forum.lissyara.su

OpenVPN поднят, все работает.
Однако, задача у меня вот какая: допустим есть у меня 50 клиентов, отдельные не связанные друг с другом машины, разбросанные по инету. Все, что мне нужно - получить доступ к ним, никаких доступов к их подсетям мне не надо, только сама виндовая тачка с клиентом OpenVPN. И все работает, да, они подключаются, я их вижу, но сервер у меня в режиме client-to-client. Не нравится мне то, что все они видят друг друга. За себя не переживаю, а вот за то, в каком состоянии эти тачки и кто за ними может сидеть, отвечать не могу. Смущает то, что генерировать трафик они могут любой, + имеют доступ друг к другу. Не могу сообразить, как сделать так, чтобы либо они совсем друг друга не видели, только меня и я их, либо ipfw задействовать. Но в случае ipfw получается, что регулирую я доступ тока к серверу (шлюз по умолчанию туннельный я им не прописываю, вроде как не хочу, чтобы через меня они в инет ходили), друг друга то они все равно видят. Чего то никак не догоню, как правильно сделать. Посоветуйте пожалуйста!!!

Конфиг сервера:

Извините, а какова задача-то в общем была? Окроме, что они друг друга не должны видеть.

digital_punk писал(а):Извините, а какова задача-то в общем была? Окроме, что они друг друга не должны видеть.

Да простая задача. Иметь возможность удаленно в любой момент попасть на комп юзера(rdp например), какие то сервисы предоставить, и т.п.

А может проще товарищу teamviewer или что-то подобное поставить?

digital_punk писал(а):А может проще товарищу teamviewer или что-то подобное поставить?

эх, было бы это проще... нет, не проще.

Почему? Пользователю Вы просто говорите запустить программу и при надобности заходите. а так Вы держите подключение постоянным. В том же тимвьювере можно объединить компы в список и постоянно держать с ними соединение. Если нужно подключаться.

а почему client-to-client? без него нельзя?
я так понимаю именно из-за этой опции не удается фаерволом резать пакеты?

dmtr писал(а):а почему client-to-client? без него нельзя?
я так понимаю именно из-за этой опции не удается фаерволом резать пакеты?

Вот, если без него, то все красиво, только как тогда сделать, чтобы я их пинговал(имел к ним доступ)? У всех клиентов масочка получается 255.255.255.252... тока сервер видит всех и все сервер.

Однозначно надо убрать client-to-client
Когда включена данная опция пакеты в OS даже не попадают они пересылаются ВНУТРИ виртуального OpenVPN switch

Когда вы уберете client-to-client пакет от source клиента к dest клиенту "падет" в ОС - а вот дальше как разрулить.......?

А что подразумевается под ОS, простите?
Бредяка какая-то.
Либо убираем client-to-client, либо разруливаем фаерволом.
Есть ещё вариант с убранным client-to-client и push'ем для всех клиентов маршрута к вашей "пинговалке".

mak_v_ писал(а):А что подразумевается под ОS, простите?
Бредяка какая-то.
Либо убираем client-to-client, либо разруливаем фаерволом.
Есть ещё вариант с убранным client-to-client и push'ем для всех клиентов маршрута к вашей "пинговалке".

Как? Вот пример - Клиент 10.8.0.14 (сеть 10.8.0.12/30) и клиент (я) 10.8.0.6 (сеть 10.8.0.4/30), сервер, который видит на всех - 10.8.0.1. Я мне кажется все уже перепробовал. Напишите пример пож, как вы это видите....

в конфиге сервера прописать Где-то так и проверить трассировочкой.

Решил. Все это бред. Все что нужно сделать для моих нужд - это включить ip_forwarding (sysctl net.inet.ip.forwarding=1), затем на моем клиенте маршрут до всей 10.8.0.0 (route add 10.8.0.0 mask 255.255.255.0 10.8.0.5) и на всех остальных клиентах маршрут до меня (например, route add 10.8.0.6 mask 255.255.255.255 10.8.0.5). Блин охренеть я рад... Бился башкой об стол, а про forwarding момент упустил, а все написано на офф. сайте......

Ну так а я вам что написал?
"route 10.8.0.0 255.255.255.252" - говорим что сеть 10.8.0.0/24 лежит за опенвпн-сервером
"push "route 10.8.0.6 255.255.255.252"" - добавляем насильно всем клиентам маршрут к вашему тазику
А про "sysctl net.inet.ip.forwarding=1" - так вы бы ещё интерфейсы не настроили, и потом тролили "почему не работает".