Openvpn client to client

Fórumok

Sziasztok,

ez az opció be van kapcsolva a vpn szerverben, ezáltal a kliensek látják egymást. A kérdésem az volna, hogy tudom ezt korlátozni? Vagyis, hogy ne az összes kliens láthassa egymást, hanem csak amiket én engedélyezek. Iptables-el nem tudom korlátozni, már próbáltam.

Köszi:
Balázs

Hozzászólások

bridge módban meg nem is routerként működik az openvpn, akkor nem is reális, hogy szűrjön. Mármint ez olyan, mintha a switchbe dugott router akarná korlátozni a két másik porton lévő kliens közötti forgalmat. Kell valamire konkrétan a bridged mód? Én még nem is próbáltam ki, pedig elég sok helyen használok openvpnt, mihez kell bridged mód? Játékhoz?

Van olyan, hogy kell L2 összeköttetés két host között (pl bizonyos cluster implementációk interkonnekt kommunikációja miatt, multicast stb), de nincs csak IP, mert pl távol vannek egymástól és nincs DWDM , sötétszál, L2 over MPLS. Na ekkor igen jól jön az olcsó bridge mód. De pl a klienseknek lehet ilyenkor a már működő DHCP szerverrel címet osztani stb.

Hozzáteszem, hogy kliens szerver módban még én sem használtam bridge módot, de p2p-ben több helyen is.

Mivel a szerveres verziónál a szerver egyúttal router is. Ott pedig ugyanúgy lehet filterezni mindent, mintha egyébként egy tűzfal lennél.

Van olyan OpenVPN-es megoldás, amit bevezettünk, hogy egy intézmény tűzfala mögött van a belső hálón egy OpenVPN szerver, ahova a tűzfalról forwardolva van a VPN forgalom (UDP 119x). Az intézmény alintézményei (kb 80) interneten OpenVPN-nel kapcsolódnak ehhez a szerverhez. A VPN szerveren meg egy izmos tűzfal fel van paraméterezve a VPN szerver által kiszolgált virtuális IP tartományokra, ahol is elég jól meg van határozva, hogy milyen IP-kről merre milyen forgalom engedélyezett (kb 80 subnetről beszélünk 150 klienssel).

A forgalom szűrésre azért is van komoly szükség, mert az egyes intézmények munkaállomásai eléggé sztochasztikus működésűek. Ebben van óvoda, iskola stb stb. Tehát nem lenne túl szerencsés, ha a VPN kliensek között egy fertőzött masina a VPN-en keresztül szépen lefertőzné más intézmények masináit. A kijelölt portokon kívül mindenféle kommunikációt blokkolunk.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)

Na megvan a megoldás. Shorewall-t használok, és a policy fájlban a all all REJECT nem elég, kell egy vpn vpn REJECT, ezek után már lehet engedélyezni egyesével a jogokat.

köszi a segítségeket.

Balázs