LINUX.ORG.RU
ФорумAdmin

Может ли клиент проигнорировать назначенный ему OpenVPN IP-адрес?

 ,


2

2

Допустим, я назначаю определённым клиентам OpenVPN определённые IP-адреса при помощи файлов в client config dir:

ccd/user1

    ifconfig-push 10.8.1.1 10.8.1.2

И правильно ли я понимаю, что этот client1 не сможет назначить себе другой IP-адрес, отличный от выданного, если проигнорирует push и выставит другой, то трафик не пойдёт? Или же это как с dhcp: адрес выдаётся сервером, но клиент может проигнорировать и назначить свой?

Если tap(L2) - то может.

Если tun(L3) - хз, зависит от того, как оно в OpenVPN реализовано. Проверять нгадо или в сырцах копаться.

selivan ★★★ ()
Ответ на: комментарий от fjfalcon

А есть ли возможность жёстко назначить IP-адрес, так, чтобы клиент не мог сменить? А то есть задача: ограничить некоторым клиентам доступ к сети за openvpn-сервером.

te111011010 ()
Ответ на: комментарий от fjfalcon

И по какому критерию фильтровать? Я как раз и собирался дать клиентам определённые ip-адреса без возможности смены, и iptables по ip-адресам будет определять, кого пускать, кого нет.

te111011010 ()
Ответ на: комментарий от fjfalcon

Так, кое-какое недопонимание возникло. У меня есть сервер, который смотрит одним интерфейсом в локальную сеть (допустим, 192.168.1.0/24), другим в глобальную. Через глобальную сеть к нему коннектятся openvpn-клиенты. Нужно, чтобы определённый openvpn-клиент мог коннектиться только к определённым адресам из сети 192.168.1.0. Допустим, user1 может ходить только на 192.168.1.5.

Что я планировал сделать? Допустим, назначаем openvpn-клиенту user1 ip-адрес 10.8.1.2/24. Далее iptables:

iptables -P FORWARD DROP
iptables -A -s 10.8.1.2 -d 192.168.1.5 -j ACCEPT

Теперь возвращаемся к теме. Что, если user1 сменит Ip-адрес на другой, который вообще я назначал для другого клиента, и, соответственно, получит право ходить на те адреса, на которые ему ходить нельзя?

te111011010 ()
Ответ на: комментарий от cyclon

А как ты менял? У меня почему-то не работает. Может что упустил, или это вообще по-другому делается? Я так так:

ifconfig tun0 192.168.123.54 pointopoint 192.168.123.53 mtu 1500
route add -net 192.168.123.1 netmask 255.255.255.255 gw 192.168.123.53

Я так делал. 192.168.123.1 не доступен, хотя с выдаваемыми сервером адресами доступен. Они, естественно, из той же подсети.

te111011010 ()
15 октября 2014 г.

вот для размышления.

в моей конфигурации задать сабе произвольный ip у клиента не получается связь после этого не пашет и адрес 10.9.10.1 с клиента не звонится:

sudo ip a del 10.9.10.4 brd 10.9.10.31 dev tun0 
sudo ip a add 10.9.10.22 brd 10.9.10.31 dev tun0 

настройки сервера:

daemon
nice -15
local 10.10.10.3
port 11199
proto tcp
dev tun

ca /etc/openvpn/certs/ca.crt
cert /etc/openvpn/certs/support.crt
key /etc/openvpn/certs/support.key
dh /etc/openvpn/certs/dh1024.pem
tls-auth /etc/openvpn/certs/ta.key 0
cipher AES-128-CBC

server 10.9.10.0 255.255.255.0
keepalive 60 120
comp-lzo
push "comp-lzo yes"
push "dhcp-option DNS 10.9.10.1"
topology subnet
client-config-dir /etc/openvpn/ccd

max-clients 7
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-tcp-status.log
log /var/log/openvpn.log
verb 3
mute 20

и настройки клиента:

ifconfig-push 10.9.10.4 255.255.255.224
push "route 192.168.11.0 255.255.255.0"

Acceptor ★★ ()
Последнее исправление: Acceptor (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.