OpenVPN подключиться к VPN-клиенту из частной сети

Я пытаюсь настроить лабораторию, в которой я могу запускать metasploitable против уязвимых виртуальных машин на AWS, работающем в частной подсети, доступной через настроенный мной сервер OpenVPN. Я могу подключиться к серверу OpenVPN и успешно подключиться к ssh к виртуальным машинам в частной подсети, но для запуска эксплойта требуется, чтобы виртуальная машина могла инициировать подключение обратно к атакующему компьютеру, поэтому компьютерам в частной подсети требуется Маршрут к подключенному VPN-клиенту. Частные случаи не имеют доступа в Интернет.

У меня была идея, что я мог бы также создать каждый экземпляр на клиентах частной подсети в сети VPN и настроить его так, чтобы клиенты могли общаться друг с другом. Это работает до тех пор, пока виртуальные машины имеют подключение к Интернету. Я также заставил его работать на AWS при использовании шлюза NAT перед частным vms (предоставляя им доступ в Интернет и возможность подключения к общедоступному IP-адресу сервера openvpn), но я теряю возможность подключения к частному ВМ с выделенным амазонкой частным IP, когда они подключены к VPN. Поэтому я не могу управлять экземплярами индивидуально, не нанося на карту сеть, чтобы узнать, что вживую. Я бы предпочел иметь доступ к ним через их частные IP-адреса.

Я попробовал идею "сделать их клиентами" без использования шлюза NAT, изменив client.conf для подключения к частному IP-адресу сервера OpenVPN, но при этом я теряю связь с частными уязвимыми виртуальными машинами. Я подозреваю, что потерял доступ, потому что в частные экземпляры перенаправляется маршрут, перенаправляющий весь трафик локальной подсети в VPN, и уже есть маршрут для локального трафика, но у меня не было соединения, когда я использовал route-nopull либо опция конфигурации (если это на правильном пути, но не совсем правильно, я не уверен, что делать вручную с таблицей маршрутов, когда я делаю это, чтобы восполнить отсутствие route push для сети VPN).

Есть ли лучший способ предоставить частным экземплярам доступ к подключенным VPN-клиентам?

Изменить: частные экземпляры работают под управлением openvpn v2.3.2, поэтому выборочное отклонение маршрута не доступно для меня:(

Изменить 2: route-nopull в сочетании с route 10.8.0.0 255.255.255.0 [сеть, в которой работает openvn] в client.conf в частной сети vms, похоже, работает. Также работает на моем VPC, где частные экземпляры не имеют шлюза NAT (где я указываю конфигурацию openvpn на частный ip моего сервера openvpn). Мне все еще интересно узнать, есть ли лучший способ сделать все это.

1 ответ

Решение

route-nopull в сочетании с route 10.8.0.0 255.255.255.0 [сеть, в которой работает openvn] в client.conf в частной сети vms, похоже, работает. Также работает на моем VPC, где частные экземпляры не имеют шлюза NAT (где я указываю конфигурацию openvpn на частный ip моего сервера openvpn).

Другие вопросы по тегам