我想将 VPN 用户访问限制在单个 LAN。我一直在尝试理解client-config-dirserver.conf 中的操作,但无法让它工作。
+---------+ +---------+
| client1 | | client2 |
+---------+ +---------+
\ /
+---------+
| server | 10.10.1.23
+---------+
|
+---------+
| vpc | 10.10.0.0/16
+---------+
|
+---------+
| local | 10.10.0.112
+---------+
+-------------------------------+
| VPC | subnet | region |
+------+------------+-----------+
| vpc0 | 10.10.0.0/16 | region0 |
+------+-------------+----------+
使用我当前的 openvpn 设置,我可以连接到 VPC 后面的所有实例。但是我需要客户端 1 只能访问计算机 10.10.0.112,而客户端 2 只能访问计算机 10.10.0.222。我一直在研究指令ccd和 iptables,但无法理解。
我的Openvpnserver.conf
port 1194
proto udp
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 10.10.0.2"
push "redirect-gateway def1 bypass-dhcp"
dh none
client-config-dir /etc/openvpn/ccd
ecdh-curve prime256v1
tls-crypt tls-crypt.key 0
crl-verify crl.pem
ca ca.crt
cert server_4nP1zpKP5eaV6jEz.crt
key server_4nP1zpKP5eaV6jEz.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
log-append /home/ubuntu/openvpn.log
status /var/log/openvpn/status.log
verb 3
客户端1.ovpn
client
proto udp
remote **.**.***.*** 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_4nP1zpKP5eaV6jEz name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3
路由表服务器 netstat -nr
0.0.0.0 10.10.1.1 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
10.10.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
IP路由ip route
default via 10.10.1.1 dev eth0
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.1
10.10.1.0/24 dev eth0 proto kernel scope link src 10.10.1.140
CCD 适用于客户
需要客户端配置目录方面的帮助,只希望客户端 1 能够访问 10.10.0.112,现在可以访问 VPN 服务器后面的所有 LAN 机器。
客户端 IPTABLE
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.10.0.112 -j ACCEPT
如果有人能给我指明正确的方向,我将不胜感激。
答案1
您应该为客户端分配固定 IP。例如ccd/client1可能包含:
ifconfig-push 10.8.0.112 255.255.255.0
push "route 10.10.0.112"
这样,客户端就会收到一个固定地址 ( 10.8.0.112) 和一条仅用于主机的路由10.10.0.112。客户端当然可以覆盖服务器发送的配置并添加一些自己的配置,例如:
pull-ignore "ifconfig"
# this will fail
ifconfig 10.8.0.222 255.255.255.0
# this will work
route 10.10.0.0 255.255.0.0
服务器将丢弃所有来自 的数据包client1,这些数据包没有 的地址,10.8.0.112因此该ifconfig指令将不起作用,但这不是安全功能,而是技术限制。route另一方面,该指令将按要求工作。
因此您需要在 VPN 服务器上添加防火墙规则:
# Access to DNS server
iptables -A FORWARD -p udp --dport 53 -s 10.8.0.0/24 -d 10.10.0.2 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -s 10.8.0.0/24 -d 10.10.0.2 -j ACCEPT
# Access for client1
iptables -A FORWARD -s 10.8.0.112 -d 10.10.0.112 -j ACCEPT
# Drop everything else
iptables -A FORWARD -s 10.8.0.0/24 -d 10.10.0.0/16 -j DROP