Регистрация Войти
Рейтинг:0
avatar Server

Как изменить шлюз маршрута клиента openvpn

флаг in
PRF

У меня очень хорошо работает openvpn 2.4, но появилось новое требование. Мне нужно создать правила iptables для разных IP-сегментов клиентов, чтобы предоставить им доступ к нескольким службам в нашей сети.

Поэтому я решил следовать этому документу https://openvpn.net/community-resources/configuring-client-specific-rules-and-access-policies/

Я думаю, что это работает, потому что клиент получает соответствующий IP-адрес, но после подключения боковая сеть vpn становится недоступной.

Мне удалось заставить его работать, сделав это:

серверная часть:

маршрут добавить -net 10.8.1.0 сетевая маска 255.255.255.0 dev tun0

клиентская сторона (macos)

sudo route добавить -net 10.8 -интерфейс utun4
sudo маршрут удалить -net 192.168.13
sudo маршрут добавить -net 192.168.13 10.8.0.1

Нетронутая сетевая таблица после подключения такова (транковая для удобства)

Интернет:
Шлюз назначения помечает Netif Expire
по умолчанию 192.168.0.1 UGScg en0
10.8.1.1 10.8.1.1 UH utun4
127 127.0.0.1 ПСК ло0
127.0.0.1 127.0.0.1 UH lo0
192.168.13 10.8.0.1 UGSc en0

Проблема, которую я видел, заключается в том, что шлюз, назначенный для клиента, совпадает с назначенным ему IP-адресом (настроенным в ccd/user1).

Что мне нужно сделать, так это направить более широкий диапазон (10.8) на интерфейс tun, а затем направить нашу подсеть lan (192.168.13) через шлюз 10.8.0.1, который используется по умолчанию.

Можно ли заменить эти маршруты только конфигурациями сервера openvpn?

Вот мои файлы конфигурации

server.conf

разработчик tun0
прото удп
порт 1194
ca /etc/openvpn/easy-rsa/pki/ca.crt
сертификат /etc/openvpn/easy-rsa/pki/issued/server_8UY7QzRl8yjjzVAx.crt
ключ /etc/openvpn/easy-rsa/pki/private/server_8UY7QzRl8yjjzVAx.key
дх /etc/openvpn/easy-rsa/pki/dh2048.pem
топология подсети
сервер 10.8.0.0 255.255.255.0
нажмите «dhcp-опция DNS 192.168.13.5»
нажмите «dhcp-опция DNS 192.168.13.2»
нажмите «блокировать снаружи DNS»
нажмите "маршрут 192.168.13.0 255.255.255.0"
нажмите "перенаправление-частное"

клиент-конфигурация-каталог /etc/openvpn/ccd

клиент-клиент
поддержка 10 120
клиент удаленного сертификата TLS
tls-версия-минимум 1.2
tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0
шифр AES-256-CBC
аутентификация SHA256
комп-льзо
пользователь никто
группа
постоянный ключ
упорный тун
crl-проверить /etc/openvpn/crl.pem
статус /var/log/openvpn-status.log 20
статус-версия 3
системный журнал
глагол 3

ccd/user1

ifconfig-push 10.8.1.1 10.8.1.2

Я буду признателен за любую помощь.

370
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.