OpenVPN // Client-to-Client

[skapi]

Hallo,

Gibt es bei OpenVPN die Möglichkeit diesen so zu konfigurieren dass es einen Administrator-Client gibt der alle Clients sieht aber die normalen Clients sollen sich untereinander nicht sehen (in einer Serverinstanz)?

LG

 

[freddchen]

Du könntest dafür einfach ein Server machen, der dann per iptables die kommunikation der clients untereinander unterbindet. Dann kann der Server alle Clients sehen und die Clients sehen den Server.

 

[skapi]

Danke für deine Antwort!
Dass der Server alle Clients sehen kann und die Clients nur den Server ist, soweit ich das verstanden habe, sowieso möglich.
Entweder sehen sich alle oder die Clients sehen nur den Server.

Was möglich ist, zwei Ovpn Server Instanzen (eine Instanz für die Clienten und eine für Administrator Clientes) wo bei der Client Instanz verboten wird das sich die Clients untereinander sehen und dann per "push route" zur Administrator Instanz weitergeleitet wird.

Dann ist es möglich dass die Administrator Instanz auf alle Clienten zugreifen können, aber die normalen Clienten untereinander sich nicht sehen.

Ich dachte mir vl. ist das in einer Instanz auch umsetzbar...

 

[freddchen]

ja kla... hab ich bei mir auch so.

Konstellation:
Irgendwo ist ein Server an dem sich alle clients anmelden.
Keiner sieht den anderen.
Mein Laptop allerdings ist ein "besonderer" Client und kann auf alle zugreifen.

Wie gesagt ist dies mit iptables am Server möglich.
Mein Laptop bekommt immer die selbe IP und kann dann in den iptables einfach die entsprechenden Rechte bekommen.

Hier mal nen firewall schnipsel wie das aussehen könnte:

# VPN ip meines laptops
ip=10.0.0.100
# VPN IP des Servers
server_ip=10.0.0.1
# Verbindung zu allen Ports aufm Root erlauben
$IPT -A INPUT -p tcp -s $ip -d $server_ip --dport 22:65535 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p tcp -d $ip -s $server_ip --sport 22:65535 -m state --state ESTABLISHED -j ACCEPT
$IPT -A INPUT -p udp -s $ip -d $server_ip --dport 22:65535 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p udp -d $ip -s $server_ip --sport 22:65535 -m state --state ESTABLISHED -j ACCEPT
# Verbindung zum allen anderen im VPN erlauben
$IPT -A FORWARD -i $tun -o $tun -s $ip -j ACCEPT
$IPT -A FORWARD -i $tun -o $tun -d $ip -j ACCEPT

 

[skapi]

Wenn meine iptables so aussehen würden...

Spoiler

#VPN JAIL
# jail tuns sehen nur den server und sich selber.
$iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 1194 -j ACCEPT
#$iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED  -p udp --dport 1194 -j ACCEPT
$iptables -A INPUT -i tun1 -j ACCEPT
$iptables -A FORWARD -i tun1 -j DROP

und ich deine iptabeles so einfügen würde

Spoiler

# VPN ip meines laptops
ip=10.0.0.100
# VPN IP des Servers
server_ip=10.0.0.1
# Verbindung nur zu 1194 erlauben
#$iptables -A INPUT -p tcp -s $ip -d $server_ip --dport 1194 -m state --state NEW,ESTABLISHED -j ACCEPT
#$iptables -A OUTPUT -p tcp -d $ip -s $server_ip --sport 1194 -m state --state ESTABLISHED -j ACCEPT
$iptables -A INPUT -p udp -s $ip -d $server_ip --dport 1194 -m state --state NEW,ESTABLISHED -j ACCEPT
$iptables -A OUTPUT -p udp -d $ip -s $server_ip --sport 1194 -m state --state ESTABLISHED -j ACCEPT
# Verbindung zum allen anderen im VPN erlauben
$iptables -A FORWARD -i tun1 -o tun1 -s $ip -j ACCEPT
$iptables -A FORWARD -i tun1 -o tun1 -d $ip -j ACCEPT

ist es so zu verstehen dass es für die ip "10.0.0.100" eine Ausnahmeregelung gibt - sehe ich das richtig so?

 

[skapi]

@freddchen
ich komme leider nicht weiter... würde mich freuen wenn du für mich eine input hättest
Client-to-Client ist aus