以下是我尝试配置的简要图表
我有多个客户端连接到我的 VPN 服务器(从 10.0.1.2 到 10.0.25.2)。客户端后面的每个 LAN 始终相同:192.168.1.0/24,设备使用客户端作为默认网关。我需要每个远程用户只能访问每个客户端后面的某些设备
我需要进行什么样的配置才能通过 VPN 子网中的地址访问 LAN 设备?
例如 :
- 设备1-behind-client_001:192.168.169.125/24 <=> 10.0.1.101
- 设备2-behind-client_001:192.168.169.126/24 <=> 10.0.1.102
- 设备3-behind-client_001:192.168.169.127/24 <=> 10.0.1.103
- 设备1-behind-client_002:192.168.169.125/24 <=> 10.0.2.101
- 设备1-behind-client_003:192.168.169.125/24 <=> 10.0.3.101
每个客户端都已经连接到服务器并配置了tun接口。
编辑
我的 OpenVPN 服务器上的 iptables
iptables -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A POSTROUTING -s 10.0.0.0/16 -o eth0 -j MASQUERADE
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
client_001 上的 iptables(示例)
iptables -t nat -A PREROUTING -d 10.0.1.102/32 -i eth0 -j DNAT --to-destination 192.168.1.126
iptables -t nat -A POSTROUTING -s 192.168.1.126/32 -o eth0 -j SNAT --to-source 10.0.1.102/32
通过这样的配置,如果远程用户连接到服务器,他是否可以通过这个地址 10.0.1.102 访问 client_001 局域网上的 192.168.1.126 设备?
答案1
在配置中禁用“客户端到客户端”选项并使用防火墙/iptables 来过滤流量。