OpenVPN: коммуникация между клиентами OpenVPN без client-to-client

Вопрос или проблема

Chain FORWARD (policy DROP 7 packets, 364 bytes)
pkts bytes target prot opt ​​in out source destination
0 0 ACCEPT 0 -- tun0 tun0 172.16.0.10 172.16.0.11
0 0 ACCEPT 0 -- tun0 tun0 172.16.0.11 172.16.0.10

Ответ или решение

Настройка сети OpenVPN с возможностью селективного обмена данными между клиентами — это задача, требующая внимания к деталям конфигурации. В данном случае, вы столкнулись с ситуацией, где необходимо обеспечить взаимодействие только между двумя клиентами, исключая третьего из этого обмена. Поскольку вы отключили директиву "client-to-client", это ведет к усложненному сценарию настройки, когда требуется дополнительная конфигурация через iptables или альтернативные методы маршрутизации.

Теория
В стандартной конфигурации OpenVPN при включенной директиве "client-to-client" все клиенты, подключенные к VPN-серверу, могут общаться друг с другом напрямую. Отключение этой директивы ведет к запрету прямой коммуникации между клиентами, и весь трафик направляется на сервер, где он может быть обработан (или заблокирован) на основе определённых правил.

Задача заключается в том, чтобы через маршрутизацию и правила iptables разрешить трафик между двумя определенными клиентами без общедоступной связи с другими клиентами в сети.

Пример
В вашем случае мы имеем следующую конфигурацию клиентов:

• client1 : 172.16.0.11
• client2 : 172.16.0.10
• client3 : 172.16.0.12

Вы видите попытку разрешения трафика между клиентами 1 и 2 через iptables:

Chain FORWARD (policy DROP 7 packets, 364 bytes)
pkts bytes target prot opt ​​in out source destination
0 0 ACCEPT 0 -- tun0 tun0 172.16.0.10 172.16.0.11
0 0 ACCEPT 0 -- tun0 tun0 172.16.0.11 172.16.0.10

Однако, как вы отметили, это, по-видимому, не сработало в том виде, как вы ожидали.

Применение
Чтобы решить проблему, можно предпринять следующие шаги:

1. Проверка конфигурации сервера OpenVPN:

   • Убедитесь, что директива client-to-client действительно отключена.
   • Проверьте правильность раздачи IP-адресов клиентам через OpenVPN и соответствие этим адресам в правилах iptables.

2. Анализ iptables:

   • Проверьте, что существуют корректные правила для разрешения обмена данными между конкретными IP-адресами.
   • Используйте целевые iptables правила, подтверждая, что у них совпадают интерфейсы и они действительно применяются.

3. Детальная настройка iptables:

   • Пересмотрите правила маршрутизации и убедитесь, что все соответствующие цепочки правильно настроены (актуальность, порядок следования правил и политики по умолчанию).

   Пример доработанных правил:

   iptables -A FORWARD -s 172.16.0.10 -d 172.16.0.11 -j ACCEPT
   iptables -A FORWARD -s 172.16.0.11 -d 172.16.0.10 -j ACCEPT

4. Дополнительная проверка сетевой конфигурации:

   • Используйте утилиты ping, traceroute и tcpdump для проверки маршрутов и мониторинга трафика между клиентами.
   • Убедитесь, что клиентские конфигурации (.ovpn файлы) не содержат ограничивающих сетевых настроек.

5. Рассмотрение альтернативных методов:

   • Если проблема состоит в специфичной настройке, можно обдумать альтернативу в виде использования iptables MARK и ip rule для более гибкого управления маршрутизацией.
   • Возможно использование функциональности виртуальных маршрутов (VRF) для изоляции клиентов.

6. Логирование и диагностика:

   • Активация логирования на уровне iptables может дать понимание, какие именно пакеты блокируются либо допускаются, предоставляет ли серверната маршрутизацию, которую вы ожидаете увидеть.

Следуя этому плану, вы сможете настроить ваш OpenVPN сервер так, чтобы изолировать часть клиентов в пределах VPN, сохраняя при этом разрешения на специфичные соединения. Это требует не только знания работы OpenVPN, но и уверенного использования сетевых инструментов Linux, таких как iptables.