我的 Unbuntu 14.04 服务器上有一个 OpenVPN 服务器坏了。一切正常,客户端连接到服务器并可以 ping VPN 服务器。我希望客户端使用我的互联网,就像他的互联网一样,但我还想阻止客户端访问我的家庭局域网。以下是我的设置:
Home LAN: 192.168.1.0/24
Router: 192.168.1.2
OpenVPN LAN ip: 192.168.139
VPN Network: 10.8.0.0/24
Server Configuration:
proto udp
dev tun
ca ca.crt
cert openvpn-server.crt
key openvpn-server.key
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
push "dhcp-option DNS 68.237.161.12"
push "dhcp-option DNS 71.250.0.12"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
Client Configuration:
client
dev tun
proto udp
remote (ip removed) 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert andres.crt
key andres.key
remote-cert-tls server
comp-lzo
verb 3
我所做的是启用数据包转发
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
它可以工作,但是客户端可以访问我的整个 LAN。
我如何阻止我的 LAN 并允许互联网流量到达 openvpn 客户端?
谢谢你,
答案1
我会用 iptables 来做这件事。
iptables -A INPUT -s 10.8.0.0/24 -d 192.168.1.0/24 -j DROP
答案2
我认为默认情况下没有通往您家庭局域网的路由。您可以 ping 位于 192.168.1.0/24 的 OpenVPN 服务器上的 IP 地址,但无法ping 任何其他地址。因为当我设置我的服务器时,我必须在 server.conf 文件中推出路由,并在路由器上添加静态路由,以便允许访问 192.168.1.0/24 网络。