J'utilise OpenVPN 2.3.7 sur CentOS 6. J'utilise le routage (tun) et j'ai deux instances d'OpenVPN. Sur la deuxième instance, il y a deux clients que j'aimerais rendre visibles l'un à l'autre, c'est-à-dire ping, ports d'accès, etc. Ils sont tous les deux dans le même sous-réseau, donc cela devrait être assez simple, ils sont configurés avec des adresses statiques via ccd.
Je veux que les deux clients puissent se voir via leurs adresses IP OpenVPN LAN sans activer client-to-clientdans le server.conf.
Je suis presque sûr que cela peut être fait avec iptables, que j'utilise comme pare-feu, bien que j'utilise CSF, mais c'est un wrapper pour iptables.
Ce sont les adresses IPv4 des clients:
OpenVPN Client #1: 10.8.2.14
OpenVPN Client #2: 10.8.2.17
J'ai besoin du client # 1 pour pouvoir accéder aux services fonctionnant sur le client 2, et je suppose que pour la compatibilité client # 2 pour voir le client # 1 si une réponse est requise.
J'ai essayé plusieurs règles de chaîne FORWARD sur le serveur OpenVPN, mais je ne peux obtenir aucune communication entre les deux clients. Le serveur OpenVPN peut évidemment cingler les deux clients, les clients peuvent cingler la passerelle du serveur OpenVPN, les clients ne peuvent évidemment pas se voir.
Quelques règles que j'ai déjà essayées et qui n'ont pas fonctionné:
iptables -A FORWARD -s 10.8.2.14 -d 10.8.2.17 -j ACCEPT
iptables -A FORWARD -s 10.8.2.17 -d 10.8.2.14 -j ACCEPT
Je cherche de l'aide avec iptables pour rendre les deux clients visibles l'un à l'autre, sans activer le client à client, voir c'est une exigence spéciale pour deux clients et non nécessaire ailleurs.
L'alternative est d'exposer les services sur le client VPN via NAT, mais je préfère éviter de le faire pour des raisons de sécurité.
Toute idée serait utile!
Merci,
James
ifconfiget la table de routage (netstat -rn) des deux nœuds?Réponses:
Je vous suggère de faire l'inverse: activez
client-to-clientpuis utilisez iptables pour bloquer tous les clients, sauf les deux que vous souhaitez autoriser à se parler.la source
Je sais que cette question est ancienne, mais juste pour clarifier cela aux nouveaux utilisateurs qui pourraient toujours visiter cette page:
si vous utilisez,
client-to-clientvous ne pouvez pas réellement utiliser le pare-feu, le serveur ne verra même pas du tout ces paquets car ils ne reviennent jamais du serveur OpenVPN, donc, comme ils n'atteignent pas la couche hôte, vous ne pourrez pas utiliser le pare-feu car il ne sera pas atteint et vos règles seraient inutiles de cette façon.la source