Como restringir clientes openvpn para se comunicarem com outros clientes vpn

Stan,

gertvdijk está apenas parcialmente correto. O que você deve fazer é desabilitar client-to-client no arquivo de configuração do servidor, mas também deve configurar o OpenVPN de forma que cada cliente esteja em sua própria sub-rede / 30, em vez de ter todos os clientes a mesma sub-rede / 24 (ou qualquer outra).

Portanto, para responder à sua pergunta, NÃO é possível impedir a comunicação entre cliente e cliente se eles estiverem na mesma sub-rede usando a configuração de servidor / cliente do OpenVPN sozinho .

Com isso dito, é claro que você poderia usar o iptables para bloquear tráfego específico por host, no entanto, isso seria muito complicado não apenas para configurar, mas também para escalar. Portanto, sua melhor opção seria configurar / 30 sub-redes para cada cliente.

Sim. Como mencionado na manpage:

   --client-to-client
          Because the OpenVPN server mode handles multiple clients  through
          a  single  tun or tap interface, it is effectively a router.  The
          --client-to-client flag tells OpenVPN to internally route client-
          to-client  traffic  rather  than  pushing  all client-originating
          traffic to the TUN/TAP interface.

          When this option is  used,  each  client  will  "see"  the  other
          clients  which  are  currently connected.  Otherwise, each client
          will only see the server.  Don't use this option if you  want  to
          firewall tunnel traffic using custom, per-client rules.

Assim, removendo esta linha de sua configuração, você irá restringir os clientes a apenas conversarem com o servidor.