我已经在我的局域网上设置了一个 VPN 盒。
我的局域网网关是192.168.2.1。
我在路由器上设置了端口转发以允许传入的 VNP 连接。VPN 盒 LAN 地址是 192.168.2.42
OpenVPN 创建的 tun0 接口是 10.8.0.0/24
一切运行正常。客户端被分配了固定的 i/p 地址等。
但我想限制部分(但不是全部)VPN 客户端自由访问 LAN 上的其他机器以及相互访问。
我的计划是一他们应该被允许访问我 LAN 上的机器 - 但只能访问 NodeRed 和 MQTT 端口 (1880 / 1883)。我想要的 VPN 防火墙会阻止所有其他可能性。
假设这个允许的 LAN 机器是 192.168.2.200
我希望以这种方式限制的 VPN 客户端所有给定的 i/p 地址从 10.8.0.20 '向上' - 如果有助于 UFW 规则集,我可以轻松地将它们更改为任何内容......
允许完全访问我的 LAN 的 VPN 客户端是 10.8.0.11,此“受青睐的客户端”也应该能够不受限制地访问所有其他 VPN 客户端。
有人能告诉我实现这一目标的 UFW 规则集吗?
我尝试了很多很多选项,但除了几次将自己锁定之外(!),我无法阻止 VPN 范围内的任何机器通过 VPN 网关“重新连接”到我的 LAN 上的其他机器。
我怀疑是我没有正确理解一些 NAT 问题或其他问题 :(
提前致谢...
答案1
如果您编辑 /etc/openvpn/server.conf ,则可以修改推送指令以控制将哪些路由推送到客户端。您可以删除当前启用的语句,然后只使用以下命令:
push "route 192.168.2.200 255.255.255.255"
除此之外,你可能需要禁用此功能:
push "redirect-gateway def1 bypass-dhcp"
另外,如果您阅读 server.conf 中的注释,可能还有一些其他选项您想要调整。
对于特定端口的阻止,我会在服务器防火墙上执行此操作。