Comment plusieurs clients d'un serveur openvpn peuvent-ils se retrouver?

14

J'amène un serveur openvpn qui prendra en charge plusieurs clients dans un sous-réseau privé. Ainsi, sur le sous-réseau privé, les clients qui se connectent obtiendront des adresses IP telles que 10.8.0.10, 10.8.0.11, etc.

L'une des installations dont j'ai besoin est que les clients puissent se retrouver. Existe-t-il un moyen facile et généralement accepté pour un client de voir la liste des adresses IP attribuées à tous les clients?

Je n'ai pas besoin de noms DNS ou de quelque chose comme ça.

openvpn AlanObject
la source
4
Qu'essayez-vous exactement d'accomplir?
MDMarra
@MDMarra Je souhaite qu'une personne sur le terrain sur le site d'un utilisateur puisse établir une connexion sortante de sorte que la personne du support technique au sein de notre entreprise puisse se connecter à ce système.
AlanObject

Réponses:

22

Dans le fichier de configuration du serveur OpenVPN, une condition préalable est la directive suivante:

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client

Pour aider les clients à se retrouver facilement, je suggère le DNS dynamique comme solution d'entreprise (presque) toujours présente. Pour présenter une liste de clients actifs, vous pouvez peut-être:

  • trouver un moyen de distribuer ou de mettre à disposition openvpn-status.log aux clients?
  • distribuer des scripts ping ou similaire aux clients, peut-être faire une recherche DNS inverse pour chaque hôte en direct?
  • demander aux clients de s'inscrire / se désinscrire dans une base de données ou un fichier personnalisé lors de la connexion et disposer d'un mécanisme de nettoyage quelconque. Cette alternative semble réinventer totalement la roue, mais ce serait sans aucun doute une façon amusante de passer une heure qui n'ajoute rien au monde de l'informatique dans son ensemble.
ErikE
la source
Eh bien, la solution par défaut consiste à demander à l'utilisateur du système extérieur d'appeler ou d'envoyer un SMS à l'autre système pour connaître son adresse IP. Laissez-moi travailler à travers vos suggestions pour voir ce que les gens aiment le plus.
AlanObject
4

Voici le lien d'origine prenant en charge la fonction client à client d'OpenVPN 2.x:

https://openvpn.net/index.php/open-source/documentation/howto.html#scope

Décommentez cette directive pour permettre à différents clients de se "voir". Par défaut, les clients ne verront que le serveur. Pour forcer les clients à ne voir que le serveur, vous devrez également pare-feu de manière appropriée l'interface TUN / TAP du serveur.

;client-to-client

Décommentez la directive client à client ci-dessus si vous souhaitez que les clients se connectant puissent se joindre via le VPN. Par défaut, les clients ne pourront accéder qu'au serveur.

Ensuite, demandez-vous si vous souhaitez autoriser le trafic réseau entre le sous-réseau de client2 (192.168.4.0/24) et d'autres clients du serveur OpenVPN. Si c'est le cas, ajoutez ce qui suit au fichier de configuration du serveur.

client-to-client
push "route 192.168.4.0 255.255.255.0"

Cela entraînera le serveur OpenVPN à publier le sous-réseau de client2 auprès des autres clients qui se connectent.

mav_2k
la source