DD-WRT - VPN-туннель с ограничениями доступа

1

Я хочу разрешить пользователям подключаться к моей домашней сети через маршрутизатор DD-WRT с использованием VPN-туннеля.

Я хочу, чтобы пользователи могли свободно обращаться к определенному IP-адресу в моей локальной сети (10.10.10.5). Я не хочу, чтобы клиенты могли просматривать интернет через VPN-туннель.

Кто-нибудь знает, как это настроить?


источник
Что ты здесь снимаешь? Что находится в вашей домашней сети, к которой вы хотите подключить посторонних людей? Компьютер? Файловый сервер? Медиасервер?
JohnThePro
Я хочу показать удаленный рабочий стол и NAS нескольким избранным. Я мог бы выставить их всех прямо в Интернет, но предпочел бы сначала пройти через VPN-туннель. Но в то же время я не хочу, чтобы эти люди могли «прятаться» за моим интернетом через VPN.

Ответы:

1

Настройте брандмауэр так, чтобы разрешить VPN только тот доступ, который им необходим. Устройство скорее всего tun0, DD-WRT должен использовать брандмауэр на основе iptables. В зависимости от памяти вы можете посмотреть на установку shorewall или же shorewall-lite,

В вашем случае вы, скорее всего, захотите принять политику REJECT для устройства и принять правила

  • связанный и установленный трафик.
  • входящие подключения к вашему NAS
  • входящие подключения к вашему удаленному рабочему столу
  • входящие подключения к вашему DNS, если вы нажимаете DNS-серверы
  • доступ к Интернету для всего или ограниченный доступ, если вы предпочитаете

Если вы только проталкиваете маршрут к своей сети от пользователей VPN, доступ в Интернет должен осуществляться через их существующее соединение, и вам не нужно будет разрешать им доступ. Однако это может разрешить доступ к вашим услугам через прокси на подключающихся серверах. Это зависит от вас, чтобы оценить риск.

BillThor
источник
0

Хорошо, если вы настраиваете VPN в пределах dd-wrt До тех пор, пока вы знаете имя пользователя и пароль, я считаю, что по умолчанию все вещи в вашей внутренней сети теперь доступны для вас.

Сервер больше не имеет прямого доступа к Интернету и по своей природе более безопасен. Как только туннель установлен, ЕСЛИ ограничения доступа dd-wrt работают правильно, у вас в основном это:

  1. Туннель VPN с определенной подсетью назначенных ему IP-адресов (192.168.3.x или любой другой)
  2. ограничение доступа функция на вашем маршрутизаторе, которая отключает интернет на определенных IP / диапазонах.
  3. Безопасный туннель, который пропускает трафик, назначает IP-адрес, к которому не разрешен доступ в Интернет, но из-за VPN все равно должен иметь возможность обмениваться данными с хостами внутри сети.
JohnThePro
источник
У меня есть сервер win2008, к которому я хочу получить доступ, в настоящее время я подключил порт rdp к Интернету, чтобы получить к нему доступ из любого места. Но я хочу изменить это, поэтому я должен быть в VPN для доступа к серверу через RDP (чем меньше интерфейсов, тем лучше).
0

Я закончил тем, что не использовал DD-WRT для достижения этой цели.

Кажется, есть проблема / ошибка с этим в сборке dd-wrt, которая у меня есть. Прошивка: DD-WRT v24-sp2 (08/07/10) std

Не уверен, в чем проблема, но после двух дней попыток я не смог заставить его принимать соединения. Есть также несколько потоков, где люди, казалось бы, настроили его правильно, не заставляя его работать http://www.dd-wrt.com/phpBB2/viewtopic.php?p=651839 (не могу опубликовать больше ссылок или я бы)

Вместо этого я решил эту проблему, настроив выделенный VPN-сервер, работающий на моей машине Hyper-V.

Я использовал это руководство, чтобы настроить его под Windows Server 2008 http://www.buchatech.com/2010/06/how-to-setup-vpn-access-on-server-2008/

Получил это работать сразу же, перенаправил TCP-порт 1723 с DD-WRT на сервер.

Как примечание стороны: Мой маршрутизатор DHCP использует 192.168.1.50-100, а мои пользователи VPN получают адреса с 192.168.1.200-210. Это позволяет пользователям VPN получать доступ к сети без трансляции NAT на сервере, а также без трансляции NAT, они также блокируются из Интернета :)


источник
Как примечание, я заблокировал интернет-трафик для всех подключенных пользователей, просто не настраивая трансляцию NAT на сервере,