址范围或域名。
    • <子网掩码>: 与 IP 地址范围对应的子网掩码。例如,192.168.10.0/24 对应的子网掩码是 255.255.255.0
    • <OpenVPN 网关>: OpenVPN 连接的网关地址,可以通过 ipconfig 命令查看。
    • <跃点数>: 路由优先级,数值越小优先级越高。建议设置为比默认网关低的数值。
  • 使用 route print 命令确认路由规则已添加成功。

macOS:

  • 打开 终端 应用程序。

  • 使用 netstat -nr 命令查看当前路由表。

  • 使用以下命令添加路由规则:

    sudo route add -net <目标地址> -netmask <子网掩码> <OpenVPN 网关>
    

    参数含义与 Windows 相同。

    例如,将 *.aliyun.com 的流量路由到网关为 10.8.0.1 的 OpenVPN 连接:

    sudo route add -net *.aliyun.com -netmask 255.255.255.0 10.8.0.1
    
  • 使用 netstat -nr 命令确认路由规则已添加成功。

Linux:

Linux 系统可以使用 iptables 或 nftables 进行路由配置, 这里以 iptables 为例:

  • 打开 终端 应用程序。

  • 使用 ip route 命令查看当前路由表。

  • 使用以下命令添加路由规则:

    sudo iptables -t nat -A PREROUTING -d <目标地址> -j DNAT --to-destination <OpenVPN 网关>
    sudo iptables -t nat -A POSTROUTING -s <本地网络地址> -d <目标地址> -j SNAT --to-source <OpenVPN 客户端地址>
    
    • <目标地址>: 阿里云内网 IP 地址范围或域名。
    • <OpenVPN 网关>: OpenVPN 连接的网关地址,可以通过 ip route 命令查看。
    • <本地网络地址>: 需要进行流量转发的本地网络地址,例如 192.168.1.0/24
    • <OpenVPN 客户端地址>: OpenVPN 分配给您的客户端 IP 地址,可以通过 ifconfig 命令查看。

例如,将 `192.168.10.0/24` 的流量路由到网关为 `10.8.0.1` 的 OpenVPN 连接,本地网络地址为 `192.168.1.0/24`, OpenVPN 客户端地址为 `10.8.0.6`:

```bash
sudo iptables -t nat -A PREROUTING -d 192.168.10.0/24 -j DNAT --to-destination 10.8.0.1
sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.10.0/24 -j SNAT --to-source 10.8.0.6
```
  • 使用 ip route 命令确认路由规则已添加成功。

3、测试分流效果

  • 访问阿里云内网资源,确认是否可以通过 VPN 访问。
  • 访问其他互联网资源,确认是否不会走 VPN。

注意:

  • 以上命令需要根据您的实际情况修改。
  • 路由规则的添加顺序可能会影响分流效果,请谨慎操作。
  • 部分系统可能需要重启网络服务或电脑才能使路由规则生效。
  • 如果需要长期使用分流规则,建议将路由规则保存到配置文件中,避免每次重启后丢失。

希望以上步骤能帮助您成功实现 OpenVPN 分流!