Re: как дать доступ к почте и bind только openvpn клиентам ?
16.05.2011 07:47, Andrey Lyubimets пишет:
15.05.2011 16:38, Nicholas пишет:
On 15.05.2011 11:50, Михаил Миронов wrote:
Попробовать следующий вариант:
По openvpn отдает свой DNS сервер клиентам при подключении
На своем DNS сервере при коннекте с сети openvpn отдает для своих
доменных имен внутренние адреса
Спасибо за совет. Да так можно сделать (на клиенте, т.к.
http://openvpn.net/index.php/open-source/documentation/howto.html
Windows clients can accept pushed DHCP options natively, while non-Windows
clients can accept them by using a client-side up script)
Но в моем вопросе dns был скорее в качестве примера (причем не самого
удачного - в кафе часто требуется использовать локальный днс, что бы увидеть
страницу с agreement-ом), главный вопрос был - "как обратиться к другим
сервисам сервера, на котором находится openvpn", через tap (то есть через
vpn, а не напрямую). Проблема была с том, что они имеют единый ip ("сервер с
доменным именем" (обращение по домену) и "openvpn сервер").
Дважды прочитал весь тред, но , чувствую, что до конца не понимаю сути
вопроса (поэтому прошу не обижаться на глупый совет ;-)
Зачем использовать реальный адрес на клиенте? Все нормальные и ненормальные
люди с успехом используют серые адреса на концах туннеля и в ус не дуют.
В этом случае для всех сервисов пропиши в хостах серый адрес openvpn-сервера.
Он (клиент) получает адрес по имени, типа, imap.domain.ru
Попробовал, на клиенте, завернуть весь (кроме vpn) траффик идущий на ip
сервера на tap - сразу не заработало, сервер (все кроме vpn) не отвечает -
надо будет подумать, разобраться... но даже если и заработает, то это будет
сложно настроить на win и андроид клиентах.
Более простой вариант - дать openvpn server-y отдельный ip (оставив его на
той же машине).
Хотя проверить его пока не удалось - тестовый сервер это vps на linode -
оказалось что третий ip они не дают, хотя и рекламируют... (и не разрешают
передавать ip vpn клиенту).
Угу. Вопрос ровно тот же самый, как и совет: зачем использовать реальный
адрес на клиенте? Назначь серверу оба реальных адреса, а маршрут пропиши
через серый.
Если я правильно понимаю проблему, то ситуация следующая:
Есть клиент. Он устанавливает VPN соединение и потом лезет, скажем, на
imap.domain.ru за своей почтой.
На мой взгляд вариантов два:
1. Обмануть клиента и отдавать для imap.domain.ru свой внутренний IP
Проблем со страницей авторизации и прочего в инет-кафе быль не должно:
мы сначала проходим там авторизацию, а потом устанавливаем туннель.
2. Заворачивать ВЕСЬ трафик клиента на VPN. В этом случае тоже все не
просто - запросы могут приходить на внутренний IP, но от внешнего IP
адреса клиента (если я не ошибаюсь). Вроде с этим сейчас и проблема.
Наверное стоит сделать проще:
Файрволом закрываем данные сервисы на коннект из внешнего мира (с
внешней сетевой карты) и разрешаем на них коннект с любого IP.
Собственно, в результате доступ будет только с openvpn
P.S. Сорри за предыдущее письмо в личку.
Reply to: