Início / server / Perguntas / 736274
Accepted
lobi
Asked: 2015-11-14 14:56:47 +0800 CST

OpenVPN cliente-a-cliente

  • 772

Ao usar um servidor OpenVPN TUN (camada 3) client-to-clientdesativado, meus clientes ainda podem se comunicar.

A configuração de cliente para cliente deve evitar isso de acordo com a documentação:

Remova o comentário da diretiva cliente-para-cliente se desejar que os clientes conectados possam se comunicar pela VPN. Por padrão, os clientes só poderão acessar o servidor.

Por que os clientes podem continuar se comunicando quando esta opção está desativada?

Aqui está o conf do meu servidor:

port 443
proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh4096.pem
topology subnet
server 10.10.201.0 255.255.255.128
ifconfig-pool-persist ipp.txt
crl-verify /etc/openvpn/keys/crl.pem
push "route [omitted]"
push "dhcp-option DNS [omitted]"
keepalive 10 120
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login
cipher AES-256-CBC
tls-auth /etc/openvpn/keys/pfs.key 0
verb 4
linux

3 respostas

  1. Best Answer

    Se client-to-clientestiver ativado , o servidor VPN encaminha os pacotes cliente a cliente internamente sem enviá-los para a camada IP do host (ou seja, para o kernel). A pilha de rede do host não vê esses pacotes.

               .-------------------.
           | IP Layer          |
           '-------------------'


           .-------------------.
           | TUN device (tun0) |
           '-------------------'


           .-------------------.
           | OpenVPN server    |
           '-------------------'
             ^           |
          1  |           |  2   
             |           v
 .----------------.  .----------------.
 | Client a       |  | Client b       |
 '----------------'  '----------------'

    Se client-to-clientestiver desativado , os pacotes de um cliente para outro cliente passam pela camada IP do host (iptables, tabela de roteamento etc. ) tabela de roteamento) novamente para a interface TUN e o daemon VPN encaminhará o pacote para o cliente correto dentro do túnel.

               .-------------------.
           | IP Layer          |  (4) routing, firewall, NAT, etc.
           '-------------------'      (iptables, nftables, conntrack, tc, etc.)
              ^          |
          3   |          |  5
              |          v
           .-------------------.
           | TUN device (tun0) |
           '-------------------'
             ^           |
          2  |           |  6  
             |           v
           .-------------------.
           | OpenVPN server    |
           '-------------------'
             ^           |
          1  |           |  7  
             |           v
 .----------------.  .----------------.
 | Client a       |  | Client b       |
 '----------------'  '----------------'

    Neste caso ( client-to-clientdesabilitado), você pode bloquear os pacotes cliente-a-cliente usando iptables:

     iptables -A FORWARD -i tun0 -o tun0 -j DROP

    onde tun0está sua interface VPN.

    • 77

  2. Você precisa fazer mais do que apenas comentar a diretiva, como diz aqui :

    Descomente esta diretiva para permitir que clientes diferentes possam "ver" uns aos outros. Por padrão, os clientes verão apenas o servidor. Para forçar os clientes a verem apenas o servidor, você também precisará proteger adequadamente a interface TUN/TAP do servidor com firewall.

    Portanto, você pode configurar uma política de endereço IP separada para cada cliente. Consulte a seção Configurando regras específicas do cliente e políticas de acesso aqui: https://openvpn.net/index.php/open-source/documentation/howto.html . e aqui: https://www.sbarjatiya.com/notes_wiki/index.php/Configuring_separate_IP_and_firewall_rule_for_each_openvpn_client .

    • 8

  3. O próximo parágrafo da página man para openvpnresponder a esta pergunta, embora não seja necessariamente claro na primeira leitura:

    Como o modo de servidor OpenVPN lida com vários clientes por meio de uma única interface tun ou tap, ele é efetivamente um roteador. O --client-to-client sinalizador informa ao OpenVPN para rotear internamente o tráfego de cliente para cliente, em vez de enviar todo o tráfego de origem do cliente para a interface TUN/TAP.

    Quando esta opção é usada, cada cliente irá "ver" os outros clientes que estão conectados no momento. Caso contrário, cada cliente verá apenas o servidor. Não use essa opção se quiser proteger o tráfego do túnel de firewall usando regras personalizadas por cliente.

    A client-to-clientopção causa um curto-circuito nas tabelas de roteamento normais no servidor. Removê-lo não impede que os clientes usem as tabelas de roteamento do servidor. Se essas tabelas de roteamento - e a configuração do firewall do servidor - permitirem que os clientes se vejam, eles poderão fazê-lo.

    • 6

relate perguntas