Я получил OpenVPN, работающий на наших ноутбуках с Windows XP. Пользователи ограничены, поэтому я пошел дальше и установил клиент OpenVPN для работы в качестве службы, что в любом случае здорово, потому что это означает, что они находятся в VPN до входа в систему, поэтому сценарии входа в систему работают, плюс мы можем выполнять удаленную поддержку, даже если пользователь может не входить в систему (например, подключение через VNC или сброс паролей). Он также настроен на отправку всего трафика через туннель, поэтому, когда они, например, просматривают Интернет, это похоже на просмотр из нашей корпоративной сети.
Итак, мне интересно, как действует клиент OpenVPN, когда компьютер уже физически находится в той же сети, что и сервер OpenVPN? Прямо сейчас клиент настроен на подключение общедоступного DNS-имени, которое будет преобразовано в общедоступный IP-адрес, который НЕ будет отражен обратно на сервер OpenVPN, поэтому он эффективно заблокирован от подключения к серверу OpenVPN в сети. Это хорошая вещь? Или он будет постоянно пытаться подключиться, используя системные ресурсы и сетевые ресурсы? Скорее всего, с этим у нас будут регулярно подключаться к физической сети сотни ноутбуков, так что это может способствовать большому количеству ненужных сетевых помех.
Было бы лучше, чтобы брандмауэр отражал порт обратно на сервер OpenVPN и позволял ему подключаться? Или наш внутренний DNS разрешает имя в частный IP и позволяет им подключаться напрямую? Будет ли тогда трафик проходить через vpn-соединение (которое мне не нужно, когда оно уже находится в физической сети)? Или можно указать ему игнорировать соединение, когда клиент и сервер уже находятся в одной сети?
Каков разумный способ обработки клиента OpenVPN, работающего как постоянно включенная служба, когда клиент и сервер часто находятся в одной сети?
Продолжайте делать то, что делаете.
OpenVPN как услуга, пытающаяся повторно подключиться и потерпевшая неудачу, приведет к минимальному трафику. Быстрая проверка показала, что исходный пакет «Я хочу подключиться к вам» для openvpn содержал 14 байтов данных. Принимая во внимание UDP, IP и накладные расходы кадра Ethernet, я получаю всего 56 байт.
Избегайте внутреннего использования OpenVPN, так как это фактически добавит дополнительных накладных расходов, чем просто невозможность подключения OpenVPN.