LINUX.ORG.RU
ФорумAdmin

OpenVPN тока для лок. сети

 ,


0

1

Наша компания мониторит у разных юр. лиц конечные устройства. OpenVPN требуется тока для нашей внутренней сети. У юр. лиц OpenVPN ставится на роутеры. Требуется заблочить трафик глобы через наш OpenVPN.

Есть например:

  1. user01.ovpn (vpn_ip: 172.17.0.3)
  2. user03.ovpn (vpn_ip: 172.17.0.4)

Конфиг сервера:

local x.x.x.x
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 172.17.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 60
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
management localhost 7505

client-to-client
client-config-dir /etc/openvpn/ccd

route 192.168.10.0 255.255.255.0

Конфиг user03.ovpn:

iroute 192.168.10.0 255.255.255.0

При такой конфигурации, норм идёт пинг и есть доступ к конечным устройствам в подсети 192.168.10.0/24

Если закоментить строку:

push "redirect-gateway def1 bypass-dhcp"

То глоб. инет не идёт через тунель, но оч. медленно открываются страницы, между собой пингуются 172.17.0.0/24, но пропадает доступ на подсеть 192.168.10.0/24. Подскажите пожалуйста как корректнее сконфигурировать, заранее спасибо.



Последнее исправление: ramneak (всего исправлений: 1)

push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»

На юг

Добавить push "route $YOU_LAN $MASK_YOU_LAN"

anc ★★★★★
()

Требуется заблочить трафик глобы через наш OpenVPN

Ясно-понятно

zgen ★★★★★
()
Ответ на: комментарий от anc

Не работает!

local x.x.x.x
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 172.17.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 8.8.8.8"
;push "dhcp-option DNS 8.8.4.4"
keepalive 10 60
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
management localhost 7505

client-to-client
client-config-dir /etc/openvpn/ccd

route 192.168.10.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
ramneak
() автор топика
Ответ на: комментарий от ramneak

Ну что такое, удалили до того как я поместил ответ. Вот вам ответ на удаленное, зря что ли я кнопочки тыпал? :)
Уже интереснее. А сервер где-то сам по себе. Я правильно понял?

anc ★★★★★
()
Ответ на: комментарий от anc

Точнее всё опишу:

user01.ovpn (vpn_ip: 172.17.0.4, клиент win) лок. 192.168.1.0/24

user03.ovpn (vpn_ip: 172.17.0.3, роутер) лок. 192.168.10.0/24

в /etc/openvpn/ccd на данный момент тока 1 файл: user03

iroute 192.168.10.0 255.255.255.0

конфиг user01.ovpn:

client
dev tun
proto tcp
remote x.x.x.x
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
block-outside-dns
verb 3

настройки роутера: https://b.radikal.ru/b20/2111/ea/d1895d44f04d.png

ramneak
() автор топика
Ответ на: комментарий от anc

Пардон, хотел корректнее описать настройки. Сервер OpenVPN, развёрнут на VPS

ramneak
() автор топика
Ответ на: комментарий от ramneak

user01 - в ccd push "route 192.168.10.0 255.255.255.0"
Можно и в основной конфиг. Роутер c 192.168.10.0/24 просто матюгнется при добавлении, не более того.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Спасиб большое, добавил:

user01 - в ccd push «route 192.168.10.0 255.255.255.0»

и заработало

также пришлось раскоментить: push «dhcp-option DNS 8.8.8.8» push «dhcp-option DNS 8.8.4.4»

иначе страницы долго открывались или ваще не открывались

ramneak
() автор топика
Ответ на: комментарий от ramneak

также пришлось раскоментить: push «dhcp-option DNS 8.8.8.8» push «dhcp-option DNS 8.8.4.4»

Это уж ваши «внутренние еврейские разборки» (с) :) какие днс сервера работают или не работают...

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.