Portál AbcLinuxu, 19. července 2025 22:48


Dotaz: izolovanie vpn klientov

18.2.2018 13:27 darebacik
izolovanie vpn klientov
Přečteno: 421×
Odpovědět | Admin
Na linuxe mi bezi openvpn server. Poziadavky neforwardujem mimo vpn, ale klient ma pristup len v ramci openvpn. Ak pouzijem v server.conf direktivu 
client-to-client
tak klienti sa vidia (ak to zaremujem # tak sa nevidia (samozrejme)). VPN siet je 10.8.0.0/24. Mam tam asi 20 klientov a potrebujem urobit nasledovne:
Chcem aby klienti na seba nevideli, avsak jedna IP (10.8.0.10) aby na klientov videla. Je to mozne urobit ? Pouzivam ufw a na zaciatku mam pravidlo 
Anywhere                   ALLOW       10.8.0.10
Ak client-to-client povolim, tak sa vidia vsetci. Ak client-to-client zakazem tak nevidi nikto nikoho, ale ani IP 10.8.0.10 nevidi na klientov. Mozno by to slo spravit tak, ze na client-to-client sa vykaslat a poriesit to cisto v ufw (len zatial ma nenapada ako).
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

18.2.2018 15:51 lieko
Rozbalit Rozbalit vše Re: izolovanie vpn klientov
Odpovědět | | Sbalit | Link | Blokovat | Admin
da sa to vyriesit tak ze client-to-client nepouzijes a pre klienta ktoreho potrebujes aby videl nastavit iptables pravidlo.

ak nie je client-to-client zapnuty vpn server sa bude spravat ako router on the stick aj ked su klienti v rovnakej sieti. Pakety budu dekapsulovane ked budu vychadzat z tun interfaceu a potom smerovane naspat do tun interfacu a opat enkapsulovane aby boli spravne poslane.

18.2.2018 16:54 NN
Rozbalit Rozbalit vše Re: izolovanie vpn klientov
Odpovědět | | Sbalit | Link | Blokovat | Admin
Pravdepodobne mas ve firewallu default allow takze poustis vsechno..
18.2.2018 17:29 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov
Mozno to mam nastavene nemotorne, ale mam to takto: 
22                         ALLOW IN    Anywhere			#mozno je to nebezpecne, ale neviem odkial sa budem pripajat
1194/tcp                   ALLOW IN    Anywhere			#openvpn pre vsetkych
26510/tcp                  ALLOW IN    Anywhere			#otvoreny port pre vsetkych (a jedine ten vyuzivaju vpn klienti)		
Anywhere                   ALLOW IN    10.8.0.10		#ta adresa by mala vidiet vpn klientov (ale vpn klienti by ju nemali vidiet)
21                         DENY IN     10.8.0.0/24		#napr. ftp pre vpn klientov uzavrete
21                         ALLOW IN    Anywhere			#ftp pre ostatnych otvorene
80                         DENY IN     10.8.0.0/24		#http pre vpn klientov zatvorene
80/tcp                     ALLOW IN    Anywhere			#http pre ostatnych otvorene
443                        DENY IN     10.8.0.0/24		#https pre pre vpn klientov zatvorene
443                        ALLOW IN    Anywhere			#https  pre ostatnych otvorene
Ale evidentne mi to az tak dobre nefunguje, lebo ak povolim client to client tak vpn klient prejde aj cez port 21 aj 80 atd ... takze tam nieco je blbo (ak client to client zakazem, tak klient nevidi nic, ale to by nevidel aj bez firewallu)
Chcem aby to fungovalo tak, ze vpn klienti komunikuju "len cez port 26510" + jeden vpn klient (10.8.0.10) na vpn klientov videl (cize aby mal otvorene vsetky porty vo vpn sieti).
18.2.2018 19:02 NN
Rozbalit Rozbalit vše Re: izolovanie vpn klientov
Ve vypisu neni videt defaultni politika. Jinak pri zaplem clien-to-client si to VPN forwarduje interne a obchazi to klasicka pravidla. Tudy cesta nevede. Tcpdump je tvuj kamarad..
18.2.2018 19:20 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov 
nano /etc/default/ufw
IPV6=no
DEFAULT_INPUT_POLICY="DROP"
DEFAULT_OUTPUT_POLICY="ACCEPT"
DEFAULT_FORWARD_POLICY="ACCEPT"
DEFAULT_APPLICATION_POLICY="SKIP"
MANAGE_BUILTINS=no
IPT_SYSCTL=/etc/ufw/sysctl.conf
IPT_MODULES="nf_conntrack_ftp nf_nat_ftp nf_conntrack_netbios_ns"
18.2.2018 21:31 NN
Rozbalit Rozbalit vše Re: izolovanie vpn klientov 
DEFAULT_FORWARD_POLICY="ACCEPT"
Tady povolujes veskerou komunikaci prochazejici boxem, kterou explicitne nezakazes.
19.2.2018 15:31 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov
Neni to router ani GW, ale koncovy server, takze politika pre forward sa tam asi neuplatnuje.
Pravidla pre virtualnu siet sa v normalnom firewalle neuplatnuju ? Pre vpn treba nejaky spec. firewall ?
19.2.2018 17:23 NN
Rozbalit Rozbalit vše Re: izolovanie vpn klientov
Pokud maji zarizeni komunikovat mezi sebou tak se snad forward uplatnuje, minimalne v routed VPN rezimu. Pravidla pro virtualni interface funguji uplne stejne. Dej drop policy na forward vyhod z VPN konfigurace client-to-client a povol forward pro 10.8.0.10 a bude to fungovat.
20.2.2018 09:34 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov
Otazka! Na forward politiku som uplatnil drop 
DEFAULT_FORWARD_POLICY="DROP"
restart vpn
/etc/init.d/openvpn restart
a vo vpn sieti sa vsetci dalej vidia (este som ani nerobil forward pre danu IP (10.8.0.10)). Takze asi tam nebude vsetko s kostolnym poriadkom.
20.2.2018 09:40 darebacik
Rozbalit Rozbalit vše Re: izolovanie vpn klientov
Opravujem, nie restart openvpn, ale restart firewall 
ufw disable
ufw enable

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.