Как ограничить доступ одного клиента OVPN к другим, так чтобы он пинговал только сервер OPVN?

Question

[CaeliG]

Добрый день, такой вопрос, есть OVPN сервер и ряд OVPN клиентов, все они могу общаться между собой и сервером (client-to-client присутствует в конфиге сервера), необходимо сделать так чтобы один из клиентов мог общаться только с сервером, а других клиентов не видел.

Конфиг сервера:

port 1194
proto udp6
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
client-to-client
#push "dhcp-option DNS 8.8.8.8"
#push "dhcp-option DNS 8.8.4.4"
#push "redirect-gateway def1 bypass-dhcp"
#server-ipv6 fd42:42:42:42::/112
#tun-ipv6
#push tun-ipv6
#push "route-ipv6 2000::/3"
#push "redirect-gateway ipv6"
compress lz4-v2
dh dh.pem
tls-auth tls-auth.key 0
crl-verify crl.pem
ca ca.crt
cert server_OwkGDv89X2y7ztM2.crt
key server_OwkGDv89X2y7ztM2.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
route 10.8.1.0 255.255.255.0
status /var/log/openvpn/status.log
verb 3

Стандартный конфиг клиента:

client
proto udp
explicit-exit-notify
remote 109.236.108.172 13920
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_OwkGDv89X2y7ztM2 name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-RSA-WITH-AES-128-GCM-SHA256
#ignore-unknown-option block-outside-dns
#setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3
compress lz4-v2

Пробовал задавать через iptables маршруты, чтобы клиент с таким то ip мог общаться только с сервером, не получилось.

Answer 1

[ky0]

Через iptables надо не маршруты задавать, а запрещать трафик на соответствующий диапазон адресов.

Comments

[CaeliG]

Может я чего то не понимаю, но зачем мне трафик то запрещать? Мне нужно, чтобы все клиенты друг друга видели, а лишь один никого не видел, видел только сервер.

[Алексей Черемисин]

CaeliG, задайте ему статический адрес через ipp, и уже для этого адреса пропишите правила.

[CaeliG]

У него и так есть статических ip через ccd, какое конкретно правило, я парочку уже попробовал -
ничего?

[ky0]

CaeliG, выше всё верно сказано - взять статический адрес этого клиента и запретить ему ходить к остальным. Конкретное правило - в соседнем разделе сайта или у СhatGPT.

[CaeliG]

ky0, если вы имеете ввиду вот это правило sudo iptables -A INPUT -s -j DROP, то оно мне не подходит, теперь я не могу пинговать сервер. Может что то не так делаю?

[ky0]

CaeliG, да, что-то не так делаете.

[Дмитрий]

CaeliG, одного дропа мало. Перед ним нужен акцепт на адрес сервера

Answer 2

[KLaeda]

В конфиге нужно удалить строчку client-to-client, всё просто. Затем перечитать настройки или перезвпустить

Comments

[CaeliG]

Тогда и остальные клиенты не смогу общаться между собой, а мне нужно, чтобы только один не мог.

Answer 3

[vm03]

iptables -I FORWARD -s <ip> -j DROP

Comments

[CaeliG]

После этого правила клиент с эти ip сможет общаться с сервером ovpn?

[vm03]

с сервером да, пакеты серверу не попадают в FORWARD

[CaeliG]

vm03, добавил это правило, сервер не пингуется.

[vm03]

а ovpn сервер на хосте(не во докере или тп)?
можно еще так попробовать

iptables -I FORWARD -s <ip клиента> -d ! <ip сервера> -j DROP

[CaeliG]

vm03, ovpn сервер - это виртуальная машина обычная ubuntu.

[CaeliG]

vm03, Хм, ввожу команду sudo iptables -I FORWARD -s 10.8.0.129 -d ! 10.8.0.1 -j DROP

И вот что выдает

Bad argument `10.8.0.1'
Try `iptables -h' or 'iptables --help' for more information.

[CaeliG]

vm03, Чем ему ip сервера не нравится?

[vm03]

восклицательный знак немного не там

iptables -I FORWARD -s 10.8.0.129 ! -d 10.8.0.1 -j DROP

[CaeliG]

vm03, Добавил это правило.

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:openvpn
ACCEPT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- 10.8.0.200 !zo-srv - это и есть 10.8.0.1
ACCEPT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Результат:



Как шли пинги и был доступ на другие клиенты ovpn так и остался, на сервер пингует.

Answer 4

[Alexey Dmitriev]

Нужно:
1. Обеспечить выдачу клиенту статического адреса через конфигурирование сервера OpenVPN.
2. Настроить разрешающее правила прохождения трафика в iptables.
3. Ниже разрешающего правила закрыть доступ для ip адреса клиента к подсети openvpn в iptables.

Comments

[CaeliG]

1. Статический ip есть, через ccd реализовано ifconfig-push 10.8.0.129 255.255.255.0;
2. Разрешающее правило для чего? Для этого ip адреса, вот такое iptables -A INPUT -s 10.8.0.129 -j ACCEPT?
3. Такое правило iptables -A FORWARD -s 10.8.0.129 -d OPENVPN_SUBNET -j DROP?

Момент такой, мне нужно, чтобы клиент с этим ip просто не видел других клиентов, кроме сервера.

[Alexey Dmitriev]

CaeliG,
2. Нет не такое.

[CaeliG]

Alexey Dmitriev, Тогда какой трафик и кому нужно разрешить?

[Alexey Dmitriev]

CaeliG, прошу прощения, навскидку правила верные

[CaeliG]

Alexey Dmitriev, Так они не будут так работать по моему, сначала мы разрешаем входящие пакеты для этого ip, а потом запрещаем этому же ip любое перенаправление этих пакетов внутри сети, сервер же тоже в сети находится, на него тоже не будут эти пакеты доходить или я что то не так думаю?

[Alexey Dmitriev]

CaeliG, ip адрес на интерфейсе openvpn сервера OpenVPN по отношению к ip адресу клиента это INPUT, остальные клиенты и адреса сервера - FORWARD.

[CaeliG]

Alexey Dmitriev, Это то понятно, но я добавил эти правила ничего не изменилось.

[Alexey Dmitriev]

CaeliG, включайте логгирование в iptables, смотрите, что куда идет.

[CaeliG]

Alexey Dmitriev, Просто вот пример обычной команды на запрет доступа одного клиента к другому
sudo iptables -A FORWARD -s -d -j DROP
Даже она не работает, я как мог подключаться и пинговать, так и могу.

[Alexey Dmitriev]

CaeliG, -I пробовали? у вас может быть выше разрешающее правило

[CaeliG]

Alexey Dmitriev,

[CaeliG]

Alexey Dmitriev, Вот так выглядит.

[CaeliG]

Alexey Dmitriev,

Точнее вот так.

[Alexey Dmitriev]

CaeliG, вы обязательно разберетесь.

Answer 5

[Ziptar]

Опция client-to-client обеспечивается внутренним роутингом овпн сервера, до обработки iptables и маршрутизацией ядром этот трафик не доходит

Таким образом, надо отключить опцию client-to-client, обеспечить форвандинг трафика между клиентами через ядро (routing and firewal после tun0 на схеме т.е.), и уже тогда можно будет ограничить трафик отдельного клиента через iptables

Comments

[Ziptar]

Да, на сколько я понимаю, клиенты у вас в местную локалку не ходят, и форвардинг в системе с овпн сервером вообще не включен. В таком случае, когда включите форвардинг - не забудьте ограничить хождение трафика между клиентами ovpn и физическим интерфейсом