Назад | Перейти на главную страницу

Можно ли разрешить машине на openvpn подключаться только к одному серверу в сети?

У меня есть сервер OpenVPN, который уже работает должным образом и позволяет людям работать на наших серверах. Есть новый проект, который требует, чтобы я разрешил доступ к сети и к одному конкретному серверу в сети для группы внешних кодеров. Я хотел бы разрешить им подключаться только к одному серверу разработки, который находится в сети, но также я хотел бы знать, что они не могут подключаться к каким-либо другим серверам в сети. Это возможно? Как?

Это мое server.conf файл:

ca ca.crt
cert server.crt
comp-lzo
dev tun
dh dh1024.pem
group nobody
ifconfig-pool-persist ipp.txt
keepalive 10 120
key server.key  # This file should be kept secret
persist-key
persist-tun
port 1194
proto tcp
push "dhcp-option DNS 208.67.220.220"
push "dhcp-option DNS 208.67.222.222"
push "route 10.1.X.0 255.255.255.0"
push "route 192.168.X.0 255.255.255.0"
push "route 192.168.Y.0 255.255.255.0"
server 192.168.Y.0 255.255.255.0
status openvpn-status.log
user nobody
verb 3

Что мне добавить? Повлияет ли это на уже подключенных пользователей? Может ли это вызвать проблемы у пользователей, которые уже подключаются к этому серверу?

Как говорит MealstroM, это возможно. Полная процедура хорошо документирована в соответствующем разделе OpenVPN HOWTO, но краткое описание процедуры:

  1. Настройте сервер OpenVPN, чтобы различать обычных пользователей и «зависимых» пользователей (тех, кому разрешен доступ только к определенным машинам) на основе CN, встроенных в их соответствующие сертификаты.

  2. Сделав это различие, настройте OpenVPN для распределения адресов VPN из одного блока адресов VPN обычным пользователям, а из другого блока - для связанных пользователей.

  3. Проведя различие между привилегированным и непривилегированным трафиком на уровне 3, напишите соответствующий iptables правила, чтобы разрешить только желаемый трафик из сетевого блока заблокированного пользователя.

Ты спрашиваешь "повлияет ли это на пользователей, которые уже подключены". Если вы имеете в виду краткосрочную перспективу, то да, поскольку для этого потребуется перезапуск сервера, который отключит всех; если вы имеете в виду долгосрочную перспективу, то нет, существующие пользователи не должны нуждаться в какой-либо перенастройке или изменениях. Все это изменения происходят на стороне сервера.

да, это возможно. Вы должны использовать одноранговую архитектуру openvpn и использовать «проталкивающие маршруты» на сервере openvpn.

убедитесь, что вы не используете опцию «клиент-клиент».