Запрет интернет через OpenVPN

[IFox]

Доброго здоровья!
Есть доступ к И-нет через шлюз с фильтром контента. (Всё работает как и задумано).
На отдельно взятом ПК (Desktop) в локальной сети поднимаю VPN через бесплатный сервис vpnme.me.
На домашнем ПК (Desktop) аналогично поднимаю VPN через vpnme.me
Компьютеры связываются по ssh через VPN - отлично!
Но! Мне нужно, чтобы основной интернет-трафик проходил через шлюз с фильтром контента, а VPN остался только между двумя ПК и чтобы через VPN нельзя было посещать никакие интернет-ресурсы (т.е. совсем никакие).
VPN сервер чужой (vpnme.me) и его настройка мне не доступна.
Что можно сделать в такой ситуации?

Доп. инфо.: на интерфейсах tun* назначается IP из сети 10.8.0.0
адреса в локалке раздаёт мой dhcp. Сеть - 192.168.0.0, шлюз - 192.168.0.1

После поднятия VPN имею вот такой вывод route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.8.0.61       128.0.0.0       UG    0      0        0 tun0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 wlan0
10.8.0.1        10.8.0.61       255.255.255.255 UGH   0      0        0 tun0
10.8.0.61       0.0.0.0         255.255.255.255 UH    0      0        0 tun0
46.30.45.178    192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
128.0.0.0       10.8.0.61       128.0.0.0       UG    0      0        0 tun0
185.127.27.153  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
195.154.69.175  192.168.0.1     255.255.255.255 UGH   0      0        0 wlan0

настройки iptables по умолчанию для desktop

[zhhh]

1. самое простое можно после поднятия tun удалять маршрут
0.0.0.0 через 10.8.0.61
2. поискать где подправить конфиг vpnme.me, может там есть личный кабинет, техподдержка  ах да сервис же бесплатный
2. не использовать левые сервисы, а поднять свой OpenVPN сервер и пробросить порт на шлюзе, или поднять его на самом шлюзе
https://www.altlinux.org/OpenVPN

[IFox]

Маршрут 0.0.0.0 через 10.8.0.61 попробую удалить.

2. не использовать левые сервисы, а поднять свой OpenVPN сервер и пробросить порт на шлюзе, или поднять его на самом шлюзе

Свой VPN-сервер это конечно же замечательно, однако, шлюз находится за NAT. Т.е. ни один доступный для настройки сервер или ПК даже не пингуются из вне.
Одним из условий OpenVPN является наличие машины с  IP-адресом доступным для всех участников будущей частной сети.
Или я ошибаюсь?

Покупать официально услугу VPN-сервера у кого-то или договариваться с провайдером директор не может.
Денег на это нет. Вот и приходится извращаться.

[zhhh]

шлюз находится за NAT. Т.е. ни один доступный для настройки сервер или ПК даже не пингуются из вне.

Я так понял у вас интернет идет через серый IP провайдера?
Любой нормальный провайдер предоставляет услугу "белый статический IP", ваш шлюз тогда будет виден "из вне", стоимость в месяц как правило 200-300р
Если дома интернет с белыми динамическими IP, ростелеком например, поставить и включать дома OpenVPN сервер, настроить dyndns,  на работе установить клиент, работать будет так же

[Dmytro]

Покупать официально услугу VPN-сервера у кого-то или договариваться с провайдером директор не может.
Денег на это нет.

VPN от провайдера, как правило, дорогой. Есть альтернативные недорогие варианты:
1. Купить белый IP для любого из офисов. Работает независимо от того, как и на кого договор заключен. Главное, чтобы у провайдера услуга была. Услуга дешевая.
2. Искать провайдера с белым IP. Можно динамическим даже, но белым. К нему добавьте DDNS - и решите проблему.
3. Платный VPN не от провайдера. Встречается немало недорогих предложений, в том числе есть варианты вида VPN+ белый IP. Если фирма не из 1 человека, то 300-500 р/мес (или даже дешевле) найдете.
4. Купить VPS и поднять на нем OpenVPN сервер. Можно найти от 100р/мес. (качество за 100р пока не знаю, только взял потестить). СОтни за 3-4, уверен, можно найти шикарный.

[Dmytro]

Покупать официально услугу VPN-сервера у кого-то или договариваться с провайдером директор не может.
Денег на это нет.

VPN от провайдера, как правило, дорогой. Есть альтернативные недорогие варианты:
1. Купить белый IP для любого из офисов. Работает независимо от того, как и на кого договор заключен. Главное, чтобы у провайдера услуга была. Услуга дешевая.
2. Искать провайдера с белым IP. Можно динамическим даже, но белым. К нему добавьте DDNS - и решите проблему.
3. Платный VPN не от провайдера. Встречается немало недорогих предложений, в том числе есть варианты вида VPN+ белый IP. Если фирма не из 1 человека, то 300-500 р/мес (или даже дешевле) найдете.
4. Купить VPS и поднять на нем OpenVPN сервер. Можно найти от 100р/мес. (качество за 100р пока не знаю, только взял потестить). Сотни за 3-4, уверен, можно найти шикарный.

Если речь идет о школе, и "денег нет" означает "не заложены в смете", то VPS можно спокойно на физ.лицо оформить. С юридической точки зрения Вы покупаете для себя и имеете право организовать там любой, в том числе бесплатный, сервис. Главное - условия хостера внимательно прочитать.

[IFox]

1. самое простое можно после поднятия tun удалять маршрут
0.0.0.0 через 10.8.0.61

При удалении этого маршрута отваливается и глобальный И-нет и связь между ПК через VPN.

Если речь идет о школе, и "денег нет" означает "не заложены в смете" ...

Да, речь именно о школе. Провайдер - РосТелеком. Предоставляет доступ к И-нет через фильтр контента - отказаться от него не можем.
VPS сейчас зондирую. Возможно, именно это решение с поднятием своего OpenVPN и буду использовать. В общем зондирую.

[Dmytro]

VPS сейчас зондирую. Возможно, именно это решение с поднятием своего OpenVPN и буду использовать.

   Я тоже в школе. Именно к такому решению и пришел. Сейчас в ЛС кое-что скину.

Предоставляет доступ к И-нет через фильтр контента - отказаться от него не можем.

Не знаю, как у Вас... у нас провайдера сменить разрешают. Только это по финансам накладно будет (. И контент-фильтрацию обеспечить надо будет своими силами, либо силами сторонней организации.
   Приходилось подключать Дом творчества и детский сад к Ростелекому... Подключили на обычный тариф для юр.лиц - дешевле и без фильтра. Но там у детей доступа к компьютерам нет.

[zhhh]

что мешает дома поднять OpenVPN-сервер, на работе настроить клиента?

[IFox]

что мешает дома поднять OpenVPN-сервер, на работе настроить клиента?

Всё тот же NAT мешает. IP не пробиваемый. Ни у роутера от ростелекома, ни у роутера от МТС.
Но я уже похоже решил, что сделаю. Воспользуюсь советом - куплю VPS.
На днях оплачу месяц за свой счёт - покручу, попробую. Потом, если всё у меня получится, то буду уламывать директора на оплату VPS за год.

[Dmytro]

IP не пробиваемый. Ни у роутера от ростелекома, ни у роутера от МТС.

В нашем регионе у "Билайна" белый.

[flint1975]

Я тоже использую vps, даже 2 штуки, для региональных клиентов - региональный Самарский
Для глобальных, которые подключаются с мобильных (кроме мегафона) у московского оператора.
Все прекрасно, только следить за паразитным трафиком надо, если вдруг ВПН клиенты будут пытаться обмениваться локальным трафиком, то cups, периодически, создает там бешеный трафик при подключении уже более 5 компьютеров.

[IFox]

Все прекрасно, только следить за паразитным трафиком надо, если вдруг ВПН клиенты будут пытаться обмениваться локальным трафиком, то cups, периодически, создает там бешеный трафик при подключении уже более 5 компьютеров.

У меня будет только трафик между двумя сетями. Без выхода в и-нет через VPN. CUPS значит придётся давить, дабы он в VPN вообще не фонил.
Вроде же в файле /etc/cups/cupsd.conf опция Listen отвечает за сеть, которую CUPS олжен обнюхивать? Или она не помогает?
А, и для клиентов файлик /etc/cups/client.conf
В нём опция ServerName IP-адрес принт-сервера. Вроде тоже должна работать.
Хотя, пока я сам не поднял то, что задумал и не увидел, то тут у меня только догадки.

[Dmytro]

CUPS значит придётся давить, дабы он в VPN вообще не фонил.

Надежнее обратный вариант: на брандмауэре не открывать лишних портов. Неизвестный паразитный трафик отфильтруется.

[flint1975]

Именно, так и живем :)