LINUX.ORG.RU
решено ФорумAdmin

Маршрутизация между vpn и двумя изолированными сетями

 , ,


0

1

Добрый день!

Есть свеженький сервер, Centos 7, на нём установлен и настроен OpenVPN сервер с сетью 172.16.28.0/24. У сервера есть две изолированные сети 10.100.0.0/24 и 10.100.1.0/24. Необходимо настроить доступ vpn клиентов в сеть, но чтобы маршрутизация между локальными сетями небыло. Все найденные иструкции приводят к включение маршрутизации между ними. Мне не хватает знаний чтобы донастроить сервер.

Подскажите как настроить такую маршрутизацию, либо запретить маршрутизацию между сетями при стандартной настройке.

На всякий случай конфиг openvpn

port 13335
proto udp
dev tun

ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh.pem

server 172.16.28.0 255.255.255.0
push "route 10.100.0.0  255.255.255.0"
push "route 10.100.1.0  255.255.255.0"

ifconfig-pool-persist ipp.txt
client-to-client # позволяет клиентам openvpn подключаться друг к другу
client-config-dir /etc/openvpn/ccd

keepalive 10 120
comp-lzo
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log


Последнее исправление: mozillla (всего исправлений: 1)

Запрети через пакетный фильтр (iptables) или firewalld прохождение пакетов из одной в сети в другую. Если твой vpn сервер является для них шлюзом.

infomeh ★★
()

Я не распарсил

Необходимо настроить доступ vpn клиентов в сеть,

Какую?

но чтобы маршрутизация между локальными сетями небыло.

Между какими?

Дайте больше золота, желательно в виде схемки.

anc ★★★★★
()
Ответ на: комментарий от anc

Две локальных сети 10.100.0.0/24 шлюз 10.100.0.1 10.100.1.0/24 шлюз 10.100.1.1

VPN сервер с сетевыми в каждой сети, ens160 10.100.0.101 ens192 10.100.1.101 и у него vpn сеть 172.16.28.0/24 tun0 172.16.28.1

Делал по инструкции

echo net.ipv4.ip_forward=1  > /etc/sysctl.conf
sysctl -p /etc/sysctl.conf
firewall-cmd --permanent --zone=public --add-masquerade
firewall-cmd --complete-reload
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i tun0 -o ens160 -j ACCEPT
firewall-cmd --direct --permanent --add-rule ipv4 filter FORWARD 0 -i tun0 -o ens192 -j ACCEPT
firewall-cmd --complete-reload
yum install iptables-services -y
systemctl enable iptables
systemctl start iptables
iptables -F
iptables -t nat -A POSTROUTING -s 172.16.28.0/24 -j MASQUERADE
service iptables save

Надо чтобы vpn клиенты имели доступ и в сеть 10.100.1.0 и в сеть 10.100.0.0, но сети не были связаны между собой.

По этой инструкции, если комп с ip 10.100.0.50 добавит у себя маршрут к 10.100.1.0/24 через шлюз 10.100.0.101, то он получит доступ в сеть 10.100.1.0/24. Этого нельзя допустить.

mozillla
() автор топика
Ответ на: комментарий от infomeh

Это рабочее решение, но я полгода назад как-то настроил такой-же сервер, не используя фаервол.

mozillla
() автор топика
Ответ на: комментарий от mozillla

Делал по инструкции
firewall-cmd
yum install iptables-services -y
и так далее....

Вы сейчас издеваетесь? Покажите эту инструкцию, в которой такое написано.

В первом посте вам уже ответили, используйте fw удобный вам.

anc ★★★★★
()
Ответ на: комментарий от mozillla

Удачи. Хотя нет, лучше бы таких на просторах инета не было. Как читающих такие инструкции так и выполняющих их.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin