Как настроить OpenVPN с двумя экземплярами на одном компьютере и настроить iptables по специальным правилам
У меня есть сервер OpenVPN
и 2 экземпляра. один экземпляр для моих друзей и один экземпляр только для меня и моей семьи.
первый экземпляр для моих друзей tun0
имеет IP 192.168.243.0/24.
второй экземпляр для меня и моей семьи tun1
имеет IP 192.168.244.0/24.
Я хотел бы получить следующее:
пользователям с .243 не разрешено входить на пользователей, которые находятся на .244, а также пользователям на .243 не разрешено получать доступ между ними
пользователям с .244 разрешено входить на всех пользователей, которые находятся на .243 и на .244.
У меня есть следующее:
Пользователи из .243 не могут получить доступ к пользователям по .243 (получить отклонение. Вот и все!), Но они могут получить доступ к пользователю по .244 (это не нормально). и есть проблема в том, что я не могу исправить себя.
Пользователи с .244 могут получить доступ к пользователям на .244 и .243. вот и все в порядке! это то, что я хочу для пользователей .244!
Это мой конфиг:
Iptables сохранить
# Generated by iptables-save v1.4.14 on Tue Feb 14 06:12:35 2017 *nat :PREROUTING ACCEPT [35:2407] :INPUT ACCEPT [1:52] :OUTPUT ACCEPT [9:569] :POSTROUTING ACCEPT [9:569] -A POSTROUTING -s 192.168.244.0/24 -o eth0 -j MASQUERADE COMMIT # Completed on Tue Feb 14 06:12:35 2017 # Generated by iptables-save v1.4.14 on Tue Feb 14 06:12:35 2017 *filter :INPUT DROP [1:52] :FORWARD DROP [0:0] :OUTPUT ACCEPT [94170:8476388] -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 11222 -j ACCEPT -A INPUT -p tcp -m tcp --dport 12333:12339 -j ACCEPT -A INPUT -p tcp -m tcp --dport 13289:13290 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22111:22124 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A FORWARD -p icmp -j ACCEPT -A FORWARD -i eth0 -o tun1 -j ACCEPT -A FORWARD -i tun1 -o eth0 -j ACCEPT -A FORWARD -d 192.168.243.0/24 -i tun1 -j ACCEPT -A FORWARD -d 192.168.244.0/24 -i tun1 -j ACCEPT -A FORWARD -d 192.168.244.0/24 -i tun0 -j ACCEPT -A OUTPUT -p icmp -j ACCEPT -A FORWARD -j REJECT COMMIT # Completed on Tue Feb 14 06:12:35 2017
ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 26:c9:76:7c:d9:d7 brd ff:ff:ff:ff:ff:ff inet xxx.xx.xx.xxx/20 brd xxx.xx.xx.xxx scope global eth0 inet 10.16.0.7/16 scope global eth0 3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000 link/ether 56:b6:af:4b:b4:0f brd ff:ff:ff:ff:ff:ff 4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/none inet 192.168.243.1/24 brd 192.168.243.255 scope global tun0 5: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/none inet 192.168.244.1/24 brd 192.168.244.255 scope global tun1
ip route show
default via xxx.xx.xxx.x dev eth0 10.16.0.0/16 dev eth0 proto kernel scope link src 10.16.0.7 xxx.xx.xxx.x/20 dev eth0 proto kernel scope link src xxx.xx.xxx.xxx 192.168.243.0/24 dev tun0 proto kernel scope link src 192.168.243.1 192.168.244.0/24 dev tun1 proto kernel scope link src 192.168.244.1
OpenVPN tun0
port 12338 proto tcp-server dev tun0 tls-auth ta.key 0 topology subnet server 192.168.243.0 255.255.255.0 push "route 192.168.244.0 255.255.255.0" push "redirect-gateway def1" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" client-config-dir /home/gabberhead/ccd group openvpn keepalive 10 60 cipher AES-256-CBC auth SHA512 tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA persist-key persist-tun status clients-status.log log clients.log verb 3 mute 15
OpenVPN tun1
port 12339 proto tcp-server dev tun1 tls-auth ta.key 0 topology subnet server 192.168.244.0 255.255.255.0 push "route 192.168.243.0 255.255.255.0" push "redirect-gateway def1" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" client-config-dir /home/gabberhead/ccd group openvpn keepalive 10 60 cipher AES-256-CBC auth SHA512 tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA remote-cert-tls client persist-key persist-tun status openvpn-status1.log log openvpn1.log verb 3 mute 15
0 ответов на вопрос
Похожие вопросы
-
3
Новые экземпляры / вкладки IE 8 не будут загружать сайт
-
2
Регистрация связи между двумя виртуальными машинами
-
4
Возможно ли в Linux iptables записать имя процесса / команды, которая инициирует исходящее соединени...
-
-
5
Firefox: использовать несколько экземпляров с разными профилями?
-
6
Как настроить простой VPN для безопасного интернет-соединения по незашифрованному Wi-Fi?
-
2
Использование minefield и Firefox на одной машине
-
9
Запуск нескольких экземпляров проигрывателя Windows Media
-
2
Удаленно отправить DNS-сервер клиенту через OpenVPN
-
1
Сделайте экземпляры Firefox открытыми друг на друге
-
3
Запретить пользователю доступ к интернету в Linux