Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2013-08-20 09:02:47
yogi - Nowy użytkownik
- yogi
- Nowy użytkownik
- Zarejestrowany: 2013-08-20
VPN z dostępem do 2 IP z sieci
Hej, na codzień korzystamy z OpenVPN ale ostatnio pojawił się mały problem. Z uwagi na ochronę informacji przed osobami trzecimi interesuje mnie czy jest jakkolwiek możliwość ustawienia tunelu TYLKO do 2 adresów IP z całej sieci ? Tak aby po połączeniu z VPNem X widoczne były tylko dwie maszyny + klient ?
Np.:
Osoba 1 ma dostęp do serwera SFTP @ Deb + do serwera .NET
Osoba 2 ma dostęp do serwera SFTP @ Deb + do serwera .NET
Osoby 3,4,5,6 mają dostęp do obu serwerów w pełnej formie (sftp, db) oraz (ftp, .net)
Ostatnio edytowany przez yogi (2013-08-20 09:47:31)
Offline
#2 2013-08-20 14:16:57
hello_world - 
Członek DUG
- hello_world
- Członek DUG
- Skąd: Rymanów Zdrój
- Zarejestrowany: 2010-06-03
- Serwis
Re: VPN z dostępem do 2 IP z sieci
Tutaj masz napisane
Sekcja "Configuring client-specific rules and access policies" w http://openvpn.net/index.php/open-source/documentation/howto.html#scope
Offline
#3 2013-08-20 17:21:35
chmuri - [=Centos=]
#4 2013-08-21 11:51:14
yogi - Nowy użytkownik
- yogi
- Nowy użytkownik
- Zarejestrowany: 2013-08-20
Re: VPN z dostępem do 2 IP z sieci
nie do końca zadziałało... O ile połączyłem się z VPNem na nowych zasadach o tyle połączenie nie bierze pod uwagę żadnych zasad dostępu...
Generalnie blokada jest na wszystkie IP i nie mam możliwości a raczej nie wiem jak przyznać dostęp dla danego zakresu IP aby dostał dostęp.
A żeby przybliżyć to mam coś takiego:
IP: 10.8.1.1 - pełen dostęp
IP: 10.8.2.1 - brak dostępu - starałem się przepuścić go przez iptables ale nic nie chce zaskoczyć - zakładam, że coś źle robię
Potrzebuję aby zakres 10.8.2.1/24 miał dostęp do 2ch IP w sieci, pytanie czy ręcznie na tych 2ch serwerach muszę ustawiać czy na serwerze, który zarządza VPNem ?
Offline
#5 2013-08-21 12:22:16
hello_world - Członek DUG
- hello_world
- Członek DUG
- Skąd: Rymanów Zdrój
- Zarejestrowany: 2010-06-03
- Serwis
Re: VPN z dostępem do 2 IP z sieci
Musisz regułami w łańcuchu forward pakietu iptables przepuszczać/dopuszczać do tych adresów
Jesli chcesz więcej to musisz pokazać
iptables -S
configi openvpna-a
Ostatnio edytowany przez hello_world (2013-08-21 12:24:58)
Offline
#6 2013-08-21 12:46:05
yogi - Nowy użytkownik
- yogi
- Nowy użytkownik
- Zarejestrowany: 2013-08-20
Re: VPN z dostępem do 2 IP z sieci
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 21194 -m state --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 12320 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 12321 -j ACCEPT
-A INPUT -p udp -m udp -j ACCEPT
-A FORWARD -s 10.8.1.0/24 -j ACCEPT
-A FORWARD -d 10.8.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.120.0/23 -j ACCEPT
-A FORWARD -d 192.168.120.0/23 -j ACCEPT
-A FORWARD -s 10.8.2.1/32 -j ACCEPT
client
proto udp
dev tun
ca ca.crt
dh dh1024.pem
cert test.crt
key test.key
remote xxx.xxx.xxx.xxx 21194
tls-auth ta.key 1
cipher AES-256-CBC
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
push "route 192.168.120.0 255.255.254.0"
+ dodatkowy ccd rule: ifconfig-push 10.8.2.1 10.8.2.2 (bez tego przydziela automatycznie ip zakresu 10.8.1.x)
Dla xx.xx.1.xx dziala wszystko doskonale. Ewentualnie czy nie musze gdzies bridge zrobic dla xx.xx.2.xx ?
Ostatnio edytowany przez yogi (2013-08-21 12:48:29)
Offline
#7 2013-08-21 12:55:00
hello_world - Członek DUG
- hello_world
- Członek DUG
- Skąd: Rymanów Zdrój
- Zarejestrowany: 2010-06-03
- Serwis
Re: VPN z dostępem do 2 IP z sieci
Wywal regułę
Kod:
-A INPUT -p udp -m udp -j ACCEPT -A FORWARD -s 192.168.120.0/23 -j ACCEPT -A FORWARD -d 192.168.120.0/23 -j ACCEPT
dodaj
Kod:
iptables -A FORWARD -i tun0 -s 10.8.2.1/32 -d IP_ZDALNEGO -j ACCEPT
Offline
#8 2013-08-21 13:10:36
yogi - Nowy użytkownik
- yogi
- Nowy użytkownik
- Zarejestrowany: 2013-08-20
Re: VPN z dostępem do 2 IP z sieci
nadal lipa.
probuje dodac forward do 2ch adresow IP - 192.168.120.100 oraz 192.168.120.101
[edit] po dokonanych zmianach w iptables poprzednie ustawienia tez nie dzialaja ;x
[edit2] a nie, to tylko moj komp w domu nie podołał zbyt czestym reconnectom i nie chce wspolpracowac ze zdalnym
[edit3] a da rade jakiegos bridge'a zrobic z 10.8.2.x do tamtych 2ch IP przy uzyciu VPNa ? albo czy mogę np restrykcję zrobić aby dany adres/klasa adresów z istniejącej puli miała zablokowany dostęp ?
dodatkowo może to być pomocne:
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all — 10.8.1.0/24 0.0.0.0/0 to:192.168.120.11
Chain OUTPUT (policy ACCEPT)
[edit4] - wpisalem na serwerze zarzadzajacym ruchem w sieci postrouting 10.8.2.0/24 di zakresu 192.168.120.100-192.198.120.101 ale MSQ chyba nie trybi ;x
Ostatnio edytowany przez yogi (2013-08-22 10:09:13)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00014 | SET CHARSET latin2 |
| 0.00008 | SET NAMES latin2 |
| 0.00140 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.219.18.238' WHERE u.id=1 |
| 0.00070 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.219.18.238', 1732697909) |
| 0.00072 | SELECT * FROM punbb_online WHERE logged<1732697609 |
| 0.00081 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24104 AND t.moved_to IS NULL |
| 0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00738 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24104 ORDER BY p.id LIMIT 0,25 |
| 0.00138 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24104 |
| Total query time: 0.01266 s | |