我有两种模式可以用来模拟我想要的 VPN 设置,
- 设备 wireguards 仅有权访问 jellyfin
- 设备 wireguards 可以访问所有资源。
我该如何配置 OpenWRT?它提供的访问权限似乎针对的是整个 vpn?
答案1
我认为在 OpenWRT+OpenVPN 上不可行。(即使在 Sophos UTM 上也有同样的限制,整个子网都允许。您可以在两个区域之间创建防火墙规则,但这是针对所有人的设置)
您需要更高端的路由器来允许对您的 VPN 用户设置进行更多的访问控制。
在 OpenVPN 用户访问控制中说明这一点,我只看到限制用户可以看到哪些子网的选项。(https://openvpn.net/access-server-manual/用户管理-用户权限/)
答案2
我不再在任何设备上运行 openWRT;因此无法测试我的答案。在采用配置之前请多加小心。
但是既然您没有提到这是一个限制,为什么不运行两个 wireguard 实例(您需要在不同的 udp 端口上有两个监听器),并限制其中一个的传入流量?
防火墙规则如下
config rule
option name 'Allow-wg0-jellyfin'
option src 'wg0'
option dest <jellyfin-zone>
option target 'ACCEPT'
config rule
option name 'Disallow-wg0'
option src 'wg0'
option dest 'lan'
option target 'DROP'
我还假设您的威胁模型不包括 jellyfin 用户利用他们的访问权限从 jellyfin 机器跳转到您局域网的其余部分,或者您在它们之间已经有足够的隔离。