OpenVPN тока для лок. сети

0

1

Наша компания мониторит у разных юр. лиц конечные устройства. OpenVPN требуется тока для нашей внутренней сети. У юр. лиц OpenVPN ставится на роутеры. Требуется заблочить трафик глобы через наш OpenVPN.

Есть например:

user01.ovpn (vpn_ip: 172.17.0.3)
user03.ovpn (vpn_ip: 172.17.0.4)

Конфиг сервера:

local x.x.x.x
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 172.17.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
keepalive 10 60
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
management localhost 7505

client-to-client
client-config-dir /etc/openvpn/ccd

route 192.168.10.0 255.255.255.0

Конфиг user03.ovpn:

iroute 192.168.10.0 255.255.255.0

При такой конфигурации, норм идёт пинг и есть доступ к конечным устройствам в подсети 192.168.10.0/24

Если закоментить строку:

push "redirect-gateway def1 bypass-dhcp"

То глоб. инет не идёт через тунель, но оч. медленно открываются страницы, между собой пингуются 172.17.0.0/24, но пропадает доступ на подсеть 192.168.10.0/24. Подскажите пожалуйста как корректнее сконфигурировать, заранее спасибо.

Ссылка

←	Убрать сеть 169.254.* в Debian

Проблема со squid 5 на opensuse TW

→

push «dhcp-option DNS 8.8.8.8»
push «dhcp-option DNS 8.8.4.4»

На юг

Добавить push "route $YOU_LAN $MASK_YOU_LAN"

anc ★★★★★
(17.11.21 07:25:44 MSK)

Требуется заблочить трафик глобы через наш OpenVPN

Ясно-понятно

~~zgen~~ ★★★★★
(17.11.21 12:18:01 MSK)

Ссылка

Ответ на: комментарий от anc 17.11.21 07:25:44 MSK

Не работает!

local x.x.x.x
port 1194
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 172.17.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 8.8.8.8"
;push "dhcp-option DNS 8.8.4.4"
keepalive 10 60
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
management localhost 7505

client-to-client
client-config-dir /etc/openvpn/ccd

route 192.168.10.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"

ramneak
(18.11.21 03:27:38 MSK) автор топика

Ответ на: комментарий от ramneak 18.11.21 03:27:38 MSK

Хм. На всякий случай уточню 192.168.1.0/24 это ваша сеть?

anc ★★★★★
(18.11.21 03:57:42 MSK)

Ответ на: комментарий от ramneak 18.11.21 03:27:38 MSK

Ну что такое, удалили до того как я поместил ответ. Вот вам ответ на удаленное, зря что ли я кнопочки тыпал? :)
Уже интереснее. А сервер где-то сам по себе. Я правильно понял?

anc ★★★★★
(18.11.21 04:31:52 MSK)

Ответ на: комментарий от anc 18.11.21 03:57:42 MSK

Точнее всё опишу:

user01.ovpn (vpn_ip: 172.17.0.4, клиент win) лок. 192.168.1.0/24

user03.ovpn (vpn_ip: 172.17.0.3, роутер) лок. 192.168.10.0/24

в /etc/openvpn/ccd на данный момент тока 1 файл: user03

iroute 192.168.10.0 255.255.255.0

конфиг user01.ovpn:

client
dev tun
proto tcp
remote x.x.x.x
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
block-outside-dns
verb 3

настройки роутера: https://b.radikal.ru/b20/2111/ea/d1895d44f04d.png

ramneak
(18.11.21 04:32:32 MSK) автор топика

Ответ на: комментарий от anc 18.11.21 04:31:52 MSK

Пардон, хотел корректнее описать настройки. Сервер OpenVPN, развёрнут на VPS

ramneak
(18.11.21 04:33:58 MSK) автор топика

Ссылка

Ответ на: комментарий от ramneak 18.11.21 04:32:32 MSK

user01 - в ccd push "route 192.168.10.0 255.255.255.0"
Можно и в основной конфиг. Роутер c 192.168.10.0/24 просто матюгнется при добавлении, не более того.

anc ★★★★★
(18.11.21 04:41:01 MSK)
Последнее исправление: anc 18.11.21 04:43:34 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 18.11.21 04:41:01 MSK

Спасиб большое, добавил:

user01 - в ccd push «route 192.168.10.0 255.255.255.0»

и заработало

также пришлось раскоментить: push «dhcp-option DNS 8.8.8.8» push «dhcp-option DNS 8.8.4.4»

иначе страницы долго открывались или ваще не открывались

ramneak
(18.11.21 05:01:20 MSK) автор топика

Ответ на: комментарий от ramneak 18.11.21 05:01:20 MSK

также пришлось раскоментить: push «dhcp-option DNS 8.8.8.8» push «dhcp-option DNS 8.8.4.4»

Это уж ваши «внутренние еврейские разборки» (с) :) какие днс сервера работают или не работают...

anc ★★★★★
(18.11.21 05:58:41 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Убрать сеть 169.254.* в Debian

Admin

Проблема со squid 5 на opensuse TW

→

Похожие темы