Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2013-08-20 09:02:47

  yogi - Nowy użytkownik

yogi
Nowy użytkownik
Zarejestrowany: 2013-08-20

VPN z dostępem do 2 IP z sieci

Hej, na codzień  korzystamy z OpenVPN ale ostatnio pojawił się mały problem. Z uwagi na ochronę informacji przed osobami trzecimi interesuje mnie czy jest jakkolwiek możliwość ustawienia tunelu TYLKO do 2 adresów IP z całej sieci ? Tak aby po połączeniu z VPNem X widoczne były tylko dwie maszyny + klient ?

Np.:
Osoba 1 ma dostęp do serwera SFTP @ Deb + do serwera .NET
Osoba 2 ma dostęp do serwera SFTP @ Deb + do serwera .NET

Osoby 3,4,5,6 mają dostęp do obu serwerów w pełnej formie (sftp, db) oraz (ftp, .net)

Ostatnio edytowany przez yogi (2013-08-20 09:47:31)

Offline

 

#2  2013-08-20 14:16:57

  hello_world - Członek DUG

hello_world
Członek DUG
Skąd: Rymanów Zdrój
Zarejestrowany: 2010-06-03
Serwis

Re: VPN z dostępem do 2 IP z sieci

Tutaj masz napisane
Sekcja "Configuring client-specific rules and access policies" w http://openvpn.net/index.php/open-source/documentation/howto.html#scope

Offline

 

#3  2013-08-20 17:21:35

  chmuri - [=Centos=]

chmuri
[=Centos=]
Skąd: Wrocław
Zarejestrowany: 2005-11-25
Serwis

Re: VPN z dostępem do 2 IP z sieci

Kurde a ja myślałem że sobie podyskutujemy a tutaj ciach i temat do zamknięcia.


[img]http://wiki.centos.org/ArtWork/Brand?action=AttachFile&do=get&target=centos-logo-light.png[/img]

Offline

 

#4  2013-08-21 11:51:14

  yogi - Nowy użytkownik

yogi
Nowy użytkownik
Zarejestrowany: 2013-08-20

Re: VPN z dostępem do 2 IP z sieci

nie do końca zadziałało... O ile połączyłem się z VPNem na nowych zasadach o tyle połączenie nie bierze pod uwagę żadnych zasad dostępu...

Generalnie blokada jest na wszystkie IP i nie mam możliwości a raczej nie wiem jak przyznać dostęp dla danego zakresu IP aby dostał dostęp.

A żeby przybliżyć to mam coś takiego:
IP: 10.8.1.1 - pełen dostęp
IP: 10.8.2.1 - brak dostępu - starałem się przepuścić go przez iptables ale nic nie chce zaskoczyć - zakładam, że coś źle robię

Potrzebuję aby zakres 10.8.2.1/24 miał dostęp do 2ch IP w sieci, pytanie czy ręcznie na tych 2ch serwerach muszę ustawiać czy na serwerze, który zarządza VPNem ?

Offline

 

#5  2013-08-21 12:22:16

  hello_world - Członek DUG

hello_world
Członek DUG
Skąd: Rymanów Zdrój
Zarejestrowany: 2010-06-03
Serwis

Re: VPN z dostępem do 2 IP z sieci

Musisz regułami w łańcuchu forward pakietu iptables przepuszczać/dopuszczać do tych adresów
Jesli chcesz więcej to musisz pokazać
iptables -S
configi openvpna-a

Ostatnio edytowany przez hello_world (2013-08-21 12:24:58)

Offline

 

#6  2013-08-21 12:46:05

  yogi - Nowy użytkownik

yogi
Nowy użytkownik
Zarejestrowany: 2013-08-20

Re: VPN z dostępem do 2 IP z sieci

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 21194 -m state --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 12320 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 12321 -j ACCEPT
-A INPUT -p udp -m udp -j ACCEPT
-A FORWARD -s 10.8.1.0/24 -j ACCEPT
-A FORWARD -d 10.8.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.120.0/23 -j ACCEPT
-A FORWARD -d 192.168.120.0/23 -j ACCEPT
-A FORWARD -s 10.8.2.1/32 -j ACCEPT


client
proto udp
dev tun
ca ca.crt
dh dh1024.pem
cert test.crt
key test.key
remote xxx.xxx.xxx.xxx 21194
tls-auth ta.key 1
cipher AES-256-CBC
verb 2
mute 20
keepalive 10 120
comp-lzo
persist-key
persist-tun
float
resolv-retry infinite
nobind
push "route 192.168.120.0 255.255.254.0"

+ dodatkowy ccd rule: ifconfig-push 10.8.2.1 10.8.2.2 (bez tego przydziela automatycznie ip zakresu 10.8.1.x)

Dla xx.xx.1.xx dziala wszystko doskonale. Ewentualnie czy nie musze gdzies bridge zrobic dla xx.xx.2.xx  ?

Ostatnio edytowany przez yogi (2013-08-21 12:48:29)

Offline

 

#7  2013-08-21 12:55:00

  hello_world - Członek DUG

hello_world
Członek DUG
Skąd: Rymanów Zdrój
Zarejestrowany: 2010-06-03
Serwis

Re: VPN z dostępem do 2 IP z sieci

Wywal regułę

Kod:

-A INPUT -p udp -m udp -j ACCEPT
-A FORWARD -s 192.168.120.0/23 -j ACCEPT
-A FORWARD -d 192.168.120.0/23 -j ACCEPT

dodaj

Kod:

iptables -A FORWARD -i tun0 -s 10.8.2.1/32 -d IP_ZDALNEGO -j ACCEPT

Offline

 

#8  2013-08-21 13:10:36

  yogi - Nowy użytkownik

yogi
Nowy użytkownik
Zarejestrowany: 2013-08-20

Re: VPN z dostępem do 2 IP z sieci

nadal lipa.
probuje dodac forward do 2ch adresow IP - 192.168.120.100 oraz 192.168.120.101

[edit] po dokonanych zmianach w iptables poprzednie ustawienia tez nie dzialaja ;x
[edit2] a nie, to tylko moj komp w domu nie podołał zbyt czestym reconnectom i nie chce wspolpracowac ze zdalnym

[edit3] a da rade jakiegos bridge'a zrobic z 10.8.2.x do tamtych 2ch IP przy uzyciu VPNa ? albo czy mogę np restrykcję zrobić aby dany adres/klasa adresów z istniejącej puli miała zablokowany dostęp ?

dodatkowo może to być pomocne:
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  —  10.8.1.0/24          0.0.0.0/0           to:192.168.120.11

Chain OUTPUT (policy ACCEPT)


[edit4] - wpisalem na serwerze zarzadzajacym ruchem w sieci postrouting 10.8.2.0/24 di zakresu 192.168.120.100-192.198.120.101 ale MSQ chyba nie trybi ;x

Ostatnio edytowany przez yogi (2013-08-22 10:09:13)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.008 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00009 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00100 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.133.109.251' WHERE u.id=1
0.00062 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.133.109.251', 1732707649)
0.00047 SELECT * FROM punbb_online WHERE logged<1732707349
0.00047 SELECT topic_id FROM punbb_posts WHERE id=239107
0.00004 SELECT id FROM punbb_posts WHERE topic_id=24104 ORDER BY posted
0.00052 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24104 AND t.moved_to IS NULL
0.00006 SELECT search_for, replace_with FROM punbb_censoring
0.00174 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24104 ORDER BY p.id LIMIT 0,25
0.00116 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24104
Total query time: 0.00621 s