Sie sind nicht angemeldet.

1

01.02.2018, 14:29

OpenVPN - Isolation der Clients

Moin zusammen,

erstmal danke das ihr euch die Zeit nehmt diesen Beitrag zu lesen.
Ich habe ein Problem und hoffe das ihr mir ein paar denkanstöße geben könnt.

Folgendes Szenario:
  • Server steht in einer DMZ
  • Internet Verbindung besteht.
  • Die Clients können sich per OpenVPN Client verbinden.
  • Clients können das Gateway anpingen
  • Clients können sich untereinander anpingen




Soll Zustand:
  • Server soll alle Clients anpingen können
  • PC1 soll PC 2 u. PC3 anpingen können (und weitere Dienste, aber ICMP ist erstmal für )
  • PC2 u. PC3 sollen sich nicht gegenseitig sehen können

Ich habe es mittles IPTables versucht aber keinen Erfolg gehabt... Die Regeln haben nicht gegriffen.
Die CHAIN von INPUT steht ansonsten auf ACCEPT
iptables -I INPUT -p icmp -s 10.80.0.3 -d 10.80.0.4 --icmp-type 8 -j DROP
iptables -I INPUT -p icmp -s 10.80.0.4 -d 10.80.0.3 --icmp-type 8 -j DROP


Meine server.conf Datei:
port 1194
proto udp
dev tun
server 10.80.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
topology subnet
keepalive 10 120
reneg-sec 18000
ca ca.crt
cert server.crt
key server.key
dh dh.pem
tls-auth ta.key 0
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
comp-lzo
client-to-client
verb 3
status openvpn-status.log
log-append /var/log/openvpn.log
script-security 3
username-as-common-name
client-cert-not-required
auth-user-pass-verify scripts/login.sh via-env
max-clients 250
client-connect scripts/connect.sh
client-disconnect scripts/disconnect.sh


Client config:
client
dev tun
proto udp
remote XXX.XXX.XXX.XXX 1194
resolv-retry infinite
cipher AES-256-CBC
ca ca.crt
tls-auth ta.key 1
key-direction 1
remote-cert-tls server
auth-user-pass
auth-nocache
nobind
persist-key
persist-tun
comp-lzo
verb 3

Was mir dazu noch aufgefallen ist
Wenn ich mit
tcpdump -i tun0
mir den Traffic anzeigen lassen möchte, gehen da keine Informationen ein. Nur wenn ich direkt den Server anpinge wird mir was auf dem Interface angezeigt.
Auch tcptrack -i tun0
zeigt mir keine aktive Verbindung an.
Die VPN Verbindung steht (Ping auf der CLASS A Adresse) und auch das Log zeigt mir die aktive Verbindung an.

ifconfig
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.80.0.1 P-t-P:10.80.0.1 Mask:255.255.255.0
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:458 errors:0 dropped:0 overruns:0 frame:0
TX packets:463 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:27264 (26.6 KiB) TX bytes:27684 (27.0 KiB)


Kann mir jemand helfen?

Danke und beste Grüße
Friese633

Dieser Beitrag wurde bereits 5 mal editiert, zuletzt von »Friese633« (01.02.2018, 14:42)


2

13.04.2018, 15:40

Moin moin,
bist du sicher, dass /tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00/ statt /tun0 Link encap:UNSPEC HWaddr 00-00-01-00-00-00-00-00-00-00-00-00-00-00-00-00/ ist?

BG,
Josef

Thema bewerten