Eu sugiro que você faça o contrário: habilite client-to-client e então use iptables para bloquear todos os clientes, mas os dois que você deseja permitir falar uns com os outros.
Estou executando o OpenVPN 2.3.7 no CentOS 6. Estou usando o roteamento (tun) e tenho duas instâncias do OpenVPN. Na segunda instância, há dois clientes que gostaria de tornar visíveis uns aos outros, por exemplo, ping, portas de acesso, etc. Ambos estão dentro da mesma sub-rede, por isso devem ser bastante diretos, eles são configurados com endereços estáticos ccd.
Eu quero que os dois clientes possam ver uns aos outros através de seus endereços IP de LAN OpenVPN sem habilitar client-to-client no server.conf.
Tenho certeza que isso pode ser feito com o iptables, que eu uso como firewall, embora eu use o CSF, mas é um wrapper para o iptables.
Estes são os endereços IPv4 dos clientes:
OpenVPN Client #1: 10.8.2.14
OpenVPN Client #2: 10.8.2.17
Eu preciso do cliente nº 1 para poder acessar os serviços em execução no cliente 2, e acho que para o cliente de compatibilidade nº 2 ver o cliente nº 1, se uma resposta for necessária.
Eu tentei várias regras de cadeia FORWARD no servidor OpenVPN, mas não consigo comunicação entre os dois clientes. O servidor OpenVPN pode, obviamente, executar ping em ambos os clientes, os clientes podem executar ping no gateway do servidor OpenVPN, os clientes não podem obviamente ver uns aos outros.
Algumas regras eu já tentei e não trabalhei:
iptables -A FORWARD -s 10.8.2.14 -d 10.8.2.17 -j ACCEPT
iptables -A FORWARD -s 10.8.2.17 -d 10.8.2.14 -j ACCEPT
Estou procurando ajuda com o iptables para obter os dois clientes visíveis um para o outro, sem habilitar o cliente para o cliente, veja este é um requisito especial para dois clientes e não é necessário em nenhum outro lugar.
A alternativa é expor os serviços no cliente VPN através do NAT, mas eu prefiro evitar fazer isso por segurança.
Qualquer ideia seria útil!
Obrigado,
James
Eu sei que esta pergunta é antiga, mas apenas para esclarecer isso para novos usuários que ainda podem estar visitando esta página:
se você usa client-to-client você não pode realmente usar firewall, o servidor nem verá esses pacotes, pois eles nunca retornam do servidor OpenVPN, portanto, como eles não estão atingindo a camada de host, você Não será possível usar o firewall, pois ele não será alcançado e suas regras serão inúteis.