我已经在我的局域网上设置了一个VPN盒子。
我的局域网网关是192.168.2.1。
我在我的路由器上设置端口转发以允许传入的VNP连接。 VPN盒的LAN地址是192.168.2.42
OpenVPN创build的tun0接口是10.8.0.0/24
这一切都很好。 Clinets被分配固定的I / P地址等
但我想限制一些(但不是全部)我的VPN客户端能够自由地访问我局域网上的其他机器并访问对方。
我的计划是,我的局域网中只有一台机器,它们应该被允许访问 – 但只能访问NodeRed和MQTT端口(1880年/ 1883年)。 我想要的VPN防火墙阻止所有其他可能性。
假设这个允许的LAN机器是192.168.2.200
我希望以这种方式限制所有给定的I / P地址'从10.8.0.20向上'的VPN客户端 – 我可以很容易地改变这些,如果这有助于UFW规则集…
被允许完全访问我的局域网的VPN客户端是10.8.0.11这个“受欢迎的客户端”也应该能够不受限制地访问所有其他的VPN客户端。
请有人可以告诉我的UFW规则集,将实现这一目标?
我已经尝试了许多select,但除了locking自己几次(!)外,我无法阻止VPN范围内的任何计算机通过VPN网关“连接回”到LAN上的其他计算机。
我的怀疑是,我不明白一些NAT问题或其他妥善:(
提前致谢…
如果编辑/etc/openvpn/server.conf,则可以修改push指令来控制哪些路由被推送到客户端。 您可能可以删除当前已启用的语句,只需使用以下命令:
push "route 192.168.2.200 255.255.255.255"
除此之外,您可能需要禁用此function:
push "redirect-gateway def1 bypass-dhcp"
另外,如果你读了server.conf中的注释,可能还有一些你想调整的选项。
对于端口特定的阻塞,我会在服务器防火墙上这样做。