Назад | Перейти на главную страницу

Правила UFW для VPN

Я настроил VPN-сервер в своей локальной сети.

Мой шлюз локальной сети - 192.168.2.1.

Я настроил переадресацию портов на своем маршрутизаторе, чтобы разрешить входящие соединения VNP. LAN-адрес VPN-бокса: 192.168.2.42.

Интерфейс tun0, который создает OpenVPN, - 10.8.0.0/24.

Все работает отлично. Клиентам присваиваются фиксированные адреса i / p и т. Д.

Но Я хочу запретить некоторым (но не всем) моим клиентам VPN иметь свободный доступ к другим машинам в моей локальной сети и доступ друг к другу.

Мой план в том, что есть только один машине в моей локальной сети им должен быть разрешен доступ, но только к портам NodeRed и MQTT (1880/1883). Мой желаемый брандмауэр VPN блокирует все другие возможности.

Допустим, это разрешенный компьютер в локальной сети: 192.168.2.200.

Клиенты VPN, которым я хочу таким образом ограничить все заданные i / p-адреса «вверх» от 10.8.0.20 - я могу легко изменить их на что угодно, если это поможет набору правил UFW ...

VPN-клиент, которому разрешен доступ к моей локальной сети полностью, - 10.8.0.11. Этот «предпочтительный клиент» также должен иметь возможность доступа ко всем другим VPN-клиентам без ограничений.

Подскажите, пожалуйста, набор правил UFW, с помощью которого можно добиться этого?

Я перепробовал много разных вариантов, но, кроме того, что пару раз (!) Заблокировал себя, я не могу предотвратить «обратное подключение» какой-либо машины в диапазоне VPN через шлюз VPN к другим машинам в моей локальной сети.

Я подозреваю, что я не понимаю некоторых проблем с NAT или других должным образом :(

Заранее спасибо...

Если вы редактируете /etc/openvpn/server.conf, вы можете изменить директивы push, чтобы управлять тем, какие маршруты отправляются клиенту. Вероятно, вы могли бы удалить текущие включенные операторы и просто использовать это:

push "route 192.168.2.200 255.255.255.255"

Наряду с этим вам может потребоваться отключить это:

push "redirect-gateway def1 bypass-dhcp"

Кроме того, если вы читаете комментарии в server.conf, возможно, вы захотите изменить некоторые другие параметры.

Для блокировки конкретного порта я бы сделал это на брандмауэре сервера.