Regras do UFW para VPN [closed]

Navegue suas respostas
2

Eu configurei uma caixa VPN na minha lan.

Meu gateway lan é 192.168.2.1.

Eu configurei o encaminhamento de porta no meu roteador para permitir conexões VNP de entrada. O endereço LAN da caixa VPN é 192.168.2.42

A interface tun0 que o OpenVPN cria é 10.8.0.0/24

Tudo funciona muito bem. As clínicas recebem endereços I / P fixos etc.

Mas Eu quero restringir alguns (mas não todos) dos meus clientes VPN de poder acessar livremente outras máquinas na minha LAN e acessar uns aos outros.

Meu plano é que haja apenas uma máquina em minha LAN para a qual eles devem ter permissão para acessar - mas apenas para as portas NodeRed e MQTT (1880/1883). Meu firewall VPN desejado bloqueia todas as outras possibilidades.

Digamos que essa máquina LAN permitida seja 192.168.2.200

Os clientes VPN que eu desejo restringir desta forma todos os endereços i / p 'para cima' de 10.8.0.20 - eu posso facilmente alterá-los para qualquer coisa que ajude o conjunto de regras UFW ...

O cliente VPN que tem permissão para acessar minha LAN inteiramente é 10.8.0.11 Esse 'cliente favorecido' também deve ser capaz de acessar todos os outros clientes VPN sem restrição.

Por favor, alguém pode me dizer o conjunto de regras UFW que vai conseguir isso?

Eu tentei muitas opções, mas além de me trancar algumas vezes (!), eu não posso impedir que qualquer máquina na faixa de VPN 'conecte de volta' através do gateway VPN para outras máquinas na minha LAN.

A minha suspeita é de que não entendo bem algum problema NAT ou outro: (

Obrigado antecipadamente ...

    
por Oldnick 30.09.2017 / 17:53

1 resposta

1

Se você editar /etc/openvpn/server.conf, poderá modificar as diretivas de envio para controlar quais rotas serão enviadas ao cliente. Você provavelmente poderia remover as declarações ativadas no momento e usá-las:

push "route 192.168.2.200 255.255.255.255"

Além disso, talvez seja necessário desativá-lo:

push "redirect-gateway def1 bypass-dhcp"

Além disso, se você ler os comentários no server.conf, pode haver algumas outras opções que você deseja ajustar.

Para o bloqueio específico da porta, eu faria isso no firewall do servidor.

    
por 30.09.2017 / 21:40

Tags

Redirecionar solicitações de ativos para https, juntamente com mod_rewrite para URLs bonitas Restringindo o acesso a arquivos no Amazon S3 por arquivo?