Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Hej, na codzień korzystamy z OpenVPN ale ostatnio pojawił się mały problem. Z uwagi na ochronę informacji przed osobami trzecimi interesuje mnie czy jest jakkolwiek możliwość ustawienia tunelu TYLKO do 2 adresów IP z całej sieci ? Tak aby po połączeniu z VPNem X widoczne były tylko dwie maszyny + klient ?
Np.:
Osoba 1 ma dostęp do serwera SFTP @ Deb + do serwera .NET
Osoba 2 ma dostęp do serwera SFTP @ Deb + do serwera .NET
Osoby 3,4,5,6 mają dostęp do obu serwerów w pełnej formie (sftp, db) oraz (ftp, .net)
Ostatnio edytowany przez yogi (2013-08-20 09:47:31)
Offline
Tutaj masz napisane
Sekcja "Configuring client-specific rules and access policies" w http://openvpn.net/index.php/open-source/documentat … to.html#scope
Offline
nie do końca zadziałało... O ile połączyłem się z VPNem na nowych zasadach o tyle połączenie nie bierze pod uwagę żadnych zasad dostępu...
Generalnie blokada jest na wszystkie IP i nie mam możliwości a raczej nie wiem jak przyznać dostęp dla danego zakresu IP aby dostał dostęp.
A żeby przybliżyć to mam coś takiego:
IP: 10.8.1.1 - pełen dostęp
IP: 10.8.2.1 - brak dostępu - starałem się przepuścić go przez iptables ale nic nie chce zaskoczyć - zakładam, że coś źle robię
Potrzebuję aby zakres 10.8.2.1/24 miał dostęp do 2ch IP w sieci, pytanie czy ręcznie na tych 2ch serwerach muszę ustawiać czy na serwerze, który zarządza VPNem ?
Offline
Musisz regułami w łańcuchu forward pakietu iptables przepuszczać/dopuszczać do tych adresów
Jesli chcesz więcej to musisz pokazać
iptables -S
configi openvpna-a
Ostatnio edytowany przez hello_world (2013-08-21 12:24:58)
Offline
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 21194 -m state --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 12320 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 12321 -j ACCEPT
-A INPUT -p udp -m udp -j ACCEPT
-A FORWARD -s 10.8.1.0/24 -j ACCEPT
-A FORWARD -d 10.8.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.120.0/23 -j ACCEPT
-A FORWARD -d 192.168.120.0/23 -j ACCEPT
-A FORWARD -s 10.8.2.1/32 -j ACCEPT
client
proto udp
dev tun
ca ca.crt
dh dh1024.pem
cert test.crt
key test.key
remote xxx.xxx.xxx.xxx 21194
tls-auth ta.key 1
cipher AES-256-CBC
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
push "route 192.168.120.0 255.255.254.0"
+ dodatkowy ccd rule: ifconfig-push 10.8.2.1 10.8.2.2 (bez tego przydziela automatycznie ip zakresu 10.8.1.x)
Dla xx.xx.1.xx dziala wszystko doskonale. Ewentualnie czy nie musze gdzies bridge zrobic dla xx.xx.2.xx ?
Ostatnio edytowany przez yogi (2013-08-21 12:48:29)
Offline
Wywal regułę
-A INPUT -p udp -m udp -j ACCEPT -A FORWARD -s 192.168.120.0/23 -j ACCEPT -A FORWARD -d 192.168.120.0/23 -j ACCEPT
dodaj
iptables -A FORWARD -i tun0 -s 10.8.2.1/32 -d IP_ZDALNEGO -j ACCEPT
Offline
nadal lipa.
probuje dodac forward do 2ch adresow IP - 192.168.120.100 oraz 192.168.120.101
[edit] po dokonanych zmianach w iptables poprzednie ustawienia tez nie dzialaja ;x
[edit2] a nie, to tylko moj komp w domu nie podołał zbyt czestym reconnectom i nie chce wspolpracowac ze zdalnym
[edit3] a da rade jakiegos bridge'a zrobic z 10.8.2.x do tamtych 2ch IP przy uzyciu VPNa ? albo czy mogę np restrykcję zrobić aby dany adres/klasa adresów z istniejącej puli miała zablokowany dostęp ?
dodatkowo może to być pomocne:
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all — 10.8.1.0/24 0.0.0.0/0 to:192.168.120.11
Chain OUTPUT (policy ACCEPT)
[edit4] - wpisalem na serwerze zarzadzajacym ruchem w sieci postrouting 10.8.2.0/24 di zakresu 192.168.120.100-192.198.120.101 ale MSQ chyba nie trybi ;x
Ostatnio edytowany przez yogi (2013-08-22 10:09:13)
Offline