Как ограничить openvpn клиенты для общения с другими клиентами VPN
У меня есть этот сценарий Openvpn..
У меня есть Партия openvpn клиентов, подключенных к моему серверу, Все, что я хочу, должен ограничить клиент клиентской коммуникацией.
для, например, я имею (10.20.0.2,10.20.0.3,10.20.0.4,10.20.0.5), клиенты 10.20.0.2 не должны говорить 10.20.0.3 или 4, 5
Там какой-либо путь состоит в том, чтобы достигнуть этого использования iptables? или посредством редактирования Конфигурационного файла?
2 ответа
Stan,
gertvdijk только частично корректен. То, что необходимо сделать, отключают от клиента к клиенту в конфигурационном файле сервера, но также необходимо настроить OpenVPN способом, где каждый клиент является самостоятельно/30 подсетью, вместо того, чтобы иметь каждый клиент в том же/24 (или безотносительно) подсеть.
Так для ответа на вопрос не возможно предотвратить клиент к клиентской коммуникации, если они находятся на той же конфигурации сервера/клиента OpenVPN использования подсети одни .
После этих слов конечно, Вы могли использовать iptables для блокирования определенного трафика на хост, однако это будет довольно громоздким не только, чтобы настроить, но также и масштабироваться. Поэтому Ваш наилучший вариант состоял бы в том, чтобы настроить/30 подсети для каждого клиента.
Да. Как упомянуто в странице справочника:
--client-to-client
Because the OpenVPN server mode handles multiple clients through
a single tun or tap interface, it is effectively a router. The
--client-to-client flag tells OpenVPN to internally route client-
to-client traffic rather than pushing all client-originating
traffic to the TUN/TAP interface.
When this option is used, each client will "see" the other
clients which are currently connected. Otherwise, each client
will only see the server. Don't use this option if you want to
firewall tunnel traffic using custom, per-client rules.
Так, удаление эта строка из Вашей конфигурации, Вы ограничите клиенты, чтобы только говорить с сервером.