Как отправлять внешний ip адрес пользователя OPENVPN при обращении к компьютеру в локальной сети?

Question

[max_wb]

Доброго времени суток. В локальной сети есть компьютер (К1), к которому пользователи подключаются из WAN по RDP, используя openvpn обращаясь по локальному ip. Сервер openvpn (VPN) имеет статический ip в локальной сети, например - 192.168.1.2, К1 к которому подключаются по RDP имеет ip адрес - 192.168.1.3. На К1 установлен IPBAN, который блокирует все ip адреса, с которых было выполнено более 3-х неудачных попыток авторизации RDP. К1 при каждом подключении пользователя отображает в логах ip адрес VPN сервера, т.е. каждый раз при подключении К1 видит ip - 192.168.1.2. Проблема заключается в том, что при неудачных попыток авторизации IPBAN будет блокировать ip VPN сервера, при этом блокируя доступ разом всем пользователям. Как можно vpn сервер научить отправлять на К1 внешний ip адрес или адрес, который openvpn выдал пользователю?

Answer 1

[res2001]

Никак. Не нужен тут IPBAN, пользователь неудачно ввел пароль в винду, при этом с ВПН у него проблем нет.

Это делается другими средствами. Настройте политики винды (АД или локальные) на блокировку пользователя на какое-то время в случае N неудачных регистраций.

Comments

[max_wb]

IPBAN нужен для предотвращения брутфорса из WAN. К RDP есть доступ из WAN по белому IP(все необходимые правила и переадресация портов настроены). Блокировать пользователя вообще не вариант.

[res2001]

max_wb, Где в вашей схеме тогда openvpn?
Из вопроса я понял, что пользователь сначала подключается к ВПН, потом уже внутри ВПН к RDP (т.е. RDP не выставлен в интернет, а только в ВПН). Я бы делал именно так.

Если у вас все таки RDP выставлен в инет, то придется что-тол костылить, чтоб конфигурить IPBAN. Например на RDP сервере можно запускать скрипт по появлению в журнале события о неправильной регистрации. Есть ли что-то уже готовое для этого, я не в курсе.

[max_wb]

res2001, Для пользователей подключение по RDP идёт только через openvpn сервер. Для себя RDP выставил в wan, что-бы была возможность подключиться к серверу, если по какой-либо причине ляжет openvpn. Т.к. rdp наружу смотрит, поставил защиту от брутфорса в виде IPBAN. И вот я думаю, мб можно как-нибудь не костылить IPBAN, а настроить openvpn таким образом, чтобы он отправлял запросы на сервер, которые идут от пользователя, не с своим ip, а с ip, который openvpn выдаёт каждому пользователю.

[res2001]

max_wb,

Для себя RDP выставил в wan

Т.е. сделал дыру в безопасности, чтоб себе было удобней (на самом деле не понятно для чего). А потом пытаюсь эту дыру прикрыть костылями. Молодец!
У вас скорее ляжет винда с RDP, чем работающий openvpn, если сервер нормально справляется с нагрузкой.

И вот я думаю, мб можно как-нибудь не костылить IPBAN, а настроить openvpn таким образом, чтобы он отправлял запросы на сервер, которые идут от пользователя, не с своим ip, а с ip, который openvpn выдаёт каждому пользователю.

Вы видимо подняли для ВПН NAT на ВПН сервере, из-за NATа у вас подменяется адрес на адрес ВПН сервера. Уберите NAT и адреса будут адресами клиента в ВПН сети. Openvpn сам адреса не меняет. Только нужно будет настроить маршрутизацию на RDP сервере.
NAT к ВПН не имеет никакого отношения. В интернете я видел много мануалов по настройке openvpn в которых поднимается NAT. Но NAT чаще всего не нужен. Он нужен только тогда когда он действительно нужен.

[max_wb]

Т.е. сделал дыру в безопасности, чтоб себе было удобней (на самом деле не понятно для чего).

Я вроде ясно описал зачем нужен открытый RDP и как он настроен. Какая дыра в безопасности, о чём вы вообще?
С nat разберусь, спасибо за подсказку.

[res2001]

max_wb,

Я вроде ясно описал зачем нужен открытый RDP и как он настроен. Какая дыра в безопасности, о чём вы вообще?

Написал ясно, да:

Для себя RDP выставил в wan

Что ж тут не ясного :-)
Только это объяснение не тянет на веский довод в необходимости этого действия при наличии работающего ВПН.
Любой выставленный наружу порт - потенциальная уязвимость, т.е. дыра в безопасности. Когда вас сломают через эту потенциальную уязвимость - это вопрос времени (и желания).
Все это, конечно, имхо.

[max_wb]

Для себя RDP выставил в wan, что-бы была возможность подключиться к серверу, если по какой-либо причине ляжет openvpn

К RDP есть доступ из WAN по белому IP(все необходимые правила и переадресация портов настроены)

Какие есть ещё альтернативы, в случае если компьютер где настроен vpn откажется работать, либо сам сервис openvpn ляжет?

[res2001]

max_wb, Я писал выше

У вас скорее ляжет винда с RDP, чем работающий openvpn, если сервер нормально справляется с нагрузкой.

.
Я бы дополнительно на другом сервере открыл openssh с авторизацией по ключам на нестандартном порту. Через него можно и RDP прокидывать, только это немного не так работает как в openvpn.

Или вместо openssh - резервный openvpn сервер с такой же конфигурацией (только с другой внутренней адресацией). Кстати, два openvpn можно использовать одновременно в работе. В клиентском конфиге можно указать 2 адреса и он их будет перебирать автоматически по round robin, если какой-то не доступен.

[res2001]

max_wb, В целом RDS вполне можно выставлять в инет, только предварительно нужно его нормально настроить: отключить устаревшие/уязвимые крипто алгоритмы, завести свой собственный ЦА на нем сгенерировать сертификат для RDS (совсем хорошо, если и у клиентов будет свой собственный сертификат, выданный вашим ЦА), включить проверку подлинности сертификата ЦА на клиентах (и на сервере клиентских сертификатов, если выполнено то что написано в скобках выше), принудительно включить на сервере проверку подлинности на уровне сети, использовать на сколько возможно последнюю версию RDP на сервере. Как-то так.
В инете встречаются статьи на тему защиты RDS, вот одна из них: https://www.atraining.ru/windows-rdp-tuning/