Упралять трафиком для ivanov.ii

0

2

Клиенты

root@router:/etc/openvpn# netcat localhost 6001
>INFO:OpenVPN Management Interface Version 1 -- type 'help' for more info
status
OpenVPN CLIENT LIST
Updated,Wed Oct  8 16:55:45 2014
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
ivanov.ii,213.180.204.3:1474,1948946,35626344,Wed Oct  8 12:43:55 2014
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
172.16.200.10,ivanov.ii,213.180.204.3:1474,Wed Oct  8 13:07:16 2014
GLOBAL STATS
Max bcast/mcast queue length,0
END

подключаются к серверу

root@router:/etc/openvpn# cat router.conf
mode server
tls-server
daemon vpn-server
proto udp
port 1194
dev tun
keepalive 10 120
ca ca.crt
cert router.crt
key router.key
dh dh1024.pem
server 172.16.200.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push dhcp-option DNS 172.16.200.75
log /var/log/openvpn_router.log
comp-lzo
client-config-dir ccd
management 127.0.0.1 6001
crl-verify /etc/openvpn/easy-rsa/2.0/keys/crl.pem

Маршруты прилетают клиентам используя ccd

root@router:/etc/openvpn/ccd# cat ivanov.ii
push route 192.168.206.0 255.255.255.0

root@router:/etc/openvpn/ccd# cat petrov.pp
push route 192.168.206.0 255.255.255.0

Адреса статически привязываются к клиентам после их назначения

root@router:/etc/openvpn# cat ipp.txt
ivanov.ii,172.16.200.4
petrov.pp,172.16.200.8

Задача

Клиенту «ivanov.ii» разрешить только 80 порт сервера 192.168.200.1;
Клиенту «petrov.pp» разрешить сервера 192.168.200.5-192.168.200.15;

Какие могут быть варианты решения?

Ссылка

←	dhcpd.conf

Переход на новый часовой пояс

→

Ничего не понял, но раз IP привязываются к пользователям, то чем firewall не устраивает?

~~zgen~~ ★★★★★
(08.10.14 13:53:43 MSK)

Ответ на: комментарий от zgen 08.10.14 13:53:43 MSK

Ничего не понял, но раз IP привязываются к пользователям, то чем firewall не устраивает?

Это самое очевидное. И в итоге нужен firewall.

А может openvpn метить трафик клиентов, что бы потом по этим меткам в правилах все разруливать?

petav ★★★★★
(08.10.14 13:59:02 MSK) автор топика

Ответ на: комментарий от petav 08.10.14 13:59:02 MSK

А может openvpn метить трафик клиентов, что бы потом по этим меткам в правилах все разруливать?

Метить имеет смысл тогда, когда ты не знаешь, какой IP у клиента, но знаешь точку входа трафика и имеешь возможность пометить его.

Если ты уже привязал IP к пользователю, то зачем метить то?

Или ты хочешь отказаться от привязки и ищешь другое решение для своей задачи? - но из изначального текста это никак не следует.

~~zgen~~ ★★★★★
(08.10.14 14:10:44 MSK)

Ответ на: комментарий от zgen 08.10.14 14:10:44 MSK

Или ты хочешь отказаться от привязки и ищешь другое решение для своей задачи?

Ищу возможные варианты, поэтому четко вопрос и не поставил. Мне кажется логичнее метить было бы (если бы это было возможно делать внтури openvpn) и рулить потом проще.

petav ★★★★★
(08.10.14 14:13:24 MSK) автор топика

Ссылка

Ответ на: комментарий от zgen 08.10.14 14:10:44 MSK

когда ты не знаешь, какой IP у клиента

Кстате, те адреса что в ipp.txt соответствуют реальным за вычетом -2 толи +2, т.е. если написано 172.16.200.4 то у клиента будет 172.16.200.2 или 172.16.200.6 Мне пока это не совсем очевидно.

petav ★★★★★
(08.10.14 14:16:58 MSK) автор топика

Ответ на: комментарий от petav 08.10.14 14:16:58 MSK

Ищу возможные варианты

Увы, я других с openvpn не знаю.

Мне кажется логичнее метить было бы и рулить потом проще.

А мне, например, нет.

Мне пока это не совсем очевидно.

используй не ipp, а ccd и передавай нужный адрес через ifconfig-push

https://community.openvpn.net/openvpn/wiki/Concepts-Addressing#StaticAddressA...

~~zgen~~ ★★★★★
(08.10.14 14:31:08 MSK)

Ответ на: комментарий от zgen 08.10.14 14:31:08 MSK

используй не ipp, а ccd и передавай нужный адрес через ifconfig-push

присмотрюсь...

petav ★★★★★
(08.10.14 15:05:16 MSK) автор топика

Ссылка

openvpn умеет запусткать скрипты при подсоединении клиента, передавая скрипту параметры....

uspen ★★★★★
(08.10.14 17:53:37 MSK)

Ответ на: комментарий от uspen 08.10.14 17:53:37 MSK

openvpn умеет запусткать скрипты при подсоединении клиента, передавая скрипту параметры....

Таааак... и это можно применить для достижения обозначенной цели?

petav ★★★★★
(08.10.14 19:17:31 MSK) автор топика

Ответ на: комментарий от petav 08.10.14 19:17:31 MSK

Таааак... и это можно применить для достижения обозначенной цели?

Само собой. Для этого и придумано. Ищите в доках упоминания up/down.

dhameoelin ★★★★★
(08.10.14 19:58:52 MSK)

Ответ на: комментарий от dhameoelin 08.10.14 19:58:52 MSK

не up down, другие, не помню

uspen ★★★★★
(09.10.14 00:48:45 MSK)

Ссылка

Ответ на: комментарий от dhameoelin 08.10.14 19:58:52 MSK

и это можно применить для достижения обозначенной цели?

Само собой.

На мой взгляд, Вы ошибаетесь, данный функционал не применим к поставленной задаче.

SCRIPTING AND ENVIRONMENTAL VARIABLES

Надо выполнить скрипт, который заставит openvpn метить часть трафика проходящего через tun/tap интерфейс. Что бы метить трафик нужно постоянно, что-то выделяющее часть пакетов пришедших по определенному сертификату/соединению. Скрипту up/down это не подсилу в силу специфики его работы.

petav ★★★★★
(09.10.14 09:15:16 MSK) автор топика
Последнее исправление: petav 09.10.14 09:15:54 MSK (всего исправлений: 1)