Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Доступ из lan в openvpn клиент

    Scheduled Pinned Locked Moved Russian
    25 Posts 3 Posters 3.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K Offline
      kerby_lime
      last edited by

      @werter:

      Нет их там. Это же BSD.

      Четкое ТЗ давайте.

      Да, я уже понял, что нету.
      ТЗ:
      Мне нужно одним пользователям ЛС делать проброс на openvpn клиента, другим не делать. Или одним пользователям ЛС разрешать доступ конкретным vpn-клиентам, а другим - к другим. Надеюсь тут понятно. Т.е. ходить пакеты должны строго туда куда я скажу. Правила должны быть динамическими. Срабатывать и удаляться при коннекте и дисконнекте клиента.
      Да, с freebsd дел не имел. Но на debian c pptp такое делал.
      Есть шанс реализации подобного в pfsense? 
      P.S. нагуглил ipfw. Наверно подойдет. Но тем не менее. Поделитесь мыслями. Послушать опытных специалистов всегда полезно.

      1 Reply Last reply Reply Quote 0
      • werterW Offline
        werter
        last edited by

        Правилами fw на ЛАН воспользуйтесь.

        1 Reply Last reply Reply Quote 0
        • K Offline
          kerby_lime
          last edited by

          @werter:

          Правилами fw на ЛАН воспользуйтесь.

          Это в web pfsense настроить? Динамики не будет тогда?

          1 Reply Last reply Reply Quote 0
          • P Offline
            pigbrother
            last edited by

            В конфиге сервера есть место где указываются пути для  скриптов при коннекте/дисконнекте клиента

            Нет. Если имеется в виду поле "Advanced Configuration"в настройках OVPN , то туда вносятся те директивы (команды, опции) которые не вынесены в GUI. При желании в Advanced Configuration можно вбить вообще все настройки, не используя GUI совсем, так сказать Linux way.

            Мне нужно одним пользователям ЛС делать проброс на openvpn клиента, другим не делать. Или одним пользователям ЛС разрешать доступ конкретным vpn-клиентам, а другим - к другим.

            Для этого существуют Client Specific Overrides.
            Именно там в привязке к сертификату (common name) можно очень гибко передавать конкретному клиенту конкретные маршруты и т.д.

            Например, push route "192.168.0.0 255.255.255.0" в Advanced Configuration сервера передаст маршрут 192.168.0.0 255.255.255.0 всем клиентам данного сервера,
            А push route "192.168.0.0 255.255.255.0"  в Client Specific Override для конкретного клиента - только ему.

            Срабатывать и удаляться при коннекте и дисконнекте клиента.
            Именно так и будет.

            iptables во FreeBSD нет. Есть pfctl:
            http://freebsd.ml/%D0%BA%D0%BE%D0%BC%D0%B0%D0%BD%D0%B4%D1%8B-%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F-pf/
            Настраиваемый из GUI.

            Для совсем тонкого управления кому куда можно\нельзя есть  Firewall-Rules-OpenVPN, единая для всех инстансов OpenVPN на конкретном pfSense.

            1 Reply Last reply Reply Quote 0
            • K Offline
              kerby_lime
              last edited by

              Спасибо! Буду думать. ;)

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.