Comment bloquer l'access au LAN via OpenVPN?

Je semble avoir le problème inverse de la plupart des personnes qui ont configuré OpenVPN: je ne peux pas limiter les clients VPN au seul sous-réseau VPN. Au lieu de cela, une fois qu'un client établit une connection, ils peuvent accéder à n'importe quelle adresse IP sur le réseau local de votre OpenVPN, quel que soit le sous-réseau.

Je ne veux pas ce comportement.

SERVEUR

J'utilise un routeur Linksys WRT54GL exécutant Build 54 de TomatoUSB (édition NoUSB VPN). J'ai configuré OpenVPN via l'option 'VPN Tunneling' dans l'interface graphique de Tomato; voici une décharge de config.ovpn utilisée lors du démarrage du service:

daemon server 10.8.0.0 255.255.255.0 proto udp port 1194 dev tun22 comp-lzo adaptive keepalive 15 60 verb 3 push "dhcp-option DNS 192.168.1.1" push "redirect-gateway def1" ca ca.crt dh dh.pem cert server.crt key server.key status-version 2 status status 

CLIENT

Je teste avec OpenVPN 2.1.4 sur un ordinateur portable exécutant Windows 7 Home Premium 64 bits. Une fois que le client est connecté, j'utilise whatsmyip.org pour vérifier que je suis masquant comme adresse IP du server lors de la navigation. Tout fonctionne comme il se doit. La configuration du client ressemble à ceci:

 client dev tun proto udp resolv-retry infinite verb 3 nobind comp-lzo persist-key persist-tun remote REDACTED ca ca.crt cert client.crt key client.key redirect-gateway 

LE PROBLÈME

En tant que client, je peux faire un ping 10.8.0.1 avec succès, mais je peux également faire un ping sur n'importe quelle adresse dans le sous-réseau 192.168.1.0. Je ne veux pas que mes clients VPN aient cette capacité; Je préférerais que la connection soit juste un tunnel et que les clients soient contenus dans le sous-réseau 10.8.0.0.

Sous l'onglet Avancé de la page 'VPN Tunneling', je me suis assuré que «Push LAN to clients» n'est PAS coché. La configuration du server n'inclut pas la ligne push "route 192.168.1.0 255.255.255.0" qui normalement pousse le LAN vers les clients. Et pourtant, en tant que client VPN, je peux faire un ping et accéder à n'importe quelle adresse IP dans le réseau local du server.

Je suis certain que je fais quelque chose de mal, mais j'ai besoin de conseils pour résoudre ce problème.

One Solution collect form web for “Comment bloquer l'access au LAN via OpenVPN?”

Bien, il semble que votre routeur agisse toujours pour parcourir les différents réseaux dont il connaît. Avez-vous vérifié les tables de routing sur l'appareil?

Une autre option consiste à essayer de configurer le pare-feu sur le périphérique afin de bloquer le trafic du réseau vpn de partir vers d'autres réseaux.

Donc, ce sont mes deux suggestions: vérifiez le tableau de routing sur les linksys et envisagez de modifier les règles du pare-feu. Tomate utilise iptables de sorte que cela devrait certainement être possible.

  • Est-ce que Virtual Wireless affecte la vitesse?
  • Dnsmasq & Tomato - Elminez le besoin d'un sharepoint départ pour la résolution de nom
  • Paquets de marionnettes en une seule fois mais sans repository
  • Apache écoute, mais ne répond pas
  • wrt54gl redémarre; étapes de dépannage?
  • QoS pour un réseau LAN / WiFi très basique: Ai-je besoin de SmoothWall ou OpenWRT ou simplement de bons conseils?
  • Quelle est la meilleure façon de configurer un point d'access sans fil public et privé sur le même réseau domestique?
  • Les IP multiples de TomatoUSB ne sont pas transmises
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.