OpenVPN не нужна мне вся подсеть за сервером?

Question

[raingosling]

Попробую описать ситуацию, если будет не достаточное информации, спросите, не кидайте камни сразу, я только учусь.

Итак. Сеть, допустим на предприятии, состоит из двух подсетей, допустим 192.168.1. ... и 192.168.2 ..., со своим ДНС, встаёт вопрос об удалённом доступе.

Виртуальная машина, на ней стоит ubuntu server, первый интерфейс с внешним IP адресом к которому стучаться из, допустим другой страны. Внутренний tap адрес servera 192.168.3.1, все клиенты получают IP для TAP adapter c 192.168.3.100 по 192.168.3.200.

После сервера у меня видно две подсети, в server.conf прописано:
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.2.0 255.255.255.0"

Но задача назревает такая, если мне необходимо закрыть первую подсеть (если полностью то это понятно, закомментировал и нет к ней доступа) , мне нужно несколько компьютеров оставить для пользования из вне, слышал как-то можно прописыванием отдельных хостов, не совсем понятно как это сделать.

Answer 1

[Андрей Буров]

push "route 192.168.1.123 255.255.255.255"

А вообще лучше это делать фаерволом, т.к. юзер сможет сам себе маршрутов написать каких захочет.

Comments

[raingosling]

Спасибо, я то думал что 255.255.255.0 трогать не надо. Насчёт фаервола, да вариант хороший, но не все юзеры смогут себе настроить сами, а цель изначальна такая, сделать всё с минимальными действиями со стороны клиента. Спасибо, всё проще пареной редьки оказалось.

Answer 2

[Дмитрий]

Как на счёт варанта разрешить отдельные адреса фаерволом?

Answer 3

[Сергей]

2 правила в фаерволе решат вашу проблему
sudo ufw deny from 192.168.3.0/24 to any
sudo ufw allow from 192.168.3.101 to any

как вариант