LINUX.ORG.RU
решено ФорумAdmin

Упралять трафиком для ivanov.ii

 , ,


0

2

Клиенты

root@router:/etc/openvpn# netcat localhost 6001
>INFO:OpenVPN Management Interface Version 1 -- type 'help' for more info
status
OpenVPN CLIENT LIST
Updated,Wed Oct  8 16:55:45 2014
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ivanov.ii,213.180.204.3:1474,1948946,35626344,Wed Oct  8 12:43:55 2014
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
172.16.200.10,ivanov.ii,213.180.204.3:1474,Wed Oct  8 13:07:16 2014
GLOBAL STATS
Max bcast/mcast queue length,0
END

подключаются к серверу

root@router:/etc/openvpn# cat router.conf
mode server
tls-server
daemon vpn-server
proto udp
port 1194
dev tun
keepalive 10 120
ca ca.crt
cert router.crt
key router.key
dh dh1024.pem
server 172.16.200.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push dhcp-option DNS 172.16.200.75
log /var/log/openvpn_router.log
comp-lzo
client-config-dir ccd
management 127.0.0.1 6001
crl-verify /etc/openvpn/easy-rsa/2.0/keys/crl.pem

Маршруты прилетают клиентам используя ccd

root@router:/etc/openvpn/ccd# cat ivanov.ii
push route 192.168.206.0 255.255.255.0
root@router:/etc/openvpn/ccd# cat petrov.pp
push route 192.168.206.0 255.255.255.0
Адреса статически привязываются к клиентам после их назначения
root@router:/etc/openvpn# cat ipp.txt
ivanov.ii,172.16.200.4
petrov.pp,172.16.200.8

Задача

  • Клиенту «ivanov.ii» разрешить только 80 порт сервера 192.168.200.1;
  • Клиенту «petrov.pp» разрешить сервера 192.168.200.5-192.168.200.15;

Какие могут быть варианты решения?

★★★★★

Ничего не понял, но раз IP привязываются к пользователям, то чем firewall не устраивает?

zgen ★★★★★ ()
Ответ на: комментарий от zgen

Ничего не понял, но раз IP привязываются к пользователям, то чем firewall не устраивает?

Это самое очевидное. И в итоге нужен firewall.

А может openvpn метить трафик клиентов, что бы потом по этим меткам в правилах все разруливать?

petav ★★★★★ ()
Ответ на: комментарий от petav

А может openvpn метить трафик клиентов, что бы потом по этим меткам в правилах все разруливать?

Метить имеет смысл тогда, когда ты не знаешь, какой IP у клиента, но знаешь точку входа трафика и имеешь возможность пометить его.

Если ты уже привязал IP к пользователю, то зачем метить то?

Или ты хочешь отказаться от привязки и ищешь другое решение для своей задачи? - но из изначального текста это никак не следует.

zgen ★★★★★ ()
Ответ на: комментарий от zgen

Или ты хочешь отказаться от привязки и ищешь другое решение для своей задачи?

Ищу возможные варианты, поэтому четко вопрос и не поставил. Мне кажется логичнее метить было бы (если бы это было возможно делать внтури openvpn) и рулить потом проще.

petav ★★★★★ ()
Ответ на: комментарий от zgen

когда ты не знаешь, какой IP у клиента

Кстате, те адреса что в ipp.txt соответствуют реальным за вычетом -2 толи +2, т.е. если написано 172.16.200.4 то у клиента будет 172.16.200.2 или 172.16.200.6 Мне пока это не совсем очевидно.

petav ★★★★★ ()
Ответ на: комментарий от petav

Ищу возможные варианты

Увы, я других с openvpn не знаю.

Мне кажется логичнее метить было бы и рулить потом проще.

А мне, например, нет.

Мне пока это не совсем очевидно.

используй не ipp, а ccd и передавай нужный адрес через ifconfig-push

https://community.openvpn.net/openvpn/wiki/Concepts-Addressing#StaticAddressA...

zgen ★★★★★ ()
Ответ на: комментарий от zgen

используй не ipp, а ccd и передавай нужный адрес через ifconfig-push

присмотрюсь...

petav ★★★★★ ()

openvpn умеет запусткать скрипты при подсоединении клиента, передавая скрипту параметры....

uspen ★★★★★ ()
Ответ на: комментарий от uspen

openvpn умеет запусткать скрипты при подсоединении клиента, передавая скрипту параметры....

Таааак... и это можно применить для достижения обозначенной цели?

petav ★★★★★ ()
Ответ на: комментарий от petav

Таааак... и это можно применить для достижения обозначенной цели?

Само собой. Для этого и придумано. Ищите в доках упоминания up/down.

dhameoelin ★★★★★ ()
Ответ на: комментарий от dhameoelin

и это можно применить для достижения обозначенной цели?

Само собой.

На мой взгляд, Вы ошибаетесь, данный функционал не применим к поставленной задаче.

SCRIPTING AND ENVIRONMENTAL VARIABLES

Надо выполнить скрипт, который заставит openvpn метить часть трафика проходящего через tun/tap интерфейс. Что бы метить трафик нужно постоянно, что-то выделяющее часть пакетов пришедших по определенному сертификату/соединению. Скрипту up/down это не подсилу в силу специфики его работы.

petav ★★★★★ ()
Последнее исправление: petav (всего исправлений: 1)
Ответ на: комментарий от zgen

используй не ipp, а ccd и передавай нужный адрес через ifconfig-push

Так лучше. Спасибо за совет. И да, теперь метить трафик не актуально.

petav ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.