Ruch pomiędzy hostami openVPN
-
Cześć, mam problem z konfiguracją instancji pfSense w wersji 2.6.0. Mianowicie stworzyłem serwer openVPN z adresacją i przekazywaniem całego ruchu przez moją bramę domyślną. Chcę, żeby poszczególne hosty w subnecie - komputery klienckie/użytkowników nie miały możliwości łączności między sobą oraz z siecią internet, jedynie do jednego publicznego adresu IP oraz do hosta w sieci VPN, który jest serwerem do kopii zapasowych, a komputery inżynierów/help desku miały dostęp do wszystkich maszyn między sobą w danej sieci. Stworzyłem alias, który zawiera pulę adresów IP dla klientów/użytkowników, reguły w firewallu, które teoretycznie blokują ruch pomiędzy komputerami klienckimi, wyłączyłem serwer dhcp v4 i v6, ustawiłem wysokie, statyczne adresy dla hostów inżynierów i serwera kopii zapasowych, dodałem regułę na filewall, która blokuje ruch do sieci Internet. Rezultaty jakie otrzymałem to:
- komputery klienckie poprawnie łączą się z serwerem OpenVPN, otrzymują "po kolei" adresy IP z puli ovpn, nie mają dostępu do internetu, mają połączenie z usługą hostowaną na publicznym adresie IP
- komputery klienckie WIDZĄ SIĘ NAZWAJEM, mianowicie kiedy puszczam ICMP/ping pomiędzy dwoma hostami poprzez adresację OpenVPN to otrzymuję odpowiedź, tak samo kiedy chcę się połączyć przez pulpit zdalny/RDP - dla mnie to bardzo ważna kwestia, żeby hosty klienckie nie miały łączności pomiędzy sobą
Czy jest ktoś tak dobry, żeby pomóc mi lub powiedzieć jak powinna wyglądać konfiguacja, żeby hosty w sieci ovpn nie widziały się pomiędzy sobą? Myślałem o włączeniu statycznego ARP zamiast używania dynamicznego, ale obawiam się, że ma to tylko zastosowanie do sieci LAN. Czytałem, że reguły firewall nie mają zastosowania w przypadku łączności pomiędzy hostami odbywają się w tej samej subnecie przez ARP.
-
@kamil-0 opcjach serwera OpenVPN odchacz opcję "Inter-client communication". Komunikacja między klientami nie powinna działać. Ale jak wrócę do domu to sprawdzę.