OpenVPN | net30 / subnet | Inter-client communication

slu

Ich möchte ein OpenVPN neu aufsetzen das seither eine net30 topology hat.
Es ist extrem wichtig das die VPN Clients sich untereinander nicht sehen / erreichen können.

Um IPs zu sparen würde ich die subnet topology nehmen, war aber etwas unsicher wegen dem isolieren der Clients (bei net30 steht ja schon so schön "isolated" dabei).

Wenn ich dieses Diagram [1] richtig verstehe muss der Traffic bei disabled "Inter-client communication" ganz normal durch die Firewall am OpenVPN Interface.

Mit anderen Worten, auch bei topology subnet sind die VPN Clients (und die Netze dahinter) getrennt wenn "Inter-client communication" deaktiviert ist UND es keine OpenVPN Firewall Rule erlaubt, richtig?

[1] https://forum.netgate.com/topic/90757/inter-client-communication-setting/6

JeGr

@slu said in OpenVPN | net30 / subnet | Inter-client communication:

Es ist extrem wichtig das die VPN Clients sich untereinander nicht sehen / erreichen können.

Dazu braucht es IMHO kein net30, weil das über OVPN selbst gesteuert wird. Wenn der Haken im Server nicht an ist, dass die Clients miteinander reden dürfen, tun sie normalerweise auch nicht.

Ich bin mir nicht mal sicher, dass die Firewall Regeln ne tatsächliche Rolle spielen würden, denn eigentlich ist das intra-network-traffic der durch Regeln eh nicht gecapped ist. Folglich dürften die keine Rolle spielen.

Wenn du willst können wirs aber mal ausprobieren :) Lab ist da.

Pippin

Das diagram kontte hilfreich sein. :)
https://forum.netgate.com/topic/90757/inter-client-communication-setting/8

slu

@Pippin

https://forum.netgate.com/topic/90757/inter-client-communication-setting/8

Thank you Pippin for this drawing!

@JeGr

Wenn du willst können wirs aber mal ausprobieren :) Lab ist da.

It would be great if we could try that out in your lab.
Tomorrow?

JeGr

@slu said in OpenVPN | net30 / subnet | Inter-client communication:

It would be great if we could try that out in your lab.
Tomorrow?

Können wir gern heut abend durchspielen. VMs sind da, VPN ist schnell aufgesetzt und die Config schnell verteilt :)