Как настроить OpenVPN с двумя экземплярами на одном компьютере и настроить iptables по специальным правилам

Question

Как настроить OpenVPN с двумя экземплярами на одном компьютере и настроить iptables по специальным правилам

361

gabberhead 2017-02-14 в 14:03

У меня есть сервер OpenVPNи 2 экземпляра. один экземпляр для моих друзей и один экземпляр только для меня и моей семьи.
первый экземпляр для моих друзей tun0имеет IP 192.168.243.0/24.
второй экземпляр для меня и моей семьи tun1имеет IP 192.168.244.0/24.

Я хотел бы получить следующее:

пользователям с .243 не разрешено входить на пользователей, которые находятся на .244, а также пользователям на .243 не разрешено получать доступ между ними

пользователям с .244 разрешено входить на всех пользователей, которые находятся на .243 и на .244.

У меня есть следующее:

Пользователи из .243 не могут получить доступ к пользователям по .243 (получить отклонение. Вот и все!), Но они могут получить доступ к пользователю по .244 (это не нормально). и есть проблема в том, что я не могу исправить себя.

Пользователи с .244 могут получить доступ к пользователям на .244 и .243. вот и все в порядке! это то, что я хочу для пользователей .244!

Это мой конфиг:

Iptables сохранить

# Generated by iptables-save v1.4.14 on Tue Feb 14 06:12:35 2017 *nat :PREROUTING ACCEPT [35:2407] :INPUT ACCEPT [1:52] :OUTPUT ACCEPT [9:569] :POSTROUTING ACCEPT [9:569] -A POSTROUTING -s 192.168.244.0/24 -o eth0 -j MASQUERADE COMMIT # Completed on Tue Feb 14 06:12:35 2017 # Generated by iptables-save v1.4.14 on Tue Feb 14 06:12:35 2017 *filter :INPUT DROP [1:52] :FORWARD DROP [0:0] :OUTPUT ACCEPT [94170:8476388] -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 11222 -j ACCEPT -A INPUT -p tcp -m tcp --dport 12333:12339 -j ACCEPT -A INPUT -p tcp -m tcp --dport 13289:13290 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22111:22124 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A FORWARD -p icmp -j ACCEPT -A FORWARD -i eth0 -o tun1 -j ACCEPT -A FORWARD -i tun1 -o eth0 -j ACCEPT -A FORWARD -d 192.168.243.0/24 -i tun1 -j ACCEPT -A FORWARD -d 192.168.244.0/24 -i tun1 -j ACCEPT -A FORWARD -d 192.168.244.0/24 -i tun0 -j ACCEPT -A OUTPUT -p icmp -j ACCEPT -A FORWARD -j REJECT COMMIT # Completed on Tue Feb 14 06:12:35 2017

ip addr show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 26:c9:76:7c:d9:d7 brd ff:ff:ff:ff:ff:ff inet xxx.xx.xx.xxx/20 brd xxx.xx.xx.xxx scope global eth0 inet 10.16.0.7/16 scope global eth0 3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000 link/ether 56:b6:af:4b:b4:0f brd ff:ff:ff:ff:ff:ff 4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/none inet 192.168.243.1/24 brd 192.168.243.255 scope global tun0 5: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/none inet 192.168.244.1/24 brd 192.168.244.255 scope global tun1

ip route show

default via xxx.xx.xxx.x dev eth0 10.16.0.0/16 dev eth0 proto kernel scope link src 10.16.0.7 xxx.xx.xxx.x/20 dev eth0 proto kernel scope link src xxx.xx.xxx.xxx 192.168.243.0/24 dev tun0 proto kernel scope link src 192.168.243.1 192.168.244.0/24 dev tun1 proto kernel scope link src 192.168.244.1

OpenVPN tun0

port 12338 proto tcp-server dev tun0 tls-auth ta.key 0 topology subnet server 192.168.243.0 255.255.255.0 push "route 192.168.244.0 255.255.255.0" push "redirect-gateway def1" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" client-config-dir /home/gabberhead/ccd group openvpn keepalive 10 60 cipher AES-256-CBC auth SHA512 tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA persist-key persist-tun status clients-status.log log clients.log verb 3 mute 15

OpenVPN tun1

port 12339 proto tcp-server dev tun1 tls-auth ta.key 0 topology subnet server 192.168.244.0 255.255.255.0 push "route 192.168.243.0 255.255.255.0" push "redirect-gateway def1" push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" client-config-dir /home/gabberhead/ccd group openvpn keepalive 10 60 cipher AES-256-CBC auth SHA512 tls-cipher DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-CAMELLIA256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-CAMELLIA128-SHA:DHE-RSA-AES128-SHA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA remote-cert-tls client persist-key persist-tun status openvpn-status1.log log openvpn1.log verb 3 mute 15

1

Как настроить OpenVPN с двумя экземплярами на одном компьютере и настроить iptables по специальным правилам

0 ответов на вопрос

Похожие вопросы