允许 OpenVPN 客户端的互联网流量并阻止 LAN

tag-icon tag-icon linux openvpn ubuntu-14.04
允许 OpenVPN 客户端的互联网流量并阻止 LAN

我的 Unbuntu 14.04 服务器上有一个 OpenVPN 服务器坏了。一切正常,客户端连接到服务器并可以 ping VPN 服务器。我希望客户端使用我的互联网,就像他的互联网一样,但我还想阻止客户端访问我的家庭局域网。以下是我的设置:

Home LAN: 192.168.1.0/24
Router: 192.168.1.2
OpenVPN LAN ip: 192.168.139
VPN Network: 10.8.0.0/24

Server Configuration:
proto udp
dev tun
ca ca.crt
cert openvpn-server.crt
key openvpn-server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
push "dhcp-option DNS 68.237.161.12"
push "dhcp-option DNS 71.250.0.12"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Client Configuration:
client
dev tun
proto udp
remote (ip removed) 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert andres.crt
key andres.key
remote-cert-tls server
comp-lzo
verb 3

我所做的是启用数据包转发

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

它可以工作,但是客户端可以访问我的整个 LAN。

我如何阻止我的 LAN 并允许互联网流量到达 openvpn 客户端?

谢谢你,

答案1

我会用 iptables 来做这件事。

iptables -A INPUT -s 10.8.0.0/24 -d 192.168.1.0/24 -j DROP

答案2

我认为默认情况下没有通往您家庭局域网的路由。您可以 ping 位于 192.168.1.0/24 的 OpenVPN 服务器上的 IP 地址,但无法ping 任何其他地址。因为当我设置我的服务器时,我必须在 server.conf 文件中推出路由,并在路由器上添加静态路由,以便允许访问 192.168.1.0/24 网络。

相关内容