Доброго времени суток.
debian 7.11, openvpn. На машине 2 физических интерфейса - 10.12.0.2 (этот слушает 1194) и 192.168.0.2. В server.conf есть опция push «route 192.168.0.0 255.255.255.0» и сделан нат в 192.168.0.0 (iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE). Все клиенты нормально попадают в 192.168.0.0. Теперь для некоторых клиентов нужно сделать доступ еще и в 10.12.0.0, делаю в клиентском каталоге (/etc/openvpn/ccd) соответсвующие файлы с добавлением push «route 10.12.0.0 255.255.255.0» и делаю нат в 10.12.0.0 (iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE). Теперь некоторые клиенты (для которых эта опция есть в файлах в ccd каталоге) попадают также в 10.12.0.0. НО, если клиент для которого нет этой опции руками запишет себе маршрут в 10.12.0.0, то тоже туда попадает. Вопрос - как этого избежать? единственный приходящий мне в голову вариант - пушать клиентам с доступом в 10.12.0.0 конкретные адреса для tun интерфейса и разрешать nat в 10.12.0.0 только им. Есть какой-то другой вариант?
↧
openvpn ограничить доступ к реальным сетям.
↧