Доступ из lan в openvpn клиент
-
ОК, буду пробовать. Отпишусь.
P.S. Ну заработало сразу как только на сервере добавил push route в локалку за pfsense. Интересно, если я не хочу чтобы клиенты могли лазать в локалке, но сам из локалки доступ к клиентам хочу иметь, это можно организовать?
-
ОК, буду пробовать. Отпишусь.
P.S. Ну заработало сразу как только на сервере добавил push route в локалку за pfsense. Интересно, если я не хочу чтобы клиенты могли лазать в локалке, но сам из локалки доступ к клиентам хочу иметь, это можно организовать?
Для этого у вас есть вкладка Firewall-Rules-OpenVPN
Пишите там любые правила.P.S.
Какой-то скромный у вас восторг от решения проблемы. ;) -
Восторг есть. Просто это только начало пути так сказать. Огромное спасибо!!!
Возник по ходу еще один вопрос. В конфиге сервера есть место где указываются пути для скриптов при коннекте/дисконнекте клиента. Аналогично скриптам ip-up /ip-down в pptp. Чисто теоретически, если мне нужно строить индивидуальные маршруты для клиентов, то здесь можно прописать скрипты в которых будут выполнятся правила iptables. Это возможно? Если переиначить, то могу ли я добиться эффетка push route на сервере, но правилами iptables?
P.S. iptables - command not found. Печаль-беда. Как тогда быть, если нужны динамические правила маршрутизации? При коннекте клиента чтоб правило отработало, при дисконнекте - удалилось. -
Доброе.
Это возможно? Если переиначить, то могу ли я добиться эффетка push route на сервере, но правилами iptables?
Если это не массово, то непосредственно на клиентах это делать проще. Т.е. , напр., сперва http://skeletor.org.ua/?p=4364, а после - route непосредст. в конфиге клиента.
Можно попробовать еще с Client specific overrides поиграться для конкр. клиента.
-
На клиенте - вариант, который мне не подходит по ряду причин. Нужно маршрутизировать на сервере. Хотел заюзать для этого iptables, но чет не нахожу в pfsense такого. Ни в shell, ни в web.
-
Нет их там. Это же BSD.
Четкое ТЗ давайте.
-
Нет их там. Это же BSD.
Четкое ТЗ давайте.
Да, я уже понял, что нету.
ТЗ:
Мне нужно одним пользователям ЛС делать проброс на openvpn клиента, другим не делать. Или одним пользователям ЛС разрешать доступ конкретным vpn-клиентам, а другим - к другим. Надеюсь тут понятно. Т.е. ходить пакеты должны строго туда куда я скажу. Правила должны быть динамическими. Срабатывать и удаляться при коннекте и дисконнекте клиента.
Да, с freebsd дел не имел. Но на debian c pptp такое делал.
Есть шанс реализации подобного в pfsense?
P.S. нагуглил ipfw. Наверно подойдет. Но тем не менее. Поделитесь мыслями. Послушать опытных специалистов всегда полезно. -
Правилами fw на ЛАН воспользуйтесь.
-
-
В конфиге сервера есть место где указываются пути для скриптов при коннекте/дисконнекте клиента
Нет. Если имеется в виду поле "Advanced Configuration"в настройках OVPN , то туда вносятся те директивы (команды, опции) которые не вынесены в GUI. При желании в Advanced Configuration можно вбить вообще все настройки, не используя GUI совсем, так сказать Linux way.
Мне нужно одним пользователям ЛС делать проброс на openvpn клиента, другим не делать. Или одним пользователям ЛС разрешать доступ конкретным vpn-клиентам, а другим - к другим.
Для этого существуют Client Specific Overrides.
Именно там в привязке к сертификату (common name) можно очень гибко передавать конкретному клиенту конкретные маршруты и т.д.Например, push route "192.168.0.0 255.255.255.0" в Advanced Configuration сервера передаст маршрут 192.168.0.0 255.255.255.0 всем клиентам данного сервера,
А push route "192.168.0.0 255.255.255.0" в Client Specific Override для конкретного клиента - только ему.Срабатывать и удаляться при коннекте и дисконнекте клиента.
Именно так и будет.iptables во FreeBSD нет. Есть pfctl:
http://freebsd.ml/%D0%BA%D0%BE%D0%BC%D0%B0%D0%BD%D0%B4%D1%8B-%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F-pf/
Настраиваемый из GUI.Для совсем тонкого управления кому куда можно\нельзя есть Firewall-Rules-OpenVPN, единая для всех инстансов OpenVPN на конкретном pfSense.
-
Спасибо! Буду думать. ;)