|
Serwer openvpn - Push LAN to clients
|
| Barticf |
Dodano 26-06-2015 14:23
|
Power User
Posty: 230
Dołączył: 15/05/2012 16:21
|
Witam, potrzebuje mieć dostęp do klientów openvpn z mojego LANu użyłem tej opcji ale przez to u klienta vpn dostępne jest połączenie z moją siecią lan. Chciał bym tak by moja sieć lan nie była widoczna u klientów przy czy chciał bym zachować możliwość łączenia się z urządzeń w sieci lan do ip klienta z openvpn. Najlepiej gdyby się dało ustawić tak by klient openvpn miał dostęp tylko do danych urządzeń w lanie (adresów ip) o danych portach. Da radę to zrobić ?
Połączony z 26 June 2015 15:06:27:
Czyli ma to być tak
1. Jeśli komputer z adresu ip o zakresie 10.8.0.2-10.8.0.x chce się połączyć z adresem ip Y to takie połączenie ma być zablokowane
I tak będzie blokada dostępu do całego urządzenia o ip Y. Teraz chciał bym odblokować dostęp do tego urządzenia ale tylko na pewnych portach w nim.
Edytowany przez Barticf dnia 26-06-2015 15:06
|
| |
|
|
| shibby |
Dodano 26-06-2015 15:44
|
SysOp
Posty: 17143
Dołączył: 15/01/2009 20:30
|
moim zdaniem najprościej będzie w openVPN server wybrać Firewall na Custom i samemu napisać odpowiednie regułki iptables. Wtedy uzyskasz to co chcesz, czyli widoczność tylko na danych portach.
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| Barticf |
Dodano 26-06-2015 16:47
|
Power User
Posty: 230
Dołączył: 15/05/2012 16:21
|
I wtedy jakich regułek użyć ?
iptables -A INPUT -p tcp -d ip kompa w lanie -j DROP
iptables -A INPUT -p tcp -d ip kompa w lanie --dport port -j ACCEPT
? |
| |
|
|
| shibby |
Dodano 26-06-2015 17:35
|
SysOp
Posty: 17143
Dołączył: 15/01/2009 20:30
|
dropować nie musisz, bo taka akcja jest domyślnie. Ponadto nie INPUT tylko FORWARD (input tyczy połączeń przychodzących do routera, forward połączeń przekazywanych przez router).
Proponuję ci podejrzeć sobie plik /etc/iptables z firewallem ustawionym na auto i na custom. Zobaczysz jakie wpisy dodaje tomato z automatu. Ty będziesz je musiał jedynie zmodyfikować ograniczając do wybranych hostów i portów.
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| Barticf |
Dodano 26-06-2015 18:29
|
Power User
Posty: 230
Dołączył: 15/05/2012 16:21
|
Problem jest taki, że nic się w tym pliku nie zmienia po zmianie w firewallu.
Na custom tracę dostęp do mojej sieci lan od klienta (o to mi chodzi) ale tracę go całkowicie a chce mieć dostęp do wybranych usług które są uruchomione na urządzeniach w sieci lan. Na custom tracę również możliwość połączenia z komputera do klienta openvpn (ssh) ale na to pomaga opcja Allow Client<->Client. |
| |
|
|
| shibby |
Dodano 26-06-2015 22:09
|
SysOp
Posty: 17143
Dołączył: 15/01/2009 20:30
|
no bo custom oznacza, że tomato nie tworzy żadnych reguł widoczności sieci i klientów, zatem trzeba wszystko samemu ustawić
regułki jakie tworzy tomato faktycznie nie są wpisywane w /etc/iptables. Są w /etc/openvpn/fw/
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| Barticf |
Dodano 27-06-2015 11:38
|
Power User
Posty: 230
Dołączył: 15/05/2012 16:21
|
Dobra, poradziłem sobie z tym dzięki za pomoc.
Pozostaje jeszcze kwestia odblokowania portów na routerze. Ustawienie Remote Access nic nie daje i moje regułki również nie działają.
Wyglądają tak (dla tych co też chcą tak zrobić)
iptables -A FORWARD -i tun21 -s 10.8.0.0/24 -d ip w lanie -p tcp --dport numer portu -j ACCEPT |
| |
|
' target='_blank'>Link
