web-dev-qa-db-fra.com

Comment activer l'accès OpenVPN au SEUL réseau local

J'essaie de configurer une connexion OpenVPN à un serveur de l'entreprise afin que toute personne travaillant à domicile ou en déplacement puisse accéder à nos ressources internes.

J'ai correctement configuré le VPN en utilisant un guide sur le blog de Digital Ocean (écrit le 16.04).

Je peux me connecter depuis une ligne extérieure, envoyer une requête ping aux serveurs et périphériques internes et accéder à leurs ressources. Cela fonctionne très bien.

Cependant, nous souhaitons limiter la connexion aux seules ressources internes. Nous ne souhaitons pas utiliser une connexion Internet via OpenVPN, ce qui n’est pas l’usage typique d’un VPN (connexion masquée, contournement du géoblocage ou simplement cryptage de votre connexion).

Est-ce possible? Je sais évidemment que la connexion VPN doit pouvoir communiquer avec le client, mais en dehors de cela, je souhaite bloquer toutes les connexions au Web autrement.

Le serveur en question est également un VM s'exécutant sur un autre ordinateur.

1
MattBoothDev

Il est possible d'accéder simplement aux ressources internes sans connexion Internet, je pense que c'est en fait le scénario habituel pour utiliser OpenVPN. Par conséquent, si vous avez suivi un guide d'installation du serveur OpenVPN, certaines étapes ont également permis de transférer le trafic des clients vers Internet. Vous devez annuler ces étapes. Je pense que vous devriez commencer par commenter cette ligne dans server.conf

Push "redirect-gateway def1 bypass-dhcp"

Pousser ensuite un serveur DNS pour les clients doit être désactivé en commentant les lignes qui ressemblent à

    Push "dhcp-option DNS xxx.xxx.xxx.xxx

Bien sûr, vous devrez recharger OpenVpn conf après avoir apporté les modifications.

    Sudo service openvpn reload

Et puis désactiver la transmission de paquets sur Internet

    echo 0 > /proc/sys/net/ipv4/ip_forward

Et pour rendre la désactivation du transfert permanente, vous devrez également modifier

    /etc/sysctl.conf

ligne de commentaire

    net.ipv4.ip_forward=1

A présent, je pense que les clients ne devraient plus pouvoir accéder à Internet via un réseau privé virtuel.

2
Taavi

Je l'ai résolu différemment côté client

Windows: vous devez ouvrir les paramètres de connexion VPN, puis Réseau> TCP/IPv4> Propriétés> Avancé - Désactiver l'option "Utiliser la passerelle par défaut pour les réseaux distants".

0
Sergey Flakon