Comunidad OpenVPN que limita el acceso a la subred

Comunidad OpenVPN que limita el acceso a la subred

He configurado un servidor OpenVPN y hasta ahora está funcionando. Tengo la siguiente subred en mi red, 10.200.1.0/24, 10.200.2.0/24y 10.200.3.0/24. Cuando me conecté a mi VPN, puedo hacer ping a las 3 subredes, no hay problema. ¿Cómo limito el acceso a la subred desde el lado del servidor? No necesito ccdconfiguración porque está destinado a todos los clientes. Solo quiero limitar el acceso a la subred 10.200.1/24y 10.200.2/24globalmente si estoy conectado.

La siguiente configuración funciona cuando el cliente no puede acceder 10.200.3/24cuando está conectado porque el servidor no envió la ruta al cliente. Pero cuando el cliente agrega manualmente la ruta a su máquina, técnicamente puede conectarse a ella.

¿Cómo hago cumplir desde el lado del servidor a qué subred se permite acceder?

servidor.conf

local 10.200.0.8
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.200.1.0 255.255.255.0"
push "route 10.200.2.0 255.255.255.0"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem
explicit-exit-notify

Respuesta1

Su servidor VPN es un enrutador IP (que reenvía paquetes), donde los paquetes pueden filtrarse (reenviarse o no). Esto se hace con un firewall. Por ejemplo, si el servidor es Linux, agrega:

iptables -I FORWARD 1 -s 10.8.0.0/24 -d 10.200.3.0/24 -j REJECT

Instalará -I ... 1la regla antes que cualquier otra cosa en la cadena. La diseñé de esta manera para asegurarme de que funcione correctamente tal como está, independientemente de lo que ya esté en el firewall. Puede que esto no sea óptimo. Por favor, ajuste la regla según sea necesario. Sólo asegúrese de que aparezca antes de cualquier regla de permisos que coincida con paquetes de clientes VPN.

Este filtrado también se puede realizar con el complemento OpenVPN, pero es mucho más difícil de lograr.

información relacionada