如何在客户端使用 no-pull 的情况下限制服务器端的 openvpn 路由

如何在客户端使用 no-pull 的情况下限制服务器端的 openvpn 路由

我知道客户端 openvpn 配置可以使用路由无拉动并自己编写路由。但是这可能会导致一些安全问题,例如当你不想让 vpn 用户通过 vpn gate 访问某个节点时。

那么即使 VPN 用户修改其客户端配置并编写自定义路由,如何限制服务器端的路由范围?

答案1

据我了解,路线范围是在文件中指定的server.conf,例如:

# Add route to Client routing table for the OpenVPN Server 
push "route 10.8.0.1 255.255.255.255" 
# Add route to Client routing table for the OpenVPN Subnet 
push "route 10.8.0.0 255.255.255.0" 

这会告诉您的 VPN 网关应该向连接的客户端推送什么路由。

如果你担心某些恶意客户端在客户端配置静态路由以通过 VPN 隧道发送额外流量,你可以不能停止这种行为,除非您对他们的机器有管理控制权并可以禁止他们直接操作路由表。

然而, 你不过,你需要确保 VPN 网关上的防火墙配置为只允许你想要通过的流量。假设你使用的是普通的 Linux 机器,带有典型的iptables/联邦快递作为您的 VPN 网关,您只需要确保它们配置了特定的规则,准确标识应该允许哪些流量,然后其他所有内容都会被阻止,因此即使用户确实通过隧道发送了一些意外流量,您的网关也会丢弃它。

相关内容