При использовании сервера OpenVPN TUN (уровень 3) с client-to-client
отключенным, мои клиенты могут по-прежнему общаться друг с другом.
Конфигурация клиент-клиент должна предотвратить это в соответствии с документацией:
Раскомментируйте директиву «клиент-клиент», если вы хотите, чтобы клиенты могли соединяться друг с другом через VPN. По умолчанию клиенты будут иметь доступ только к серверу.
Почему клиенты могут продолжать общаться друг с другом, если эта опция отключена?
Вот мой сервер conf:
port 443
proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh4096.pem
topology subnet
server 10.10.201.0 255.255.255.128
ifconfig-pool-persist ipp.txt
crl-verify /etc/openvpn/keys/crl.pem
push "route [omitted]"
push "dhcp-option DNS [omitted]"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login
cipher AES-256-CBC
tls-auth /etc/openvpn/keys/pfs.key 0
verb 4
Следующий абзац справочной страницы для
openvpn
ответов на этот вопрос, хотя это не обязательно понятно при первом чтении:client-to-client
Вариант короткого замыкания обычных таблиц маршрутизации на сервере. Удаление этого не мешает клиентам использовать таблицы маршрутизации сервера. Если эти таблицы маршрутизации - и конфигурация брандмауэра сервера - позволяют клиентам видеть друг друга, они смогут это сделать.источник
Вам нужно сделать больше, чем просто комментировать директиву, как здесь сказано :
Поэтому вы можете настроить отдельную политику IP-адресов для каждого клиента. См. Раздел Настройка клиентских правил и политик доступа здесь: https://openvpn.net/index.php/open-source/documentation/howto.html . и здесь: https://www.sbarjatiya.com/notes_wiki/index.php/Configuring_separate_IP_and_firewall_rule_for_each_openvpn_client .
источник