← На главную

Добавление маршрутов в OpenVPN клиент-конфиг

OpenVPN поддерживает попоподсеточные route директивы в клиент-конфиге. NetRoute Pro генерирует их из доменов любого сайта — добавьте в .ovpn и split tunneling готов за минуту.

Что понадобится

Шаг 1. Сгенерируйте route-директивы в NetRoute Pro

  1. Откройте нужный сайт в Chrome
  2. Запустите расширение NetRoute Pro
  3. Выберите платформу OpenVPN
  4. Нажмите Analyze Website
  5. Скопируйте результат — список вида: 
    route 104.21.32.0 255.255.255.0
route 172.67.182.0 255.255.255.0
...
Совет: включите RIPE BGP оптимизацию для стабильных BGP-префиксов — подсети не ломаются при ротации IP у Cloudflare/Fastly.

Шаг 2. Отредактируйте .ovpn

  1. Откройте ваш .ovpn файл в любом текстовом редакторе
  2. Удалите строку redirect-gateway def1, если она есть — она отправляет весь трафик через VPN и ломает split tunnel
  3. Удалите строку push "redirect-gateway def1", если присутствует
  4. Вставьте сгенерированные route директивы в конец файла — до блоков <cert>, <key>, <ca>
  5. Сохраните файл

Пример фрагмента .ovpn:

client
dev tun
proto udp
remote vpn.example.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-GCM
verb 3

# --- NetRoute Pro routes ---
route 104.21.32.0 255.255.255.0
route 172.67.182.0 255.255.255.0
# ... остальные маршруты ...

<ca>
...
</ca>

Шаг 3. Переподключите VPN

Отключитесь и подключитесь снова — OpenVPN применит новые маршруты при подъёме туннеля.

Альтернатива: серверные маршруты

Если у вас админский доступ к серверу OpenVPN, добавьте директивы в конфиг сервера:

push "route 104.21.32.0 255.255.255.0"
push "route 172.67.182.0 255.255.255.0"

Клиенты получат маршруты автоматически при подключении — править клиент-конфиги не потребуется.

Проверка

После подключения проверьте таблицу маршрутизации:

route print              # Windows
ip route                 # Linux / macOS

Ваши подсети должны идти через tun0 или адаптер OpenVPN TAP.

Частые проблемы

Директивы --route игнорируются

В конфиге присутствует route-nopull или --pull-filter, которые блокируют применение. Уберите или скорректируйте соответствующие строки.

DNS leak на Windows

При split tunnel Windows может посылать DNS-запросы в обход VPN. Добавьте в клиент-конфиг:

block-outside-dns

Маршруты применились, но трафик не идёт через VPN

На VPN-интерфейсе сервера не включён NAT. Правьте серверную часть: на Linux — iptables MASQUERADE для VPN-подсети, на готовых решениях — включить опцию NAT в панели.

Официальная документация

Готовы попробовать?

NetRoute Pro — бесплатное расширение Chrome для генерации маршрутов из любого сайта.

Установить расширение