こんにちは、やまざきです。
当該箇所のソースコードを見てみると、route method が service(iservice利用時)のときには def1 を付加するようになっています。この動作については、このあたりで論じられているようです。
https://sourceforge.net/p/openvpn/mailman/message/35525951/
この動作を回避するのに一番手っ取り早いと思われるのは、クライアント側設定に「route-method exe」を追加した上で、管理者権限でOpenVPNを実行して接続を開始してみる、という方法です。
vpnux Clientでも「ルートの追加にroute.exeを優先する」オプションがありますので、こちらをお試しいただくという方法もありかもしれません。
# vpnux ClientもWindowsサービスを使って使ってユーザー権限で実行できるようにしていますが、def1 の自動付加は行っていません。
<iservice(Interactive Service)とは>
OpenVPN接続時などにネットワーク操作(ルートの追加、削除など)を行いますが、これらのネットワーク操作はWindows管理者権限が必要です。そのため、以前のOpenVPNのバージョンでは、OpenVPNを管理者権限で実行する必要がありました。
しかし、管理者権限への昇格はセキュリティ上のリスクになりますので、OpenVPNをユーザー権限で実行できるようにした仕組みがiserviceです。iserviceはWindowsサービスとしてバックエンドで動作し、OpenVPNの実行に必要なネットワーク操作を代行します。これにより、OpenVPN自体はユーザー権限のまま実行できるようになりました。
> TueJul3014:46:212019PUSH:Receivedcontrol message:'PUSH_REPLY,route 10.1.0.0 255.255.255.0,redirect-gateway bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5,peer-id 0,cipher AES-256-GCM'
>
> TueJul3014:46:212019Flag'def1'added to --redirect-gateway (iservice isinuse)
> |
>
> 実際、VPNクライアントをオンにした時の、クライアント側の"route print"の結果を見ると、VPNオフの際に使っているクライアント・ローカルのゲートウェイ経由のルーティングがまだ残っています(一行目)。
> "def1"のフラグが追加されたためだと思うのですが、なぜこうなってしまうのでしょうか?
>
> ログ中にある"iservice"というものは、クライアント・アプリの権限を管理者に昇格させるもののようですが、何が行われているのか不明です…
>
https://community.openvpn.net/openvpn/wiki/OpenVPNInteractiveService
>
> ご存じの方、是非ともご教示願います。
>
> PS: OpenVPNの英語版forumに投稿しようとしましたが、スパムチェックに引っかかって投稿できません(「連絡先が含まれる」と)。
> 回避方法をご存知の方がおられましたら、こちらもご教示いただけると幸いです。
>
> ---------------------------------------------------------------------------------------------------
> *[Server}*
>
> * Ubuntu 18.04 LTS
> * OpenVPN v2.4.4
>
> *[Client]*
>
> * Windows 10 Pro 64bit
> * OpenVPN GUI Client v2.4.7
>
> *クライアントのルートテーブル (VPN ON時)*
>
> 注記:
> *[
10.0.0.0/24 = クライアントのローカルサブネット]*
>
> o
10.0.0.1: クライアントのローカル・デフォルト・ゲートウェイ
> o
10.0.0.4: クライアントのNIC
>
> *[
10.8.0.0/24 = VPNの仮想ネットワーク]*
>
> o
10.8.0.1: サーバのIPアドレス
> o
10.8.0.5: 不明
> o
10.8.0.6: クライアントのTAPデバイス
>
> |
> ActiveRoutes:
> NetworkDestination Netmask Gateway Interface Metric
> 0.0.0.0 0.0.0.0 10.0.0.1 10.0.0.4 10
> 0.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 281
> 10.0.0.0 255.255.255.0 On-link 10.0.0.4 266
> 10.0.0.4 255.255.255.255 On-link 10.0.0.4 266
> 10.0.0.255 255.255.255.255 On-link 10.0.0.4 266
> 10.1.0.0 255.255.255.0 10.8.0.5 10.8.0.6 281
> 10.8.0.1 255.255.255.255 10.8.0.5 10.8.0.6 281
> 10.8.0.4 255.255.255.252 On-link 10.8.0.6 281
> 10.8.0.6 255.255.255.255 On-link 10.8.0.6 281
> 10.8.0.7 255.255.255.255 On-link 10.8.0.6 281
> 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
> 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
> 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
> 128.0.0.0 128.0.0.0 10.8.0.5 10.8.0.6 281
> Server's Public IP 255.255.255.255 10.0.0.1 10.0.0.4 266
> 168.63.129.16 255.255.255.255 10.0.0.1 10.0.0.4 11
> 169.254.169.254 255.255.255.255 10.0.0.1 10.0.0.4 11
> 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
> 224.0.0.0 240.0.0.0 On-link 10.8.0.6 281
> 224.0.0.0 240.0.0.0 On-link 10.0.0.4 266
> 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
> 255.255.255.255 255.255.255.255 On-link 10.8.0.6 281
> 255.255.255.255 255.255.255.255 On-link 10.0.0.4 266
> |
>
>
> *server.conf*
> --
> このメールは Google グループのグループ「OpenVPN Japan Users Group」に登録しているユーザーに送られています。
> このグループから退会し、グループからのメールの配信を停止するには
openvpn-japan-user...@googlegroups.com <mailto:
openvpn-japan-user...@googlegroups.com> にメールを送信してください。
> このディスカッションをウェブ上で閲覧するには
https://groups.google.com/d/msgid/openvpn-japan-users-group/78acb908-29af-4e18-aa10-026379516d35%40googlegroups.com <
https://groups.google.com/d/msgid/openvpn-japan-users-group/78acb908-29af-4e18-aa10-026379516d35%40googlegroups.com?utm_medium=email&utm_source=footer> にアクセスしてください���
--
::: Taro Yamazaki [
ta...@plum-systems.co.jp ]
: <Blog>
http://yamatamemo.blogspot.jp/
: <LinkedIn>
http://www.linkedin.com/in/yamata
-------------------------------------------------------------
: Plum Systems Inc.
: 2-3-11-2F, Kurihira, Asao-ku,
: Kawasaki, Kanagawa
:
http://www.plum-systems.co.jp/