OpenVPN memungkinkan dua klien untuk terhubung satu sama lain tanpa menggunakan klien-ke-klien secara global

8

Saya menjalankan OpenVPN 2.3.7 pada CentOS 6. Saya menggunakan routing (tun) dan memiliki dua instance OpenVPN. Pada contoh kedua ada dua klien yang saya ingin terlihat satu sama lain yaitu ping, mengakses port dll ccd.

Saya ingin kedua klien dapat saling melihat melalui alamat IP LAN OpenVPN mereka tanpa mengaktifkan client-to-clientdi server.conf.

Saya cukup yakin itu bisa dilakukan dengan iptables, yang saya gunakan sebagai firewall saya, meskipun saya menggunakan CSF, tetapi ini adalah pembungkus untuk iptables.

Ini adalah alamat IPv4 klien:

OpenVPN Client #1: 10.8.2.14 
OpenVPN Client #2: 10.8.2.17

Saya perlu klien # 1 untuk dapat mengakses layanan yang berjalan pada klien 2, dan saya kira untuk kompatibilitas klien # 2 untuk melihat klien # 1 jika diperlukan respons.

Saya telah mencoba beberapa aturan rantai FORWARD pada server OpenVPN, tetapi saya tidak bisa mendapatkan komunikasi antara kedua klien. Server OpenVPN jelas dapat melakukan ping kedua klien, klien dapat melakukan ping ke gateway server OpenVPN, klien tidak dapat saling melihat.

Beberapa aturan yang sudah saya coba dan belum berfungsi:

iptables -A FORWARD -s 10.8.2.14 -d 10.8.2.17 -j ACCEPT
iptables -A FORWARD -s 10.8.2.17 -d 10.8.2.14 -j ACCEPT

Saya mencari bantuan dengan iptables untuk membuat dua klien terlihat satu sama lain, tanpa mengaktifkan klien-ke-klien, lihat ini adalah persyaratan khusus untuk dua klien dan tidak diperlukan di tempat lain.

Alternatifnya adalah mengekspos layanan pada klien VPN melalui NAT, tetapi saya lebih suka menghindari melakukan ini untuk keamanan.

Wawasan apa pun akan sangat membantu!

Terima kasih,

James

centos routing openvpn James White
sumber
Bisakah Anda memposting output ifconfigdan tabel routing ( netstat -rn) dari dua node?
Oliver

Jawaban:

1

Saya sarankan Anda melakukan yang sebaliknya: aktifkan client-to-clientkemudian gunakan iptables untuk memblokir semua klien tetapi dua yang ingin Anda izinkan untuk berbicara satu sama lain.

pjz
sumber
1

Saya tahu pertanyaan ini sudah lama, tetapi hanya untuk mengklarifikasi bahwa untuk pengguna baru yang mungkin masih mengunjungi halaman ini:

jika Anda menggunakan client-to-clientAnda tidak dapat benar-benar menggunakan firewall, server bahkan tidak akan melihat paket-paket itu sama sekali karena mereka tidak pernah kembali dari server OpenVPN, jadi, karena mereka tidak mencapai lapisan host, Anda tidak akan dapat menggunakan firewall karena tidak akan tercapai dan aturan Anda tidak akan berguna dengan cara itu.

Matius
sumber