https://opennet.ru/openforum/vsluhforumID1/79521.html Добрый день!<br><br>Стоит задача организовать связь между клиентами, разрешив работу только определенных сервисов.<br>Поднял сервер openvpn, создан интерфейс tap0, все настроил.<br>Клиенты цепляються, с помощью параметра client-to-client клиенты полностью видят друг друга.<br>С самого сервера vpn-клиенты никуда дальше не выходят. Т.е. с помощью vpn мы лишь объединяем клиентов в l2 сегмент.<br>Теперь стоит задача отфильтровать на сервере прохождение пакетов между клиентами только по определенным портам.<br>И тут засада - на tap0 интерфейсе видны только пакеты, идущие от клиента на сервер vpn. А пакеты между клиентами в незашифрованном виде невидны нигде.<br><br>Вопрос - это кривизна настройки или так и должно быть, и нет вариантов для выполнения фильтрации ?<br><br>Система - Centos 5.1<br>Linux 2.6.18-53.1.14.el5 <br>openvpn-2.0.9-1.el5.rf<br> https://opennet.ru/openforum/vsluhforumID1/79521.html#17 Sun, 20 Apr 2008 09:08:38 GMT &gt;И какой же софт там используется в качестве впн-сервера ? <br><br>Ответ на мой аналогичный вопрос - http://forum.m0n0.ch/index.php/topic,1826.0.html<br><br><br> https://opennet.ru/openforum/vsluhforumID1/79521.html#16 Sun, 20 Apr 2008 02:53:20 GMT &gt;Ну в общем, если вдруг кому понадобиться решить похожую задачу - остановил <br>&gt;свой выбор на m0n0wall. Делает все, что нужно, кроме пропуска броадкастов. <br>&gt;<br>&gt;С нетерпением жду следующей версии pfSense, ибо там обещают фильтрацию OpenVPN Bridged <br>&gt;траффика. <br><br>И какой же софт там используется в качестве впн-сервера ?<br> https://opennet.ru/openforum/vsluhforumID1/79521.html#15 Fri, 18 Apr 2008 15:01:17 GMT Ну в общем, если вдруг кому понадобиться решить похожую задачу - остановил свой выбор на m0n0wall. Делает все, что нужно, кроме пропуска броадкастов.<br>С нетерпением жду следующей версии pfSense, ибо там обещают фильтрацию OpenVPN Bridged траффика.<br> https://opennet.ru/openforum/vsluhforumID1/79521.html#14 Mon, 07 Apr 2008 18:16:51 GMT &gt;<br>&gt;&gt;просто организуете связь между группами людей подключающихся к вашему серверу <br>&gt;&gt;с любой точки? <br>&gt;<br>&gt;Именно. <br>&gt;Одна L2 сеть для всех клиентов. Никакого роутинга из/в эту сеть с <br>&gt;других подсетей нет. <br>&gt;Поэтому и пакеты идущие от одного клиента к другому, НЕ попадают на <br>&gt;tap интерфейс. <br><br>Вопрос в том, почему они не попадают туда?<br>Я мог бы понять ситуацию, когда клиенты существуют в одной локалке. тогда пакеты пойдут напрямую между ними.<br>Если же люди физически не находятся в одной сети, то проблема скорее в маршрутизации<br><br>скинь кусок конфига, который устанавливает клиентам маршруты (и к нему бы желательно схему подключения с примерами ip адресов)<br> https://opennet.ru/openforum/vsluhforumID1/79521.html#13 Sun, 06 Apr 2008 07:15:39 GMT &gt;необходимо просто разрешить форвард клиентам, к примеру: <br>&gt;iptables -I FORWARD -j ACCEPT -i ppp+ -o ppp+ -m multiport --dports <br>&gt;111,222,3333,44444 <br><br>В OpenVPN нет интерфейсов ppp+<br> https://opennet.ru/openforum/vsluhforumID1/79521.html#12 Sun, 06 Apr 2008 07:14:28 GMT <br>&gt;просто организуете связь между группами людей подключающихся к вашему серверу <br>&gt;с любой точки? <br><br>Именно.<br>Одна L2 сеть для всех клиентов. Никакого роутинга из/в эту сеть с других подсетей нет.<br>Поэтому и пакеты идущие от одного клиента к другому, НЕ попадают на tap интерфейс. <br> https://opennet.ru/openforum/vsluhforumID1/79521.html#11 Sat, 05 Apr 2008 13:20:15 GMT &gt;[оверквотинг удален]<br>&gt;И тут засада - на tap0 интерфейсе видны только пакеты, идущие от <br>&gt;клиента на сервер vpn. А пакеты между клиентами в незашифрованном виде <br>&gt;невидны нигде. <br>&gt;<br>&gt;Вопрос - это кривизна настройки или так и должно быть, и нет <br>&gt;вариантов для выполнения фильтрации ? <br>&gt;<br>&gt;Система - Centos 5.1 <br>&gt;Linux 2.6.18-53.1.14.el5 <br>&gt;openvpn-2.0.9-1.el5.rf <br><br>необходимо просто разрешить форвард клиентам, к примеру:<br>iptables -I FORWARD -j ACCEPT -i ppp+ -o ppp+ -m multiport --dports 111,222,3333,44444<br> https://opennet.ru/openforum/vsluhforumID1/79521.html#10 Sat, 05 Apr 2008 12:05:27 GMT &gt;&gt;Чем вам не нравится такое решение? <br>&gt;<br>&gt;Правила слушают на интерфейсе ethX ? <br>&gt;Но там пакеты-то шифрованные! Как Вы внутрь него "залезете" что бы запретить, <br>&gt;например весь TCP ? <br><br>нет, правила фильтруют на интерфейсе tun0 (можно и на tap0). Как вы сами справедливо заметили, фильтровать на eth0 трафик снаружи туннеля есть бессмыслица.<br><br>Я не совсем понял, каким это образом часть пакетов не видна на интерфейсе tap0?<br>у меня на tun0 все пакеты (входящие/исходящие) tcpdump видит как обычно.<br>Вы пытаетесь сделать отдельные шифрованные сети для клиентов в пространстве одной локалки или просто организуете связь между группами людей подключающихся к вашему серверу с любой точки?<br> https://opennet.ru/openforum/vsluhforumID1/79521.html#9 Fri, 04 Apr 2008 10:55:53 GMT &gt;Чем вам не нравится такое решение? <br><br>Правила слушают на интерфейсе ethX ?<br>Но там пакеты-то шифрованные! Как Вы внутрь него "залезете" что бы запретить, например весь TCP ?<br><br>