Ответы пользователя по тегу OpenVPN
  • Как запретить клиентам OpenVPN выходить в сеть через vpn?

    Bermut
    @Bermut
    Жертва домашней лаборатории
    iptables -A FORWARD -s <vpn subnet> -d 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 -j ACCEPT
    iptables -A FORWARD -s <vpn subnet> -m conntrack --ctstate new -j DROP
    Ответ написан
    Комментировать
  • Пытаюсь настроить удаленный доступ к локальной сети через OpenVPN. Почему недоступны ресурсы локальной сети?

    Bermut
    @Bermut
    Жертва домашней лаборатории
    Два варианта - или не включен форвардинг на пека (в случае линукса sysctl -w net.ipv4.conf.all.forwarding=1, в случае винды - не использовать ее как какой-либо сервер)
    Или да, отсутствует обратный маршрут до вашего vps, решается или SNAT на ПК, или прописыванием обратного маршрута на основном GW, только отмечу, соединения от него не должны идти через snat.
    Ответ написан
    1 комментарий
  • Как сделать маршрут между клиентами OpenVPN на Ubuntu?

    Bermut
    @Bermut
    Жертва домашней лаборатории
    Прошу не слушать ответ Dimonchik, это работает немного иначе.

    Если нам требуется маршрутизировать подсеть через одного из клиентов, то делается это следующим образом -
    В конфиге ovpn сервера задается ccd папка, в этот папке должен быть файл с названием клиента(или названием сертификата, если выпускался при помощи easyrsa), следующего содержания -
    iroute <subnet address> <netmask>
    example: iroute 192.168.0.0 255.255.255.0

    После уже пишем маршрут в таблицу -
    ip r a 192.168.0.0/24 dev tun0

    В случае данного вопроса, требуется сделать default gateway, что немного сложнее, и я вообще неуверен, что через openvpn это можно сделать, но можно попробовать так:
    В ccd создаем файл клиента такого содержания: iroute 0.0.0.0 0.0.0.0
    Дальше создаем таблицу маршрутизации: ip ru a table 1 fwmark 1
    Пишем в нее маршрут: ip r a default dev tun0 t 1
    Создаем правила iptables -
    iptables -t mangle -A PREROUTING -s 10.8.0.0/24 -m conntrack --ctstate new -j CONNMARK --set-xmark 1
    iptables -t mangle -A PREROUTING -m connmark --mark 1 -j MARK --set-mark 1

    Так же должен быть разрешен трафик между клиентами.

    Возможно я упустил что-то, так как писал на память, но, повторюсь, скорее всего из ovpn клиента на сервере невозможно сделать default gateway.
    Ответ написан
  • Маршртизация подсети через openvpn клиент?

    Bermut
    @Bermut Автор вопроса
    Жертва домашней лаборатории
    В конфиге сервера указываем
    client-config-dir client
    Создаем в папке сервера папку client
    В этой папке создаем файл с названием сертификата клиента
    В файле пишем iroute , например iroute 192.168.0.0 255.255.255.0
    Перезапускаем openvpn сервер
    Пишем ip r a dev tun0
    Работает
    Ответ написан
    1 комментарий