Как заблокировать доступ к локальной сети через OpenVPN?

Question

Как заблокировать доступ к локальной сети через OpenVPN?

Кажется, у большинства людей, которые настроили OpenVPN, есть противоположная проблема: я не могу ограничить VPN-клиентов только VPN-подсетью. Вместо этого, когда клиент устанавливает соединение, он может получить доступ к любому IP-адресу в локальной сети моего сервера OpenVPN, независимо от подсети.

Я не хочу такого поведения.

SERVER

Я использую маршрутизатор Linksys WRT54GL, работающий под сборкой 54 TomatoUSB (версия NoUSB VPN). Я настроил OpenVPN через опцию "VPN Tunneling" в Tomato GUI; Вот дамп config.ovpn, который используется при запуске службы:

daemon
server 10.8.0.0 255.255.255.0
proto udp
port 1194
dev tun22
comp-lzo adaptive
keepalive 15 60
verb 3
push "dhcp-option DNS 192.168.1.1"
push "redirect-gateway def1"
ca ca.crt
dh dh.pem
cert server.crt
key server.key
status-version 2
status status

КЛИЕНТ

Я тестирую OpenVPN 2.1.4 на ноутбуке под управлением Windows 7 Home Premium 64-bit. После подключения клиента я использую http://whatsmyip.org/, чтобы проверить, что я маскируюсь под IP-адрес сервера при просмотре. Все работает как надо. Конфигурация клиента выглядит следующим образом:

client
dev tun
proto udp
resolv-retry infinite
verb 3
nobind
comp-lzo
persist-key
persist-tun
remote REDACTED
ca ca.crt
cert client.crt
key client.key
redirect-gateway

ЭТА ПРОБЛЕМА

Как клиент, я могу успешно пропинговать 10.8.0.1, но я также могу пропинговать любой адрес в подсети 192.168.1.0. Я не хочу, чтобы мои VPN-клиенты имели такую возможность; Я бы предпочел, чтобы соединение было просто туннелем и для клиентов, которые должны содержаться в подсети 10.8.0.0.

На вкладке "Дополнительно" страницы "VPN-туннелирование" я удостоверился, что "Push LAN to client" НЕ отмечен. Конфигурация сервера не включает push "route 192.168.1.0 255.255.255.0" линия, которая обычно проталкивает локальную сеть клиентам. И все же, как VPN-клиент, я могу пинговать и получать доступ к любому IP-адресу в локальной сети сервера.

Я уверен, что делаю что-то не так, но мне нужно несколько советов по устранению этой проблемы.

4

openvpn local-area-network subnet tomato

Источник

Ben D. 23 мар '11 в 17:19

1 ответ

Решение

Другие вопросы по тегам openvpn local-area-network subnet tomato

Phil Hollenback 23 мар '11 в 17:45 2011-03-23 17:45 · Accepted Answer · 2011-03-23 17:45

Похоже, ваш маршрутизатор все еще действует для маршрутизации между различными сетями, о которых он знает. Вы проверили таблицы маршрутизации на устройстве?

Другой вариант - попытаться настроить брандмауэр на устройстве, чтобы блокировать трафик из сети vpn от перемещения в другие сети.

Итак, вот два моих предложения: проверить таблицу маршрутизации на linksys и рассмотреть возможность изменения правил брандмауэра. Томат использует iptables, поэтому это должно быть возможно.