https://www.opennet.ru/openforum/vsluhforumID1/94824.html Добрый день, дорогие друзья!!!<br><br>Прошу вас помоч с одним вопросом:<br>Каким образом можно ограничить доступ в сеть по Openvpn(доступ по ключами сертификатам), например, чтобы пользоматель имел доступ только одному отдельному ресурсу, а не ко всем ресурсам сети.... Спасибо.....<br> https://www.opennet.ru/openforum/vsluhforumID1/94824.html#7 Mon, 15 Jul 2013 07:41:36 GMT &gt;&gt; Лично я предпочитаю --topology subnet <br>&gt; Я предпочитаю device tap <br><br>Всем огромное спасибо...<br> https://www.opennet.ru/openforum/vsluhforumID1/94824.html#6 Sun, 14 Jul 2013 13:46:20 GMT &gt; Лично я предпочитаю --topology subnet <br><br>Я предпочитаю device tap<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/94824.html#5 Sat, 13 Jul 2013 16:25:01 GMT &gt;[оверквотинг удален]<br>&gt; # To assign specific IP addresses to specific <br>&gt; # clients or if a connecting client has a private <br>&gt; # subnet behind it that should also have VPN access, <br>&gt; # use the subdirectory "ccd" for client-specific <br>&gt; # configuration files (see man page for more info).<br>&gt; client-config-dir ccd <br>&gt; # в указанной директории создаете файлик с именем, совпадающим с CommonName сертификата <br>&gt; пользователя. В файлик пишете: <br>&gt; push-reset <br>&gt; ifconfig-push 1.2.3.4 255.255.255.0 <br><br> Только тут есть один нюанс, а именно в назначении клиентам адреса при топологии net30.<br> Читайте тут https://forums.openvpn.net/topic12470.html и https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage<br> Лично я предпочитаю --topology subnet<br><br> https://www.opennet.ru/openforum/vsluhforumID1/94824.html#4 Thu, 11 Jul 2013 18:26:29 GMT &gt;&gt; можно и без скрипта.<br>&gt;&gt; Привязать к пользователю IP, на IP навешать фиксированные ограничения.<br>&gt; Спасибо , можете по подробнее описать привязку пользователя к ip для ограничений <br>&gt; в openvpn...<br><br>В конфиге у меня это расписано.<br>Думаю, в документации - тоже.<br><br># To assign specific IP addresses to specific<br># clients or if a connecting client has a private<br># subnet behind it that should also have VPN access,<br># use the subdirectory "ccd" for client-specific<br># configuration files (see man page for more info).<br>client-config-dir ccd<br><br><br># в указанной директории создаете файлик с именем, совпадающим с CommonName сертификата пользователя. В файлик пишете:<br><br>push-reset<br>ifconfig-push 1.2.3.4 255.255.255.0<br> https://www.opennet.ru/openforum/vsluhforumID1/94824.html#3 Thu, 11 Jul 2013 14:10:50 GMT &gt; можно и без скрипта.<br>&gt; Привязать к пользователю IP, на IP навешать фиксированные ограничения.<br><br>Спасибо , можете по подробнее описать привязку пользователя к ip для ограничений в openvpn...<br> https://www.opennet.ru/openforum/vsluhforumID1/94824.html#2 Thu, 11 Jul 2013 09:14:17 GMT можно и без скрипта.<br>Привязать к пользователю IP, на IP навешать фиксированные ограничения.<br> https://www.opennet.ru/openforum/vsluhforumID1/94824.html#1 Thu, 11 Jul 2013 08:47:10 GMT &gt; Добрый день, дорогие друзья!!!<br>&gt; Прошу вас помоч с одним вопросом: <br>&gt; Каким образом можно ограничить доступ в сеть по Openvpn(доступ по ключами сертификатам), <br>&gt; например, чтобы пользоматель имел доступ только одному отдельному ресурсу, а <br>&gt; не ко всем ресурсам сети.... Спасибо.....<br><br>Только правилами firewall.<br>Я делал так.<br>вешал скрипт который добавляет и удаляет правила на client-connet и client-disconnet <br><br>при запуске этих скриптов в переменных окружения можно достать все необходимые данные <br>ну и добавляются и удаляются правила в цепочке OPENVPN, которая специально создана для трафика идущего в впн. <br>Вот пример скрипта <br>[code]<br><br>#!/bin/bash<br><br>_script_type=$script_type<br>_common_name=$common_name<br>_dev=$dev<br>_remote_ip=$ifconfig_pool_remote_ip<br>_local_ip=$ifconfig_local<br>_timestamp=$time_unix<br>_time=$time_ascii<br>_username=$username<br>_username=$(echo $_username &#124; tr [:upper:] [:lower:])<br>_out_dev=br0<br>_lan_ip="192.168.20.0/22"<br>VPN_CHAIN="OPENVPN"<br>DEBUG=0<br><br>function log(){<br>echo "$_tim