我有一个 OpenVPN 服务器,它已经正常运行,并允许人们在我们的服务器上工作。有一个新项目需要我允许一组外包程序员访问网络和网络内的一个特定服务器。我想让他们只连接到网络上的一个开发服务器,但我还想知道他们无法连接到网络上的任何其他服务器。这可能吗?怎么做?
这是我的server.conf文件:
ca ca.crt
cert server.crt
comp-lzo
dev tun
dh dh1024.pem
group nobody
ifconfig-pool-persist ipp.txt
keepalive 10 120
key server.key # This file should be kept secret
persist-key
persist-tun
port 1194
proto tcp
push "dhcp-option DNS 208.67.220.220"
push "dhcp-option DNS 208.67.222.222"
push "route 10.1.X.0 255.255.255.0"
push "route 192.168.X.0 255.255.255.0"
push "route 192.168.Y.0 255.255.255.0"
server 192.168.Y.0 255.255.255.0
status openvpn-status.log
user nobody
verb 3
我应该添加什么?它会影响已经连接的用户吗?它会给已经连接到此服务器的用户带来任何问题吗?
答案1
正如 MealstroM 所说,这是可能的。整个过程都有据可查在 OpenVPN HOWTO 的相关部分中,但该过程的简短摘要如下:
配置 OpenVPN 服务器,根据嵌入在各自证书中的 CN 区分普通用户和“受限”用户(仅允许访问某些机器的用户)
做出这样的区分后,配置 OpenVPN,将一个 VPN 地址块中的 VPN 地址分配给常规用户,将另一个 VPN 地址块中的 VPN 地址分配给强制用户
在第 3 层区分特权流量和非特权流量后,编写适当的
iptables规则以仅允许来自受控用户网络块的所需流量。
你问 ”这会影响已经连接的用户吗“。如果你指的是短期内,那么是的,因为这将需要重新启动服务器,从而断开所有人的连接;如果你指的是长期内,那么不是,现有用户不需要任何重新配置或更改。所有这些更改都是服务器端的。
答案2
是的,这是可能的。您应该使用对等 openvpn 架构并在 openvpn 服务器上使用“推送路由”。
确保您不使用“客户端到客户端”选项。