Назад | Перейти на главную страницу

Как заблокировать доступ к локальной сети через OpenVPN?

Похоже, у меня проблема, противоположная большинству людей, настраивающих OpenVPN: я не могу предел Клиенты VPN только в подсеть VPN. Вместо этого, как только клиент устанавливает соединение, он может получить доступ к любому IP-адресу в локальной сети моего сервера OpenVPN, независимо от подсети.

Я не хочу такого поведения.

СЕРВЕР

Я использую маршрутизатор Linksys WRT54GL с установленной сборкой 54 TomatoUSB (версия NoUSB VPN). Я настроил OpenVPN с помощью опции «VPN-туннелирование» в графическом интерфейсе Tomato; вот дамп config.ovpn, который используется при запуске службы:

daemon
server 10.8.0.0 255.255.255.0
proto udp
port 1194
dev tun22
comp-lzo adaptive
keepalive 15 60
verb 3
push "dhcp-option DNS 192.168.1.1"
push "redirect-gateway def1"
ca ca.crt
dh dh.pem
cert server.crt
key server.key
status-version 2
status status

КЛИЕНТ

Я тестирую OpenVPN 2.1.4 на ноутбуке с 64-разрядной Windows 7 Home Premium. После подключения клиента я использую whatsmyip.org чтобы убедиться, что при просмотре я маскируюсь под IP-адрес сервера. Все работает как надо. Конфигурация клиента выглядит так:

client
dev tun
proto udp
resolv-retry infinite
verb 3
nobind
comp-lzo
persist-key
persist-tun
remote REDACTED
ca ca.crt
cert client.crt
key client.key
redirect-gateway

ЭТА ПРОБЛЕМА

Как клиент, я могу успешно пинговать 10.8.0.1, но могу также пинговать любой адрес в подсети 192.168.1.0. Я не хочу, чтобы мои клиенты VPN имели эту возможность; Я бы предпочел, чтобы соединение было просто туннелем и чтобы клиенты содержались в подсети 10.8.0.0.

На вкладке «Дополнительно» на странице «VPN-туннелирование» я удостоверился, что НЕ отмечен флажок «Направлять локальную сеть клиентам». Конфигурация сервера не включает push "route 192.168.1.0 255.255.255.0" линия, которая обычно подталкивает клиентов к локальной сети. И все же, как клиент VPN, я могу пинговать и получать доступ к любому IP-адресу в локальной сети сервера.

Я уверен, что делаю что-то не так, но мне нужны рекомендации по устранению этой проблемы.

Что ж, похоже, ваш маршрутизатор все еще выполняет маршрутизацию между различными сетями, о которых он знает. Вы проверили таблицы маршрутизации на устройстве?

Другой вариант - попытаться настроить брандмауэр на устройстве, чтобы блокировать трафик из сети VPN от передачи в другие сети.

Итак, это два моих предложения: проверьте таблицу маршрутизации на linksys и подумайте об изменении правил брандмауэра. Tomato использует iptables, так что это, безусловно, возможно.