OpenVPN + отдельный DHCP
Доброго $(date +%T)!
Возникла такая задача: надо дать возможность клиентам из внешнего мира
(Linux\Windows) позволить заходить на пару внутренних серверов. Просто
PREROUTING как-то не секурно, решил приделать OpenVPN. Итак:
Внешний IP шлюза = 1.2.3.4
Внутренний IP шлюза = 10.0.0.1
На шлюзе есть: BIND (настроен на кеширование имен и резолв внутренних
серверов по именам), DHCPD (настроен на выдачу IP по MAC в пуле
10.0.0.100-200 и свободную выдачу имён в пуле 10.0.0.201-10.0.0.250)
Так же на шлюзе настроены iptables, по принципу "никого никуда не
пускать, кроме как ..."
На тот же многострадальный шлюз добавляю OpenVPN:
port 1194
proto tcp
dev tap
ca ca.crt # наши сертификаты
cert server.crt
key server.key
dh dh1024.pem
server 10.0.0.0 255.255.0.0 # собственно наша виртуальная сеть
ifconfig-pool-persist ipp.txt
keepalive 10 120 # пинг каждые 10 секунд для поддержания канала связи
comp-lzo # сжатие трафика
persist-key
persist-tun
status openvpn-status.log #лог
verb 3 # уровень болтливости записей в логи
Как видно, и виртуальная VPN сеть, и реальная имеют одинаковый адресный
пул. Однако встроенный DHCP OpenVPN'a выдаёт явно по собственному
желанию адреса. + есть мнение, что подключённые по VPN компы будут гнать
весь свой интернет трафик через VPN-сервер. А надо только, чтоб они
могли лишь обратиться к ftp.my.domain и mail.my.domain, не теряя своего
соединения с остальным интернетом.
Reply to: