Bei Verwendung eines TUN (Layer 3) OpenVPN-Servers mit client-to-client
deaktivierter Funktion können meine Clients weiterhin miteinander kommunizieren.
Die Client-zu-Client-Konfiguration sollte dies laut Dokumentation verhindern:
Kommentieren Sie die Client-zu-Client-Direktive aus, wenn Sie möchten, dass sich Clients über das VPN gegenseitig erreichen können. Standardmäßig können Clients nur den Server erreichen.
Warum können die Clients weiterhin miteinander kommunizieren, wenn diese Option deaktiviert ist?
Hier ist mein Server conf:
port 443
proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh4096.pem
topology subnet
server 10.10.201.0 255.255.255.128
ifconfig-pool-persist ipp.txt
crl-verify /etc/openvpn/keys/crl.pem
push "route [omitted]"
push "dhcp-option DNS [omitted]"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login
cipher AES-256-CBC
tls-auth /etc/openvpn/keys/pfs.key 0
verb 4
Der nächste Absatz der Manpage
openvpn
beantwortet diese Frage, obwohl dies bei der ersten Lesung nicht unbedingt klar ist:Die
client-to-client
Option schließt die normalen Routingtabellen auf dem Server kurz. Durch das Entfernen werden die Clients nicht daran gehindert, die Routingtabellen des Servers zu verwenden. Wenn diese Routingtabellen - und die Firewall-Konfiguration des Servers - es Clients ermöglichen, sich gegenseitig zu sehen, können sie dies tun.quelle
Sie müssen mehr tun , als nur die Richtlinie zu kommentieren , wie sie sagt , hier :
Daher können Sie für jeden Client eine separate IP-Adressrichtlinie konfigurieren. Weitere Informationen finden Sie im Abschnitt Client-spezifische Regeln und Zugriffsrichtlinien konfigurieren unter : https://openvpn.net/index.php/open-source/documentation/howto.html . und hier: https://www.sbarjatiya.com/notes_wiki/index.php/Configuring_separate_IP_and_firewall_rule_for_each_openvpn_client .
quelle