Re: как дать доступ к почте и bind только openvpn клиентам ?

[Михаил Миронов <mike@darkmike.ru>]

16.05.2011 07:47, Andrey Lyubimets пишет:
> 15.05.2011 16:38, Nicholas пишет:
> > On 15.05.2011 11:50, Михаил Миронов wrote:
> > > Попробовать следующий вариант:
> > > По openvpn отдает свой DNS сервер клиентам при подключении
> > > На своем DNS сервере при коннекте с сети openvpn отдает для своих
> > > доменных имен внутренние адреса
> >
> > Спасибо за совет. Да так можно сделать (на клиенте, т.к.
> > http://openvpn.net/index.php/open-source/documentation/howto.html
> >
> > Windows clients can accept pushed DHCP options natively, while non-Windows
> > clients can accept them by using a client-side up script)
> >
> > Но в моем вопросе dns был скорее в качестве примера (причем не самого
> > удачного - в кафе часто требуется использовать локальный днс, что бы увидеть
> > страницу с agreement-ом), главный вопрос был - "как обратиться к другим
> > сервисам сервера, на котором находится openvpn", через tap (то есть через
> > vpn, а не напрямую). Проблема была с том, что они имеют единый ip ("сервер с
> > доменным именем" (обращение по домену) и "openvpn сервер").
> Дважды прочитал весь тред, но , чувствую, что до конца не понимаю сути
> вопроса (поэтому прошу не обижаться на глупый совет ;-)
>
> Зачем использовать реальный адрес на клиенте? Все нормальные и ненормальные
> люди с успехом используют серые адреса на концах туннеля и в ус не дуют.
> В этом случае для всех сервисов пропиши в хостах серый адрес openvpn-сервера.

Он (клиент) получает адрес по имени, типа, imap.domain.ru

> > Попробовал, на клиенте, завернуть весь (кроме vpn) траффик идущий на ip
> > сервера на tap - сразу не заработало, сервер (все кроме vpn) не отвечает -
> > надо будет подумать, разобраться... но даже если и заработает, то это будет
> > сложно настроить на win и андроид клиентах.
> >
> > Более простой вариант - дать openvpn server-y отдельный ip (оставив его на
> > той же машине).
> > Хотя проверить его пока не удалось - тестовый сервер это vps на linode -
> > оказалось что третий ip они не дают, хотя и рекламируют... (и не разрешают
> > передавать ip vpn клиенту).
> Угу. Вопрос ровно тот же самый, как и совет: зачем использовать реальный
> адрес на клиенте? Назначь серверу оба реальных адреса, а маршрут пропиши
> через серый.

Если я правильно понимаю проблему, то ситуация следующая:

Есть клиент. Он устанавливает VPN соединение и потом лезет, скажем, на 
imap.domain.ru за своей почтой.

На мой взгляд вариантов два:
1. Обмануть клиента и отдавать для imap.domain.ru свой внутренний IP
Проблем со страницей авторизации и прочего в инет-кафе быль не должно: 
мы сначала проходим там авторизацию, а потом устанавливаем туннель.
2. Заворачивать ВЕСЬ трафик клиента на VPN. В этом случае тоже все не 
просто - запросы могут приходить на внутренний IP, но от внешнего IP 
адреса клиента (если я не ошибаюсь). Вроде с этим сейчас и проблема.

Наверное стоит сделать проще:
Файрволом закрываем данные сервисы на коннект из внешнего мира (с 
внешней сетевой карты) и разрешаем на них коннект с любого IP. 
Собственно, в результате доступ будет только с openvpn

P.S. Сорри за предыдущее письмо в личку.