Como faço para bloquear o acesso à LAN através do OpenVPN?

Navegue suas respostas
3

Parece que estou tendo o problema oposto da maioria das pessoas que configuram o OpenVPN: não consigo limitar os clientes VPN apenas à sub-rede da VPN. Em vez disso, quando um cliente estabelece uma conexão, ele pode acessar qualquer endereço IP na LAN do meu servidor OpenVPN, independentemente da sub-rede.

Eu não quero esse comportamento.

SERVIDOR

Estou usando um roteador Linksys WRT54GL executando o Build 54 do TomatoUSB (edição NoUSB VPN). Eu configurei o OpenVPN através da opção 'VPN Tunneling' na GUI do Tomato; aqui está um dump do config.ovpn que é usado quando o serviço é iniciado: 

daemon
server 10.8.0.0 255.255.255.0
proto udp
port 1194
dev tun22
comp-lzo adaptive
keepalive 15 60
verb 3
push "dhcp-option DNS 192.168.1.1"
push "redirect-gateway def1"
ca ca.crt
dh dh.pem
cert server.crt
key server.key
status-version 2
status status

CLIENTE

Estou testando com o OpenVPN 2.1.4 em um laptop executando o Windows 7 Home Premium de 64 bits. Uma vez que o cliente se conectou, eu uso whatsmyip.org para verificar se estou mascarando o endereço IP do servidor ao navegar. Tudo funciona como deveria. A configuração do cliente é assim: 

client
dev tun
proto udp
resolv-retry infinite
verb 3
nobind
comp-lzo
persist-key
persist-tun
remote REDACTED
ca ca.crt
cert client.crt
key client.key
redirect-gateway

O PROBLEMA

Como cliente, posso executar o ping 10.8.0.1 com êxito, mas posso também pingar qualquer endereço na sub-rede 192.168.1.0. Não quero que meus clientes VPN tenham esse recurso; Eu prefiro que a conexão seja apenas um túnel e que os clientes estejam contidos na sub-rede 10.8.0.0.

Na guia Avançado da página 'VPN Tunneling', verifiquei se 'Push LAN to clients' não está marcado. A configuração do servidor não inclui a linha push "route 192.168.1.0 255.255.255.0" que normalmente envia a LAN para os clientes. E, no entanto, como cliente VPN, posso fazer ping e acessar qualquer endereço IP na LAN do servidor.

Tenho certeza de que estou fazendo algo errado, mas preciso de orientação para solucionar esse problema.

    
por Ben D. 23.03.2011 / 18:19

1 resposta

2

Bem, parece que o seu roteador ainda está agindo para rotear entre as várias redes que conhece. Você verificou as tabelas de roteamento no dispositivo?

Outra opção é tentar configurar o firewall no dispositivo para bloquear o tráfego da rede vpn de viajar para outras redes.

Essas são minhas duas sugestões: verifique a tabela de roteamento nos linksys e considere modificar as regras de firewall. Tomate usa iptables para que certamente seja possível.

    
por 23.03.2011 / 18:45

Tags

Existe uma maneira de comunicar o DBMS com blocos de memória ou binários brutos? Onde a carga da CPU TCP é exibida?