Я настроил VPN-сервер в своей локальной сети.
Мой шлюз локальной сети - 192.168.2.1.
Я настроил переадресацию портов на своем маршрутизаторе, чтобы разрешить входящие соединения VNP. LAN-адрес VPN-бокса: 192.168.2.42.
Интерфейс tun0, который создает OpenVPN, - 10.8.0.0/24.
Все работает отлично. Клиентам присваиваются фиксированные адреса i / p и т. Д.
Но Я хочу запретить некоторым (но не всем) моим клиентам VPN иметь свободный доступ к другим машинам в моей локальной сети и доступ друг к другу.
Мой план в том, что есть только один машине в моей локальной сети им должен быть разрешен доступ, но только к портам NodeRed и MQTT (1880/1883). Мой желаемый брандмауэр VPN блокирует все другие возможности.
Допустим, это разрешенный компьютер в локальной сети: 192.168.2.200.
Клиенты VPN, которым я хочу таким образом ограничить все заданные i / p-адреса «вверх» от 10.8.0.20 - я могу легко изменить их на что угодно, если это поможет набору правил UFW ...
VPN-клиент, которому разрешен доступ к моей локальной сети полностью, - 10.8.0.11. Этот «предпочтительный клиент» также должен иметь возможность доступа ко всем другим VPN-клиентам без ограничений.
Подскажите, пожалуйста, набор правил UFW, с помощью которого можно добиться этого?
Я перепробовал много разных вариантов, но, кроме того, что пару раз (!) Заблокировал себя, я не могу предотвратить «обратное подключение» какой-либо машины в диапазоне VPN через шлюз VPN к другим машинам в моей локальной сети.
Я подозреваю, что я не понимаю некоторых проблем с NAT или других должным образом :(
Заранее спасибо...
Если вы редактируете /etc/openvpn/server.conf, вы можете изменить директивы push, чтобы управлять тем, какие маршруты отправляются клиенту. Вероятно, вы могли бы удалить текущие включенные операторы и просто использовать это:
push "route 192.168.2.200 255.255.255.255"
Наряду с этим вам может потребоваться отключить это:
push "redirect-gateway def1 bypass-dhcp"
Кроме того, если вы читаете комментарии в server.conf, возможно, вы захотите изменить некоторые другие параметры.
Для блокировки конкретного порта я бы сделал это на брандмауэре сервера.