É possível permitir que uma máquina no openvpn conecte-se a apenas um servidor na rede?

Navegue suas respostas
5

Eu tenho um servidor OpenVPN que já está funcionando corretamente e permitindo que as pessoas trabalhem em nossos servidores. Há um novo projeto que exige que eu permita o acesso à rede e a um servidor específico dentro da rede para um grupo de codificadores terceirizados. Eu gostaria de permitir que eles se conectem apenas a um servidor de desenvolvimento que reside na rede, mas também gostaria de saber que eles não conseguem se conectar a nenhum outro servidor na rede. Isso é possível? Como?

Esse é o meu arquivo server.conf : 

ca ca.crt
cert server.crt
comp-lzo
dev tun
dh dh1024.pem
group nobody
ifconfig-pool-persist ipp.txt
keepalive 10 120
key server.key  # This file should be kept secret
persist-key
persist-tun
port 1194
proto tcp
push "dhcp-option DNS 208.67.220.220"
push "dhcp-option DNS 208.67.222.222"
push "route 10.1.X.0 255.255.255.0"
push "route 192.168.X.0 255.255.255.0"
push "route 192.168.Y.0 255.255.255.0"
server 192.168.Y.0 255.255.255.0
status openvpn-status.log
user nobody
verb 3

O que devo adicionar? Isso afetará os usuários que já estão conectados? Pode causar algum problema aos usuários que já estão se conectando a este servidor?

    
por Itai Ganot 12.12.2013 / 11:07

2 respostas

5

Como a MealstroM diz, isso é possível. O procedimento completo está bem documentado na seção relevante do OpenVPN HOWTO , mas o breve resumo do procedimento é:

  1. Configure o servidor OpenVPN para distinguir entre os usuários regulares e os usuários "cativos" (aqueles que devem ter acesso somente a determinadas máquinas) com base nos CNs incorporados em seus respectivos certificados

  2. Tendo feito essa distinção, configure o OpenVPN para alocar endereços de VPN de um bloco de endereços de VPN para os usuários regulares e de outro bloco para os usuários de cativeiro

  3. Tendo distinguido entre tráfego privilegiado e não privilegiado na camada 3, escreva as regras iptables apropriadas para permitir apenas o tráfego desejado do netblock de usuário cativo.

Você pergunta " afetará os usuários que já estão conectados ". Se você quer dizer a curto prazo, então sim, pois isso exigirá uma reinicialização do servidor que desconectará todos; Se você quer dizer a longo prazo, então, não, os usuários existentes não devem precisar de qualquer reconfiguração ou alterações. Todas essas mudanças são do lado do servidor.

    
por 12.12.2013 / 11:34
2

sim, isso é possível. Você deve usar a arquitetura openvpn peer-to-peer e usar "push routes" no servidor openvpn.

verifique se você não usa a opção "cliente para cliente".

    
por 12.12.2013 / 11:14

Tags

Nginx “ssl_stapling” ignorado, nenhuma URL de resposta OCSP no certificado Como configurar o plugin de senha roundcube com o driver sql e mysql criptografar usando sal aleatório?