Сервер на котором развёрнут OpenVPN видит клиента с родным IP адресом, а другие сервера и сайты с адресом сервера, как исправить?

Question

[Ltp_104]

При подключении к OpenVPN развёрнутом на сервере который для простоты называю proxy, на внешних серверах и сайтах IP отображается как IP сервера proxy, а на самом сервере отображается IP адрес клиента, что мешает настроить iptables для ограничения доступа к определённым сервисам только для пользователей VPN.

Comments

[hint000]

Сформулируйте вопрос более чётко.

как исправить?

В какую сторону вы хотите исправить?

• Чтобы VPN-сервер не видел адрес своего клиента? - невозможно.
  
• Чтобы сайт видел серый адрес клиента, а не адрес VPN-сервера? - невозможно, сайт не сможет ответить на серый адрес за пределами своей локальной сети.
  
• Чтобы сайт видел белый адрес клиента, а не адрес VPN-сервера? - теоретически возможно, но в большинстве случаев не будет работать по причине несимметричного маршрута. Либо односторонний трафик будет где-нибудь фильтроваться, как нечто неадекватное, либо по таймаутам что-то может отваливаться при одностороннем трафике, либо ответные пакеты упрутся в NAT со стороны клиента и NAT не будет знать, что с ними делать. Короче, не рассчитывайте на такую кривую схему, даже если у одного клиента она сработает, то у двадцати других клиентов не сработает.
  

который для простоты называю proxy

Вот если там на самом деле поднять прокси, то кое-что изменится. Сайт будет получать запрос с адреса прокси, как и раньше, но внутри запроса прокси может раскрывать адрес своего клиента (зависит от настроек прокси - может и не раскрывать). Таким образом сайт может узнавать адрес клиента, а не только адрес прокси. Если задача в этом.

мешает настроить iptables для ограничения доступа к определённым сервисам только для пользователей VPN

И опять непонятно, что это значит. Для ограничения с какой стороны? Со стороны клиента? Со стороны VPN-сервера? Со стороны сайта?
Ограничение в какую сторону - не пускать на сайт через VPN? Или пускать на сайт только через VPN?

[Ltp_104]

задача в том, чтобы iptables на сервере ограничивал доступ к определённым портам, для всех кто подключается НЕ с IP этого сервера, то есть не из под VPN, я сам не совсем понимаю как это можно реализовать, но надеялся что кто-то с таким уже сталкивался.

[Ltp_104]

Ltp_104, но при подключении к серверу из под VPN развёрнутого на этом же сервере логично что сервер видит не свой же IP адрес, а IP компьютера с которого подключаюсь, а нужно сделать так чтобы сервер при подключении такого компьютера видел его как свой же IP адрес, и давал только этому IP подключаться на определённые порты

[Ltp_104]

Как я это вижу:
1. Я подключаюсь с своего компьютера к OpenVPN развёрнутом на сервере proxy

2. Я захожу на (условно) http://"IP_proxy":1111, и iptables сервера видит меня как "IP_proxy" и по этому пускает

3. Кто либо подключаясь на тот же адрес не используя мой OpenVPN не может подключиться, ибо iptables сервера proxy видит что это не IP_proxy

IP_proxy - IP адрес сервера proxy
Проблема в том, что при подключении куда угодно кроме сервера proxy, мой IP видно как IP_proxy, а на самом сервере, в логах iptables видно IP адрес компьютера с которого работаю.
Надеюсь достаточно понятно описал проблему.

[Ltp_104]

hint000, именно пускать только через VPN, выше в комментариях расписал подробнее

[Drno]

Ltp_104, так и должно быть, как отображается..
сервер видит реальный IP клиента, который подключается
дальшее врубается ВПН и для всех остальных клиент уже видится с IP впн сервера
всё логично, всё так и должно быть

общайтесь с сервисами уже внутри ВПН сети. по их IP адресам, а не по внешним

[Ltp_104]

Drno, а как тогда ограничить доступ к портам, если возможности выдать клиентам статический IP нет? В работе сейчас 2 сервера, на первом развёрнут ВПН, на втором перекрыты почти все подключения для всех кто подключается не с IP 1 сервера, то есть не из под ВПН, по той же аналогии хотелось бы организовать безопасность на первом сервере, он он видит IP адреса клиентов, а не адрес ВПН (свой же IP), вот пытаюсь что-то придумать, как бы так настроить впн или iptables так, чтобы пускать на все или определённые порты первого сервера только тех кто подключен к впн (впн развёрнутому на этом же сервере)

[Drno]

Ltp_104, на 1м сервере - никак. он же является ВПН сервером и должен принимать запрос на подключение к ВПН с любого IP...

а насчет каких то внутренних сервисов - я уже написал, используйте для них не внешний IP сервера 1, а его IP внутри сети openVPN. и пусть клиенты по нему обращаются к сервисам
собственно обычно так и делается

Answer 1

[hint000]

задача в том, чтобы iptables на сервере ограничивал доступ к определённым портам, для всех кто подключается НЕ с IP этого сервера, то есть не из под VPN

iptables -A INPUT ! -s 192.168.111.0/24 -p tcp --dport 443 -j DROP

192.168.111.0/24 - это, например, диапазон адресов, прописанных в конфигурации OpenVPN.
443\TCP - это порт на этом же сарвере, доступ к которому должен быть только через VPN.
Т.е. этим правилом мы посылаем нафиг всех, кто не из VPN и лезет на 443\TCP.

Comments

[Ltp_104]

спасибо за ответ! чуть позже попробую ваше решение

[hint000]

Ltp_104, ага, прочитал ваши комментарии выше, теперь стала понятна проблема. Она в маршрутизации. Сайт (находящийся на том же хосте, что и VPN-сервер) видит клиента под внешним адресом клиента, хотя по задумке должен видеть под серым адресом, выданным VPN.

Объясняю причину. Пакеты от клиента к сайту при этом действительно НЕ идут через туннель VPN. Они идут напрямую, потому что на клиенте при затаскивании маршрута по умолчанию в туннель, клиентская часть OpenVPN обязательно добавляет маршрут до своего сервера через обычный шлюз (например, домашний роутер или если OpenVPN на домашнем роутере, то через шлюз провайдера). Без этого нельзя, получился бы змей, кусающий себя за хвост. Итак, мы имеем маршрут до сервера мимо туннеля. И сайт на том же сервере. Когда клиент идёт на сайт, то он идёт по этому же отдельному маршруту мимо туннеля.

Выход есть - идти на сайт по серому адресу сервера (например, тому, который назначен самому серверу OpenVPN). Собственно, это и есть самая классическая схема использования VPN аж с 1990-х годов, под названием "road warrior" - удалённый доступ сотрудников к внутренним корпоративным ресурсам по внутренним адресам.
Два условия:
(1) если нужно идти на сайт не по адресу, а по имени, то надо либо прописать имя с серым адресом в etc/hosts на клиенте, либо подменять DNS на свой, который будет отдавать клиенту серый адрес сайта (решаемо);
(2) нужно убедиться, что веб-сервер слушает порт на всех сетевых интерфейсах, а не только на внешнем.

[Ltp_104]

hint000, на стороне клиента вряд ли что то получиться менять по этому буду думать над реализацией того что вы описали, спасибо за интересную идею!

[hint000]

Ltp_104, ну если как вы пишете,

Я захожу на (условно) http://"IP_proxy":1111

то клиенту достаточно сказать другой адрес (или дать другую ссылку с другим адресом). Настройки менять не потребуется.

[Ltp_104]

hint000, я правильно понимаю, вы предлагаете настроить на сервере маршрут к нужному порту так, чтобы клиент попадал туда , не обходя ВПН, попадая под правила iptables уже из под ip сервера? Как это примерно можно реализовать?

[hint000]

Ltp_104, нет. Давайте с примерами конкретных адресов.
Сервер 123.1.1.1
Клиент 234.2.2.2
На сервере OpenVPN взял себе 192.168.111.1 и готов раздавать своим клиентам адреса из диапазона 192.168.111.2...192.168.111.254.
Также на сервере работает Apache (или Nginx), слушает 0.0.0.0:443 и 0.0.0.0:80.
Клиент запускает OpenVPN, коннектится на 123.1.1.1:1194.
Сервер OpenVPN пускает клиента и выдаёт ему 192.168.111.2.
Теперь имеем: со сторны сервера адреса 123.1.1.1 и 192.168.111.1,
со стороны клиента адреса 234.2.2.2 и 192.168.111.2.
Ранее пользователь ходил на сайт _https://123.1.1.1 и шел мимо VPN.
Если теперь он пойдёт на _https://192.168.111.1, то попадёт туда же, но через VPN.
Надо только сказать пользователю, чтобы шел на _https://192.168.111.1 вместо _https://123.1.1.1