Как обеспечить доступ только к одному ПК за openvpn?
Есть пачка устройств с openvpn-клиентом (Я о них знаю только то, что они есть, но сам не видел и не увижу). Есть openvpn-сервер на mikrotik 750. В данный момент, кто бы ни подключался с валидным ключом(и паролем) видит всю сеть за маршрутизатором. Что по каким-то причинам не устраивает безопасников.
Необходимо, чтобы все эти устройства со своим ключом (одним на всех, ибо их будут сотни) могли подключаться только к одному ПК. И при этом другие клиенты со своими ключами, могли видеть всю сеть.
Еще уточню: меня больше интересует, можно ли это все сделать средствами openvpn или для этого нужно настраивать фаервол. С фаерволом на микротике я не очень знаком.
rb-750 и "клиентов ... ибо их будут сотни" как то не вяжется. Реализация тиковского ovpn желает оставлять лучшего ибо нет udp и lzo и скорость будет ужасающей но зато пинги будут лучше чем на wrt прошивках.
Теоретически можно попробовать следующее(не уверен что сработает):
1) На тике настраиваете сервер ovpn в режиме ethernet
2) Для тех кто будет подключаться массово по 1 ключу\паролю делаете единую учетку и раздаете адреса из пула1(к примеру 192.168.51.0/24) для них. В фаирволе рубите любые конекты(к примеру ваша lan 192.168.50.0/24) кроме нужного до "одного ПК"(к примеру 192.168.50.100).
3) "Другие клиенты которые должны видеть всю сеть", делаете уникальные учетки для них и ручками назначаете индивидуальные ip каждому но в пределах единого пула(к примеру 192.168.52/0.24) Фаирволом естественно рубить уже ничего не надо для них.
Фаирволл в любом случае придется задействовать иначе будет дыра в виде того что шибко умный сможет прописать роут на подсеть локалки и получить к ней доступ. Фаирвол в тиках очень приятный и разобраться в нем не составит никакого труда совсем(во всяком случае в нем в разы проще разобраться с нуля чем iptables).