Во-первых, я полный новичок в VPN. Мне удалось установить OpenVPN только по руководству. Клиенты видят друг друга, и вроде все работает без сбоев.
Однако рассматриваемая сеть предназначена исключительно для использования клиент-клиент, и я бы очень хотел ограничить доступ к собственной сети и службам сервера (www, mysql, smb и т. Д.). Другими словами, клиенты VPN должны иметь доступ друг к другу только через VPN.
Я даже не совсем уверен, возможно ли это, но я полагаю, что должен быть способ лучше, чем настройка каждой службы для блокировки определенного диапазона IP-адресов ..?
Я запускаю Debian Wheezy с сетью по умолчанию и конфигурацией OpenVPN.
Хм, просто с ума сойти ... и без чтения Руководства по OpenVPN ...
Я бы поместил всех своих пользователей в их собственную подсеть. если ваш сервер 192.168.0.1, вы можете поместить своих пользователей в их собственную подсеть (например, 192.168.1.1-244).
Затем вы можете убедиться, что все ваши службы / демоны привязаны к определенному адресу, а не к * или 0.0.0.0. Обычно неплохо знать, к каким интерфейсам привязаны ваши службы.
пока OpenVPN не проталкивает маршрут к клиенту, чтобы пересечь эти подсети, они не должны иметь возможность подключаться к вашим серверным службам (насколько мне известно)
кроме того, IPTables определенно может стать вашей второй линией защиты -
вы можете поместить правило в верхней части цепочки INPUT, которое удаляет все соединения из 10.8.0. * и все, что они обслуживают необходимость доступ к (например, squid), вы можете просто использовать метод «перенаправления» IPTables
надеюсь, это поможет