Ограничение доступа в интернет клиентам OpenVPN?

Question

mike89klein @mike89klein

OpenVPN

Ограничение доступа в интернет клиентам OpenVPN?

Здравствуйте. При создании VPN сети настроил все так, чтоб клиенты пользовались лишь своим интернетом. Опции "push redirect-gateway def1 bypass-dhcp" и "push "dhcp-option DNS 8.8.8.8" не добавлял.
Маршрутизацию прописывал
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.20.0.0/24 -o eth0 -j MASQUERADE
Но теперь возникла необходимость чтобы некоторые клиенты при подключении к OpenVPN могли использовать свой интернет канал только для создания туннеля OpenVPN сервером, а работа в самой сети VPN велась только с подключенными устройствами, без доступа в интернет через сервер. Возможно ли это сделать через конфиг ccd?

Вопрос задан более трёх лет назад
1088 просмотров

3 комментария

Подписаться 2 Простой 3 комментария

Valentin Barbolin @dronmaxman

> Но теперь возникла необходимость чтобы некоторые клиенты при подключении к OpenVPN могли использовать свой интернет канал только для создания туннеля OpenVPN сервером, а работа в самой сети VPN велась только с подключенными устройствами, без доступа в интернет через сервер. Возможно ли это сделать через конфиг ccd?

Как-то замудро написано. Ты хочешь, что бы при поднятии тоннеля, интернет на клиенте не работал, но был доступ к устройствам VPN?

Написано более трёх лет назад
mike89klein @mike89klein Автор вопроса

Andrey Barbolin, да

Написано более трёх лет назад
Valentin Barbolin @dronmaxman

mike89klein, да, можно через ccd.
Тогда пуш им gw и dns и закрывай доступ для них в интернет по средствам iptables.
def1 bypass-dhcp" и "push "dhcp-option DNS 8.8.8.8

Написано более трёх лет назад

Решения вопроса 2

2 комментария

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Windows Server

+3 ещё

Средний
Почему нет доступа к сети OpenVPN на сервере?
- 1 подписчик
- 22 часа назад
- 146 просмотров
0

ответов
OpenVPN

+1 ещё

Простой
Сервер на котором развёрнут OpenVPN видит клиента с родным IP адресом, а другие сервера и сайты с адресом сервера, как исправить?
- 1 подписчик
- 17 нояб.
- 130 просмотров
1

ответ
OpenVPN

+3 ещё

Простой
WAN pfSense — NAT — VPN — Outbound?
- 1 подписчик
- 16 нояб.
- 81 просмотр
0

ответов
OpenVPN

Простой
Что я настроил не так, pritunl?
- 1 подписчик
- 11 нояб.
- 82 просмотра
0

ответов
OpenVPN

+2 ещё

Простой
Как настроить доступ между устройствами клиентов при использовании OpenVPN?
- 1 подписчик
- 11 нояб.
- 101 просмотр
1

ответ
OpenVPN

Средний
Как в Ubuntu в OpenVPN решить проблему с cipher 'AES-256-CBC' in --data-ciphers?
- 1 подписчик
- 02 нояб.
- 148 просмотров
2

ответа
Сетевое администрирование

+2 ещё

Простой
Как обойти блокировку моего OpenVPN сервера другими сайтами?
- 1 подписчик
- 25 окт.
- 455 просмотров
3

ответа
Linux

+1 ещё

Средний
Возможно ли настроить OpenVPN сервер и PPTP client одновременно?
- 1 подписчик
- 22 окт.
- 120 просмотров
1

ответ
Mikrotik

+1 ещё

Сложный
Почему OpenVPN на MikroTik обрывает соединение с клиентом OpenVPN Connect после успешной проверки сертификатов?
- 1 подписчик
- 22 окт.
- 270 просмотров
1

ответ
Компьютерные сети

+1 ещё

Сложный
Перестают открываться сайты через OpenVPN?
- 1 подписчик
- 19 окт.
- 414 просмотров
1

ответ
Показать ещё Загружается…

Data Engineer (DWH)

OOO МИКСИТ • Москва

До 350 000 ₽

Администратор SQL

OOO МИКСИТ

До 350 000 ₽

Senior Backend разработчик Nest.js

ArbiHunter • Москва

от 3 000 $

Отправка trc20 через API

26 нояб. 2024, в 15:42

30000 руб./за проект

Настроить Google аналитику на сайт

26 нояб. 2024, в 15:28

1 руб./за проект

Создать в формате PLT изображение для режущего плоттера на основе Docx

26 нояб. 2024, в 15:14

1000 руб./за проект

> Но теперь возникла необходимость чтобы некоторые клиенты при подключении к OpenVPN могли использовать свой интернет канал только для создания туннеля OpenVPN сервером, а работа в самой сети VPN велась только с подключенными устройствами, без доступа в интернет через сервер. Возможно ли это сделать через конфиг ccd?

Как-то замудро написано. Ты хочешь, что бы при поднятии тоннеля, интернет на клиенте не работал, но был доступ к устройствам VPN?
mike89klein, да, можно через ccd.
Тогда пуш им gw и dns и закрывай доступ для них в интернет по средствам iptables.
def1 bypass-dhcp" и "push "dhcp-option DNS 8.8.8.8

Answer 1 · 2021-06-23 16:40:26

ky0 @ky0

Миллиардер, филантроп, патологический лгун

Разделяете тех, кому надо в интернет, и кому не надо, по разным диапазонам адресов, и закручиваете доступы в iptables.

Ответ написан более трёх лет назад

2 комментария

Answer 2 · 2021-06-23 16:52:37

добавляя опции

Это странно, мягко говоря. Похоже вы добились прямо противоположного. Опция
push redirect-gateway def1 bypass-dhcp
Делает ВПН сервер шлюзом по умолчанию на клиентах. Так что интернет у клиента будет идти через ВПН.
Вторая опция просто добавляет DNS сервер клиенту.
Что бы клиент использовал свой интернет - удалите обе опции из конфига сервера.

Все это легко проверяется - соединитесь с ВПН и посмотрите таблицу маршрутизации на клиенте стандартными средствами. Если маршрут по умолчанию будет через ВПН сервер - значит клиент будет получать интернет через ВПН.

Включение NAT на ВПН интерфейсе то же не обязательно. Использовать его или нет - зависит от текущих настроек сети за клиентом и сервером и от того для чего вы используете ВПН.

Ограничение доступа в интернет клиентам OpenVPN?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт