Mit OpenVPN können zwei Clients eine Verbindung herstellen, ohne Client-zu-Client global zu verwenden

8

Ich verwende OpenVPN 2.3.7 unter CentOS 6. Ich verwende Routing (tun) und habe zwei Instanzen von OpenVPN. In der zweiten Instanz gibt es zwei Clients, die ich für einander sichtbar machen möchte, z. B. Ping, Zugriffsports usw. Sie befinden sich beide im selben Subnetz, daher sollte es ziemlich einfach sein, sie sind mit statischen Adressen durch konfiguriert ccd.

Ich möchte, dass sich die beiden Clients über ihre OpenVPN-LAN-IP-Adressen sehen können, ohne sie client-to-clientin der server.conf zu aktivieren.

Ich bin mir ziemlich sicher, dass dies mit iptables möglich ist, die ich als Firewall verwende, obwohl ich CSF verwende, aber es ist ein Wrapper für iptables.

Dies sind die IPv4-Adressen der Clients:

OpenVPN Client #1: 10.8.2.14 
OpenVPN Client #2: 10.8.2.17

Ich brauche Client Nr. 1, um auf Dienste zugreifen zu können, die auf Client 2 ausgeführt werden, und ich denke, dass Kompatibilitätsclient Nr. 2 Client Nr. 1 sehen kann, wenn eine Antwort erforderlich ist.

Ich habe mehrere FORWARD-Kettenregeln auf dem OpenVPN-Server ausprobiert, kann jedoch keine Kommunikation zwischen den beiden Clients herstellen. Der OpenVPN-Server kann offensichtlich beide Clients anpingen, die Clients können das OpenVPN-Server-Gateway anpingen, die Clients können sich offensichtlich nicht sehen.

Einige Regeln, die ich bereits ausprobiert habe und die nicht funktioniert haben:

iptables -A FORWARD -s 10.8.2.14 -d 10.8.2.17 -j ACCEPT
iptables -A FORWARD -s 10.8.2.17 -d 10.8.2.14 -j ACCEPT

Ich suche Hilfe bei iptables, um die beiden Clients für einander sichtbar zu machen, ohne Client-zu-Client zu aktivieren. Dies ist eine spezielle Anforderung für zwei Clients und wird nirgendwo anders benötigt.

Die Alternative besteht darin, die Dienste auf dem VPN-Client über NAT verfügbar zu machen. Ich möchte dies jedoch aus Sicherheitsgründen lieber vermeiden.

Jeder Einblick wäre hilfreich!

Vielen Dank,

James

James White
quelle
Können Sie die Ausgabe ifconfigund die Routing-Tabelle ( netstat -rn) der beiden Knoten veröffentlichen?
Oliver

Antworten:

1

Ich schlage vor, Sie machen das Gegenteil: Aktivieren client-to-clientund verwenden Sie dann iptables, um alle Clients außer den beiden zu blockieren, die Sie zulassen möchten, um miteinander zu sprechen.

pjz
quelle
1

Ich weiß, dass diese Frage alt ist, aber nur um dies neuen Benutzern zu verdeutlichen, die diese Seite möglicherweise noch besuchen:

Wenn Sie verwenden client-to-client, können Sie die Firewall nicht verwenden. Der Server sieht diese Pakete überhaupt nicht, da sie nie wieder vom OpenVPN-Server ausgegeben werden. Da sie die Hostschicht nicht erreichen, können Sie die nicht verwenden Firewall, da sie nicht erreicht wird und Ihre Regeln auf diese Weise unbrauchbar wären.

Matthew
quelle