OpenVPN: push DNS address

[phd_ru]

Вопрос к залу: у меня на одном из серверов OpenVPN есть настройка

push "dhcp-option DNS 188.166.106.171"

Я не хочу отправлять внешний адрес, потому что named настроен пускать только с этого адреса + 127.0.0.1 + прочие локальные адреса, и я не хочу открывать доступ отовсюду. Так у меня на всех серверах, но на всех остальных есть фиксированные внутренние адреса, которые я и прописал в конфиги, а на этом нету.

Внимание, вопрос: как послать клиенту динамический внутренний адрес, который возникает в тот момент, когда его выделяет из пула сервер OpenVPN? Пока ничего в голову не приходит. Разве что вообще не делать push, а на клиентской стороне запустить скрипт --route-up, в котором сделать

echo nameserver $ifconfig_remote | resolvconf -a $dev

Upd. Или дать этому сервер искусственный внутренний адрес, только для DNS? Это кажется некрасивым, но наиболее простым.

Comments

[vitus_wagner]

А ты не используешь --topology subnet?

По-моему самое правильное - это когда VPN ведет себя как единая подсеть и клиенты видят друг друга. Тогда и с вешанием каких-либо сервисов на VPN-адрес сервера нет никаких проблем - он один для всех клиентов.

Ну то есть понятно, почему этот режим не любят коммерческие VPN-провайдеры. Потому что у них каждый клинет независим и видить друг друга им ни к чему. Но у тебя-то вроде не тот случай.

[phd_ru]

Не пользуюсь, а зачем? У меня нет сети клиентов. У меня только ноутбук и телефон, и они редко бывают подключены к VPN вместе просто потому, что я редко пользуюсь именно одновременно.

> VPN-адрес сервера … один для всех клиентов.

Внешний — один. А внутренний, из сети 192.168.0.0 ? Он же динамический, я его не могу прописать в конфиг.

[vitus_wagner]

У меня нет сети клиентов.

Жена и дети VPN-ом не пользуются? Я как раз довольно часто пользуюсь VPN чтобы зайти по ssh в компьютер жены, когда я в деревне, а она в Питере или в компьютер ребенека когда он дома, а я в офисе и что-то там поадминистрировать. НУ или чтобы с ноутбука залезть в какой-нибудь архив на домашнем десктопе.

Он же динамический, я его не могу прописать в конфиг.

В топологии subnet- можешь. Точно так же как у физического роутера раздающего адреса в wifi иил ethernet-сети по dhcp. Самому роутеру ты адрес внутреннего интерфйейса при этом прописываешь статически.

У меня вот напиано вот так

dev tun
server 192.168.217.128 255.255.255.192
topology subnet
mode server

[phd_ru]

> Жена и дети VPN-ом не пользуются?

Моими — нет. Жене на работе дали какой-то VPN, точно не Open. Сын для сетевых игрушек какие-то свои использует, тоже ничего со мной общего.

Больше VPN, хороших и разных. ;-)

> Самому роутеру ты адрес внутреннего интерфйейса при этом прописываешь статически.

Ну я так и сделал — завёл статический алиас eth0:0. Subnet мне для этого не понадобился. :-)