OpenVPN доступ

razorback

OpenVPN поднят, все работает.
Однако, задача у меня вот какая: допустим есть у меня 50 клиентов, отдельные не связанные друг с другом машины, разбросанные по инету. Все, что мне нужно - получить доступ к ним, никаких доступов к их подсетям мне не надо, только сама виндовая тачка с клиентом OpenVPN. И все работает, да, они подключаются, я их вижу, но сервер у меня в режиме client-to-client. Не нравится мне то, что все они видят друг друга. За себя не переживаю, а вот за то, в каком состоянии эти тачки и кто за ними может сидеть, отвечать не могу. Смущает то, что генерировать трафик они могут любой, + имеют доступ друг к другу. Не могу сообразить, как сделать так, чтобы либо они совсем друг друга не видели, только меня и я их, либо ipfw задействовать. Но в случае ipfw получается, что регулирую я доступ тока к серверу (шлюз по умолчанию туннельный я им не прописываю, вроде как не хочу, чтобы через меня они в инет ходили), друг друга то они все равно видят. Чего то никак не догоню, как правильно сделать. Посоветуйте пожалуйста!!!

Конфиг сервера:

Код: Выделить всё

port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
dh keys/dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
tls-server
tls-timeout 120
auth MD5
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log         /var/log/openvpn/openvpn.log
verb 3

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

digital_punk

Извините, а какова задача-то в общем была? Окроме, что они друг друга не должны видеть.

razorback

digital_punk писал(а):Извините, а какова задача-то в общем была? Окроме, что они друг друга не должны видеть.

Да простая задача. Иметь возможность удаленно в любой момент попасть на комп юзера(rdp например), какие то сервисы предоставить, и т.п.

digital_punk

А может проще товарищу teamviewer или что-то подобное поставить?

razorback

digital_punk писал(а):А может проще товарищу teamviewer или что-то подобное поставить?

эх, было бы это проще... нет, не проще.

digital_punk

Почему? Пользователю Вы просто говорите запустить программу и при надобности заходите. а так Вы держите подключение постоянным. В том же тимвьювере можно объединить компы в список и постоянно держать с ними соединение. Если нужно подключаться.

dmtr · Непрочитанное сообщение **dmtr** » 2013-08-13 13:30:53

а почему client-to-client? без него нельзя?
я так понимаю именно из-за этой опции не удается фаерволом резать пакеты?

razorback

dmtr писал(а):а почему client-to-client? без него нельзя?
я так понимаю именно из-за этой опции не удается фаерволом резать пакеты?

Вот, если без него, то все красиво, только как тогда сделать, чтобы я их пинговал(имел к ним доступ)? У всех клиентов масочка получается 255.255.255.252... тока сервер видит всех и все сервер.

dARKest · Непрочитанное сообщение **dARKest** » 2013-08-13 20:58:51

Однозначно надо убрать client-to-client
Когда включена данная опция пакеты в OS даже не попадают они пересылаются ВНУТРИ виртуального OpenVPN switch

Когда вы уберете client-to-client пакет от source клиента к dest клиенту "падет" в ОС - а вот дальше как разрулить.......?

mak_v_ · Непрочитанное сообщение **mak_v_** » 2013-08-13 21:00:48

А что подразумевается под ОS, простите?
Бредяка какая-то.
Либо убираем client-to-client, либо разруливаем фаерволом.
Есть ещё вариант с убранным client-to-client и push'ем для всех клиентов маршрута к вашей "пинговалке".

razorback

mak_v_ писал(а):А что подразумевается под ОS, простите?
Бредяка какая-то.
Либо убираем client-to-client, либо разруливаем фаерволом.
Есть ещё вариант с убранным client-to-client и push'ем для всех клиентов маршрута к вашей "пинговалке".

Как? Вот пример - Клиент 10.8.0.14 (сеть 10.8.0.12/30) и клиент (я) 10.8.0.6 (сеть 10.8.0.4/30), сервер, который видит на всех - 10.8.0.1. Я мне кажется все уже перепробовал. Напишите пример пож, как вы это видите....

mak_v_ · Непрочитанное сообщение **mak_v_** » 2013-08-14 9:07:23

в конфиге сервера прописать

Код: Выделить всё

route 10.8.0.0  255.255.255.252
push "route 10.8.0.6 255.255.255.252"

Где-то так и проверить трассировочкой.

mak_v_ · Непрочитанное сообщение **mak_v_** » 2013-08-14 9:17:44

Код: Выделить всё

route 10.8.6.0  255.255.255.252
push "route 10.8.0.6 255.255.255.252"

razorback

Решил. Все это бред. Все что нужно сделать для моих нужд - это включить ip_forwarding (sysctl net.inet.ip.forwarding=1), затем на моем клиенте маршрут до всей 10.8.0.0 (route add 10.8.0.0 mask 255.255.255.0 10.8.0.5) и на всех остальных клиентах маршрут до меня (например, route add 10.8.0.6 mask 255.255.255.255 10.8.0.5). Блин охренеть я рад... Бился башкой об стол, а про forwarding момент упустил, а все написано на офф. сайте......

mak_v_ · Непрочитанное сообщение **mak_v_** » 2013-08-14 12:01:24

Ну так а я вам что написал?
"route 10.8.0.0 255.255.255.252" - говорим что сеть 10.8.0.0/24 лежит за опенвпн-сервером
"push "route 10.8.0.6 255.255.255.252"" - добавляем насильно всем клиентам маршрут к вашему тазику
А про "sysctl net.inet.ip.forwarding=1" - так вы бы ещё интерфейсы не настроили, и потом тролили "почему не работает".

forum.lissyara.su

OpenVPN доступ

OpenVPN доступ

Услуги хостинговой компании Host-Food.ru

Re: OpenVPN доступ

Re: OpenVPN доступ

Re: OpenVPN доступ

Re: OpenVPN доступ

Re: OpenVPN доступ

Re: OpenVPN доступ

Re: OpenVPN доступ

Re: OpenVPN доступ

Re: OpenVPN доступ

Re: OpenVPN доступ

Re: OpenVPN доступ

Re: OpenVPN доступ

Re: OpenVPN доступ

Re: OpenVPN доступ