LINUX.ORG.RU
ФорумAdmin

OpenVPN и изоляция клиентов

 , ,


0

1

Всем привет. Может быть кто-то сталкивался с подобной проблемой? Каким образом на сервере OpenVPN, который работает на CentOS, можно изолировать клиентов друг от друга? Топология — subnet, интерфейс tun0 находится в зоне trusted на firewalld. Можно, конечно, переместить tun0 в другую зону, но тогда клиенты OpenVPN перестанут видеть не только друг друга, но и, например, сеть, в которой находится eth0 самого сервера CentOS.

P.S. Смена топологии и использование client-to-client в конфиге неприменимо в моем случае.

Ответ на: комментарий от mky

Честно говоря, не понимаю, откуда столько токсичности. Проблема насущная, особенно если клиентов сотни. Выяснилось, что они не особенно следят за безопасностью своих устройств и могут обмениваться вирусами друг с другом через сеть OpenVPN. Вопрос был в том, как их изолировать друг от друга без смены топологии и client-to-client в конфиге. В текущей топологии удобнее работать с диапазонами адресов, файрволить, использовать ccd и различные скрипты загрузки, а net30 это не всегда удобно.

Если кто-то столкнется с подобной проблемой, то решение:

firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i tun0 -o tun0 -j DROP

https://9to5answer.com/openvpn-client-to-client

Всем спасибо.

naemeless
() автор топика
Последнее исправление: naemeless (всего исправлений: 1)
Ответ на: комментарий от naemeless

Если клиентов сотни, то решение — это изучить iptables и писать нормальные правила, а не firewalld.

Если клиенты не следят за вирусами, то зачем их в зону trusted? И что токсичного в утверждении, что firewalld не поймёт правло ″iptables -I FORWARD″?

mky ★★★★★
()
Admin