Wie können sich mehrere Clients eines openvpn-Servers finden?

13

Ich rufe einen OpenVPN-Server auf, der mehrere Clients in einem privaten Subnetz unterstützt. Im privaten Subnetz erhalten die Clients, die eine Verbindung herstellen, IP-Adressen wie 10.8.0.10, 10.8.0.11 usw.

Eine der Einrichtungen, die ich brauche, ist, dass die Kunden sich finden können. Gibt es eine einfache und allgemein akzeptierte Möglichkeit für einen Client, die Liste der IP-Adressen anzuzeigen, die allen Clients zugewiesen wurden?

Ich brauche keine DNS-Namen oder ähnliches.

openvpn AlanObject
quelle
4
Was genau versuchst du zu erreichen?
MDMarra
@MDMarra Ich möchte, dass eine Person vor Ort beim Benutzer eine ausgehende Verbindung initiieren kann, damit die Person des technischen Supports in unserem Unternehmen eine Verbindung zu diesem System herstellen kann.
AlanObject

Antworten:

22

In der OpenVPN-Serverkonfigurationsdatei ist die folgende Anweisung Voraussetzung:

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client

Um den Kunden das einfache Auffinden zu erleichtern, empfehle ich dynamisches DNS als (fast) immer vorhandene Unternehmenslösung. Um eine Liste der aktiven Kunden zu präsentieren, können Sie entweder:

  • Finden Sie eine Möglichkeit, das openvpn-status.log an die Kunden zu verteilen oder zur Verfügung zu stellen?
  • Verteilen Sie Ping-Skripte oder ähnliches an Clients, und führen Sie möglicherweise eine umgekehrte DNS-Suche für jeden Live-Host durch?
  • Die Clients müssen sich beim Herstellen der Verbindung in einer benutzerdefinierten Datenbank oder Datei registrieren / von der Registrierung entfernen und über einen Aufräumungsmechanismus verfügen. Diese Alternative scheint das Rad völlig neu zu erfinden, aber zweifellos wäre es eine unterhaltsame Art, eine Stunde zu verbringen, die der IT-Welt insgesamt nichts hinzufügt.
ErikE
quelle
Nun, der Standardfallback besteht darin, dass der Benutzer des externen Systems nur das andere System anruft oder ihm eine SMS mit der IP-Adresse sendet. Lassen Sie mich Ihre Vorschläge durcharbeiten, um zu sehen, was die Leute am meisten mögen.
AlanObject
4

Hier ist der ursprüngliche Link, der die Client-zu-Client-Funktion von OpenVPN 2.x unterstützt:

https://openvpn.net/index.php/open-source/documentation/howto.html#scope

Deaktivieren Sie diese Anweisung, damit verschiedene Clients sich gegenseitig "sehen" können. Standardmäßig sehen Clients nur den Server. Um zu erzwingen, dass Clients nur den Server sehen, müssen Sie auch die TUN / TAP-Schnittstelle des Servers ordnungsgemäß durch eine Firewall schützen.

;client-to-client

Deaktivieren Sie die obige Client-zu-Client-Anweisung, wenn Sie möchten, dass sich Clients über das VPN gegenseitig erreichen können. Standardmäßig können Clients nur den Server erreichen.

Fragen Sie sich als Nächstes, ob Sie den Netzwerkverkehr zwischen dem Subnetz von Client2 (192.168.4.0/24) und anderen Clients des OpenVPN-Servers zulassen möchten. Fügen Sie in diesem Fall Folgendes zur Serverkonfigurationsdatei hinzu.

client-to-client
push "route 192.168.4.0 255.255.255.0"

Dadurch kündigt der OpenVPN-Server das Subnetz von Client2 den anderen verbundenen Clients an.

mav_2k
quelle