Estou executando o OpenVPN 2.3.7 no CentOS 6. Estou usando o roteamento (tun) e tenho duas instâncias do OpenVPN. Na segunda instância, há dois clientes que eu gostaria de tornar visíveis um para o outro, como ping, portas de acesso etc. Eles estão dentro da mesma sub-rede, portanto deve ser bastante direto, eles são configurados com endereços estáticos através de ccd.
Quero que os dois clientes possam se ver através dos endereços IP da LAN OpenVPN sem ativar client-to-client
no server.conf.
Tenho certeza de que isso pode ser feito com o iptables, que eu uso como firewall, embora eu use o CSF, mas é um invólucro para o iptables.
Estes são os endereços IPv4 dos clientes:
OpenVPN Client #1: 10.8.2.14
OpenVPN Client #2: 10.8.2.17
Preciso do cliente nº 1 para poder acessar os serviços em execução no cliente 2 e, para compatibilidade, o cliente nº 2 deve ver o cliente nº 1 se for necessária uma resposta.
Eu tentei várias regras de cadeia FORWARD no servidor OpenVPN, mas não consigo obter nenhuma comunicação entre os dois clientes. Obviamente, o servidor OpenVPN pode executar ping nos dois clientes, os clientes podem executar ping no gateway do servidor OpenVPN, os clientes obviamente não podem se ver.
Algumas regras que eu já tentei e não funcionou:
iptables -A FORWARD -s 10.8.2.14 -d 10.8.2.17 -j ACCEPT
iptables -A FORWARD -s 10.8.2.17 -d 10.8.2.14 -j ACCEPT
Estou procurando ajuda com o iptables para tornar os dois clientes visíveis um ao outro, sem habilitar cliente para cliente, veja se esse é um requisito especial para dois clientes e não é necessário em nenhum outro lugar.
A alternativa é expor os serviços no cliente VPN por meio do NAT, mas prefiro evitar fazer isso por segurança.
Qualquer visão seria útil!
Obrigado,
James
ifconfig
e a tabela de roteamento (netstat -rn
) dos dois nós?Respostas:
Sugiro que você faça o inverso: ative
client-to-client
e use o iptables para bloquear todos os clientes, exceto os dois que você deseja permitir que conversem.fonte
Sei que essa pergunta é antiga, mas apenas para esclarecer isso para novos usuários que ainda possam estar visitando esta página:
se você usar,
client-to-client
não poderá realmente usar o firewall, o servidor nem mesmo verá esses pacotes, pois eles nunca retornam do servidor OpenVPN; portanto, como eles não estão atingindo a camada do host, você não poderá usar o firewall, pois não será alcançado e suas regras serão inúteis dessa maneira.fonte