Как включить доступ OpenVPN ТОЛЬКО к внутренней ЛВС
Я пытаюсь настроить соединение OpenVPN с сервером компании, чтобы любой, кто работает дома или вне офиса, мог получить доступ к нашим внутренним ресурсам.
Я правильно настроил VPN, используя руководство в блоге Digital Ocean (написано для 16.04).
Я могу подключиться с внешней линии, пинговать внутренние серверы и устройства и получать доступ к их ресурсам. Это прекрасно работает.
Однако мы хотим ограничить соединение только внутренними ресурсами. Мы не хотим проходить через интернет-соединение через OpenVPN, что не является типичным использованием VPN (маскирование соединения, обход геоблоков или просто шифрование вашего соединения).
Возможно ли это? Я знаю, что VPN-соединение должно быть в состоянии общаться с клиентом, но в противном случае я хочу заблокировать все подключения к сети в противном случае.
Рассматриваемый сервер также является виртуальной машиной, работающей на другом компьютере.
2 ответа
Возможно, просто получают доступ к внутренним ресурсам без интернет-соединения, я думаю, что это - на самом деле обычный сценарий для использования OpenVPN. Таким образом, если Вы следовали некоторому руководству для установки сервера OpenVPN, были также некоторые шаги, которые позволили передавать клиентский трафик к Интернету, необходимо будет отменить те шаги. Я думаю, что необходимо запустить с комментария этой строки в server.conf
push "redirect-gateway def1 bypass-dhcp"
Затем требование у сервера DNS для клиентов должно быть отключено путем комментирования строк, которые похожи
push "dhcp-option DNS xxx.xxx.xxx.xxx
Конечно, необходимо будет перезагрузить OpenVpn conf после внесения изменений.
sudo service openvpn reload
И затем отключая пакетную передачу к Интернету
echo 0 > /proc/sys/net/ipv4/ip_forward
И сделать отключение, передающее постоянный, необходимо будет также отредактировать
/etc/sysctl.conf
комментарий строки
net.ipv4.ip_forward=1
К настоящему времени я думаю, что клиенты не должны больше мочь получить доступ к Интернету через VPN.
Я решил его другой путь на стороне клиента
Windows: необходимо открыться, настройки Then Networking> TCP/IPv4> Properties> Advanced соединения VPN - Отключают опцию "Use default gateway for remote networks"