OPENVPN: bloquear visibilidad entre enquipos conectados a la vpn

JubeiX

Miembro Activo
Se incorporó
10 Mayo 2021
Mensajes
22
Estimados,

Configure un VPS con Openvpn server y tengo varios conectados a el, lo que necesito es que entre esos equipos que comparten la misma trama de ip 10.10.1.0/24 no se puede ver entre si, no hacer ping, no ingresar por SMB o por scanner de red.

Se como hacer pero por cada firewall de windows bloqueando los puertos pero lo que quieres es saber si se puede hacer a nivel del server ya sea por configuracion del openvpn server o por firewallD .. me orintan por favor.
 

biomorgoth

Miembro Regular
Se incorporó
28 Febrero 2021
Mensajes
58
Por defecto OpenVPN funciona de manera que los clientes conectados no se pueden ver entre si, a menos que específiques lo contrario con la opción client-to-client dentro del .conf del server. Si te copiaste la configuración de un tutorial o si usaste un wizard o servicio para crearlo, podría haber incluído esa opción y por ende deberías comentarla o eliminarla del archivo.

Código:
# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
;client-to-client

Puedes ver gran parte de las opciones con comentarios acá: https://github.com/OpenVPN/openvpn/blob/master/sample/sample-config-files/server.conf#L209
 
Upvote 0

JubeiX

Miembro Activo
Se incorporó
10 Mayo 2021
Mensajes
22
Por defecto OpenVPN funciona de manera que los clientes conectados no se pueden ver entre si, a menos que específiques lo contrario con la opción client-to-client dentro del .conf del server. Si te copiaste la configuración de un tutorial o si usaste un wizard o servicio para crearlo, podría haber incluído esa opción y por ende deberías comentarla o eliminarla del archivo.

Código:
# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
;client-to-client

Puedes ver gran parte de las opciones con comentarios acá: https://github.com/OpenVPN/openvpn/blob/master/sample/sample-config-files/server.conf#L209
Probé agregando y quitando la opcion y de todas formas se puede ingresar al otro cliente dentro de la misma trama de red, lei que es efectiva esa regla para otras tramas abra otra alternativa?

Este es mi server.conf

# OpenVPN Port, Protocol and the Tun port 1194 proto udp dev tun0 tls-server #mode server # OpenVPN Server Certificate - CA, server key and certificate ca /etc/openvpn/server/ca.crt cert /etc/openvpn/server/hakase-server.crt key /etc/openvpn/server/hakase-server.key #DH and CRL key dh /etc/openvpn/server/dh.pem crl-verify /etc/openvpn/server/crl.pem # Network Configuration - Internal network # Redirect all Connection through OpenVPN Server server 10.10.1.0 255.255.255.240 push "route 10.10.1.0 255.255.255.0" topology subnet dh none # Using the DNS from https://dns.watch push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" #Enable multiple client to connect with same Certificate key duplicate-cn # TLS Security cipher AES-256-CBC auth SHA512 auth-nocache # Other Configuration keepalive 10 120 persist-key persist-tun comp-lzo persist-tun daemon user nobody group nobody explicit-exit-notify 1 # OpenVPN Log log-append /var/log/openvpn.log verb 3 # Maintain a record of client <-> virtual IP address # associations in this file. If OpenVPN goes down or # is restarted, reconnecting clients can be assigned # the same virtual IP address from the pool that was # previously assigned. # client-to-client client-config-dir ccd # autotentificacion por usuario plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so /etc/pam.d/login verify-client-cert optional username-as-common-name
 
Upvote 0

Cosme

Gold Member
Se incorporó
27 Febrero 2005
Mensajes
8.281
Probé agregando y quitando la opcion y de todas formas se puede ingresar al otro cliente dentro de la misma trama de red, lei que es efectiva esa regla para otras tramas abra otra alternativa?

Este es mi server.conf

# OpenVPN Port, Protocol and the Tun port 1194 proto udp dev tun0 tls-server #mode server # OpenVPN Server Certificate - CA, server key and certificate ca /etc/openvpn/server/ca.crt cert /etc/openvpn/server/hakase-server.crt key /etc/openvpn/server/hakase-server.key #DH and CRL key dh /etc/openvpn/server/dh.pem crl-verify /etc/openvpn/server/crl.pem # Network Configuration - Internal network # Redirect all Connection through OpenVPN Server server 10.10.1.0 255.255.255.240 push "route 10.10.1.0 255.255.255.0" topology subnet dh none # Using the DNS from https://dns.watch push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" #Enable multiple client to connect with same Certificate key duplicate-cn # TLS Security cipher AES-256-CBC auth SHA512 auth-nocache # Other Configuration keepalive 10 120 persist-key persist-tun comp-lzo persist-tun daemon user nobody group nobody explicit-exit-notify 1 # OpenVPN Log log-append /var/log/openvpn.log verb 3 # Maintain a record of client <-> virtual IP address # associations in this file. If OpenVPN goes down or # is restarted, reconnecting clients can be assigned # the same virtual IP address from the pool that was # previously assigned. # client-to-client client-config-dir ccd # autotentificacion por usuario plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so /etc/pam.d/login verify-client-cert optional username-as-common-name
Es para uso personal o para uso coporativo? hay opciones para autentificar contra radius e incluso con soporte OTP
 
Upvote 0

JubeiX

Miembro Activo
Se incorporó
10 Mayo 2021
Mensajes
22
Es para uso personal o para uso coporativo? hay opciones para autentificar contra radius e incluso con soporte OTP
Es para uso personal es un proyecto de demostración que solo falta esa etapa pasar. si no se puede procedo con los bloqueos por firewall Windows.
 
Upvote 0

biomorgoth

Miembro Regular
Se incorporó
28 Febrero 2021
Mensajes
58
Probé agregando y quitando la opcion y de todas formas se puede ingresar al otro cliente dentro de la misma trama de red, lei que es efectiva esa regla para otras tramas abra otra alternativa?

Este es mi server.conf

# OpenVPN Port, Protocol and the Tun port 1194 proto udp dev tun0 tls-server #mode server # OpenVPN Server Certificate - CA, server key and certificate ca /etc/openvpn/server/ca.crt cert /etc/openvpn/server/hakase-server.crt key /etc/openvpn/server/hakase-server.key #DH and CRL key dh /etc/openvpn/server/dh.pem crl-verify /etc/openvpn/server/crl.pem # Network Configuration - Internal network # Redirect all Connection through OpenVPN Server server 10.10.1.0 255.255.255.240 push "route 10.10.1.0 255.255.255.0" topology subnet dh none # Using the DNS from https://dns.watch push "dhcp-option DNS 8.8.8.8" push "dhcp-option DNS 8.8.4.4" #Enable multiple client to connect with same Certificate key duplicate-cn # TLS Security cipher AES-256-CBC auth SHA512 auth-nocache # Other Configuration keepalive 10 120 persist-key persist-tun comp-lzo persist-tun daemon user nobody group nobody explicit-exit-notify 1 # OpenVPN Log log-append /var/log/openvpn.log verb 3 # Maintain a record of client <-> virtual IP address # associations in this file. If OpenVPN goes down or # is restarted, reconnecting clients can be assigned # the same virtual IP address from the pool that was # previously assigned. # client-to-client client-config-dir ccd # autotentificacion por usuario plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so /etc/pam.d/login verify-client-cert optional username-as-common-name
Lee el comment del snippet que cité antes, si quieres forzar a que los clientes no se vean entre sí, debes agregarle reglas al firewall del OS donde está corriendo OpenVPN (particularmente a su interfaz tun0). Lo que está ocurriendo al tener desactivado es que OpenVPN no está enrutando los paquetes entre clientes internamente, sino que se los pasa al OS donde está corriendo, y el OS si que los está enrutando de vuelta a OpenVPN. Entonces lo que tiene sentido es que le deberías decir al firewall del OS que descarte los paquetes que tengan como origen y destino la misma subred de OpenVPN para que así no los enrute de vuelta.

Debe ser tanto tener deshabilitado el client-to-client como agregar las reglas de firewall respectivas del lado del OS donde corre OpenVPN.
 
Upvote 0
Subir