Sziasztok,
ez az opció be van kapcsolva a vpn szerverben, ezáltal a kliensek látják egymást. A kérdésem az volna, hogy tudom ezt korlátozni? Vagyis, hogy ne az összes kliens láthassa egymást, hanem csak amiket én engedélyezek. Iptables-el nem tudom korlátozni, már próbáltam.
Köszi:
Balázs
- 1918 megtekintés
Hozzászólások
Az openvpn beépített csomagszűrőjével próbáld.
--management-client-pf kapcsoló és a
management-notes.txt olvasgatása ajánlott.
Javasolt még:
http://backreference.org/2010/06/18/openvpns-built-in-packet-filter/
- A hozzászóláshoz be kell jelentkezni
köszi, megnézem
- A hozzászóláshoz be kell jelentkezni
vagy sima iptables, oszt annyi.
- A hozzászóláshoz be kell jelentkezni
bridge módban nem triviális.
http://backreference.org/2010/05/02/controlling-client-to-client-connec…
- A hozzászóláshoz be kell jelentkezni
hm, ja, valoban, ezt beneztem; osszekeverem az openvpn-t, mmint hogy az nem p2p alapon csinalja ezeket... na mindegy :]
- A hozzászóláshoz be kell jelentkezni
bridge módban meg nem is routerként működik az openvpn, akkor nem is reális, hogy szűrjön. Mármint ez olyan, mintha a switchbe dugott router akarná korlátozni a két másik porton lévő kliens közötti forgalmat. Kell valamire konkrétan a bridged mód? Én még nem is próbáltam ki, pedig elég sok helyen használok openvpnt, mihez kell bridged mód? Játékhoz?
- A hozzászóláshoz be kell jelentkezni
Van olyan, hogy kell L2 összeköttetés két host között (pl bizonyos cluster implementációk interkonnekt kommunikációja miatt, multicast stb), de nincs csak IP, mert pl távol vannek egymástól és nincs DWDM , sötétszál, L2 over MPLS. Na ekkor igen jól jön az olcsó bridge mód. De pl a klienseknek lehet ilyenkor a már működő DHCP szerverrel címet osztani stb.
Hozzáteszem, hogy kliens szerver módban még én sem használtam bridge módot, de p2p-ben több helyen is.
- A hozzászóláshoz be kell jelentkezni
+1
nekem is így megy. Bár nem bridge módban megy, hanem szerver van és kliensek.
Lehet, hogy bridge módban trükközni kell valamit.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
- A hozzászóláshoz be kell jelentkezni
Mármint simán tudod a klienseket korlátozni, hogy egymást ne lássák? Shorewall-t használok, de ha tiltok minden kommunikációt, akkor is látja a többi vpn klienst.
- A hozzászóláshoz be kell jelentkezni
Mivel a szerveres verziónál a szerver egyúttal router is. Ott pedig ugyanúgy lehet filterezni mindent, mintha egyébként egy tűzfal lennél.
Van olyan OpenVPN-es megoldás, amit bevezettünk, hogy egy intézmény tűzfala mögött van a belső hálón egy OpenVPN szerver, ahova a tűzfalról forwardolva van a VPN forgalom (UDP 119x). Az intézmény alintézményei (kb 80) interneten OpenVPN-nel kapcsolódnak ehhez a szerverhez. A VPN szerveren meg egy izmos tűzfal fel van paraméterezve a VPN szerver által kiszolgált virtuális IP tartományokra, ahol is elég jól meg van határozva, hogy milyen IP-kről merre milyen forgalom engedélyezett (kb 80 subnetről beszélünk 150 klienssel).
A forgalom szűrésre azért is van komoly szükség, mert az egyes intézmények munkaállomásai eléggé sztochasztikus működésűek. Ebben van óvoda, iskola stb stb. Tehát nem lenne túl szerencsés, ha a VPN kliensek között egy fertőzött masina a VPN-en keresztül szépen lefertőzné más intézmények masináit. A kijelölt portokon kívül mindenféle kommunikációt blokkolunk.
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)
- A hozzászóláshoz be kell jelentkezni
Na megvan a megoldás. Shorewall-t használok, és a policy fájlban a all all REJECT nem elég, kell egy vpn vpn REJECT, ezek után már lehet engedélyezni egyesével a jogokat.
köszi a segítségeket.
Balázs
- A hozzászóláshoz be kell jelentkezni