OpenVPN позволяет двум клиентам соединяться друг с другом, не используя клиент-клиент во всем мире

8

Я использую OpenVPN 2.3.7 на CentOS 6. Я использую маршрутизацию (tun) и имею два экземпляра OpenVPN. Во втором случае есть два клиента, которых я хотел бы сделать видимыми друг другу, например, ping, порты доступа и т. Д. Они оба находятся в одной подсети, поэтому это должно быть довольно просто, они настроены со статическими адресами через ПЗС-матрица.

Я хочу, чтобы эти два клиента могли видеть друг друга через свои IP-адреса OpenVPN LAN, не включая client-to-clientв server.conf.

Я почти уверен, что это можно сделать с помощью iptables, который я использую в качестве брандмауэра, хотя я использую CSF, но это оболочка для iptables.

Это IPv4-адреса клиентов:

OpenVPN Client #1: 10.8.2.14 
OpenVPN Client #2: 10.8.2.17

Мне нужен клиент № 1, чтобы иметь возможность доступа к службам, работающим на клиенте № 2, и я предполагаю, что клиент № 2 совместимости будет видеть клиента № 1, если требуется ответ.

Я пробовал несколько правил цепочки FORWARD на сервере OpenVPN, но я не могу получить никакой связи между двумя клиентами. Сервер OpenVPN может пинговать обоих клиентов, клиенты могут пинговать шлюз сервера OpenVPN, клиенты не могут видеть друг друга.

Некоторые правила, которые я уже пробовал и не сработал:

iptables -A FORWARD -s 10.8.2.14 -d 10.8.2.17 -j ACCEPT
iptables -A FORWARD -s 10.8.2.17 -d 10.8.2.14 -j ACCEPT

Мне нужна помощь с iptables, чтобы два клиента были видны друг другу, не включая клиент-клиент. Я вижу, что это специальное требование для двух клиентов и больше нигде не нужно.

Альтернативой является предоставление сервисов на VPN-клиенте через NAT, но я бы предпочел не делать этого для безопасности.

Любое понимание будет полезно!

Спасибо,

Джеймс

centos routing openvpn Джеймс Уайт
источник
Можете ли вы опубликовать вывод ifconfigи таблицу маршрутизации ( netstat -rn) двух узлов?
Оливер

Ответы:

1

Я предлагаю вам сделать наоборот: включите client-to-clientи затем используйте iptables для блокировки всех клиентов, кроме двух, которым вы хотите разрешить общаться друг с другом.

pjz
источник
1

Я знаю, что этот вопрос старый, но просто чтобы прояснить это новым пользователям, которые все еще могут посещать эту страницу:

если вы используете, client-to-clientвы не можете использовать брандмауэр, сервер вообще не увидит эти пакеты, так как они никогда не возвращаются с сервера OpenVPN, поэтому, поскольку они не достигают уровня хоста, вы не сможете использовать брандмауэр, поскольку он не будет достигнут, и ваши правила будут бесполезны в этом смысле.

Мэтью
источник