Comunidade OpenVPN limitando o acesso à sub-rede

Comunidade OpenVPN limitando o acesso à sub-rede

Configurei um servidor OpenVPN e está funcionando até agora. Eu tenho a seguinte sub-rede na minha rede, 10.200.1.0/24, 10.200.2.0/24e 10.200.3.0/24. Quando me conectei à minha VPN, consigo executar ping em todas as três sub-redes, sem problemas. Como posso limitar o acesso à sub-rede do lado do servidor? Não preciso ccdde configuração porque é destinado a todos os clientes. Eu só quero limitar o acesso à sub-rede 10.200.1/24e 10.200.2/24globalmente, se estiver conectado.

A configuração abaixo funciona onde o cliente não consegue acessar 10.200.3/24quando conectado porque o servidor não enviou a rota para o cliente. Mas quando o cliente adiciona manualmente a rota à sua máquina, ele pode tecnicamente conectar-se a ela.

Como posso impor do lado do servidor qual sub-rede pode ser acessada?

servidor.conf

local 10.200.0.8
port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.200.1.0 255.255.255.0"
push "route 10.200.2.0 255.255.255.0"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem
explicit-exit-notify

Responder1

Seu servidor VPN é um roteador IP (que encaminha pacotes), onde os pacotes podem ser filtrados (ser encaminhados ou não). Isso é feito com um firewall. Por exemplo, se o servidor for Linux, adicione:

iptables -I FORWARD 1 -s 10.8.0.0/24 -d 10.200.3.0/24 -j REJECT

O -I ... 1irá instalar a regra antes de qualquer outra coisa na cadeia, eu criei assim para ter certeza de que funcionaria corretamente como está, independentemente do que já está no firewall. Isso pode não ser o ideal. Por favor, ajuste a regra conforme necessário. Apenas certifique-se de que ele apareça antes de qualquer regra de permissão que corresponda a pacotes de clientes VPN.

Essa filtragem também pode ser feita com o plugin OpenVPN, mas é muito mais difícil de conseguir.

informação relacionada