Настройка маршрутов пользователя

1.       Нам необходимо определить какой адрес будет у пользователя при подключении и куда ему разрешается ходить.

2.       Для начала найдем свободный ip-адрес

 grep -rn 10.8.0. /etc/openvpn/ccd

 Команда grep пройдет по всем файлам в директории и выведет в консоль все совпадения с 10.8.0. – адресация openvpn

 3.       Выбираем любой адрес, которого нет в списке от 2 до 254

Проверить что вы не просмотрели свободный адрес, можно той же командой grep, вбив адрес целиком. К примеру:

grep -rn 10.8.0.38 /etc/openvpn/ccd  - найдет в конфиге такой адрес и выведет его в консоль
grep -rn 10.8.0.119 /etc/openvpn/ccd – такого адреса нет, и в консоль ничего не выведет

 

4.    Создаем конфигурационный файл пользователя

touch /etc/openvpn/ccd/fursov.m

5.    Прописываем в нем конфигурацию

 nano /etc/openvpn/ccd/fursov.m

ifconfig-push 10.8.0.111 255.255.255.0

push "route 10.10.20.105 255.255.255.255"

Ifconfig-push – какой адрес и какую маску присваивать клиенту

push route – какой маршрут ему давать (до какого узла внутри сети можно будет ходить). В данном случае задан один адрес, но при желании можно указать несколько.

push "route 10.10.20.105 255.255.255.255"

push "route 10.10.20.106 255.255.255.255"

push "route 10.10.20.107 255.255.255.255"

и т.д.

6.       Сохраняем данный конфиг и оставляем в этой директории.

Настройка фаервола

 

      6.1.       На данном шаге у нас уже имеются сертификаты пользователя, его конфиг и настройка. Осталось добавить разрешающие правила в фаервол, чтобы сервер пропустил клиента к его рабочему месту.

      6.2.       В качестве фаервола на сервере настроен iptables

      6.3.       Чтобы посмотреть текущие настройки iptables, можно ввести команду

iptables -vnL

где ключи 

v – verbose т.е. подробный вывод

n – numeric, вывод адресов в цифровом формате. По умолчанию он пытается вместо адресов прописать имена хостов

L – list. Собственно, вывести все содержимое

В ответ мы получим достаточно большую табличку с правилами.

Основными полями являются source (откуда) destination (куда) ну и комментарий, чтобы каждый раз не искать по конфигам, чей это адрес.

    4.       Для того чтобы добавить новое правило, пишем

iptables -I FORWARD -i tun0 -o eth0 -s 10.8.0.122/32 -d 10.10.10.96/32 -m conntrack --ctstate NEW -j ACCEPT -m comment --comment "fursov.m– 1C"

Соответственно -s источник отправления (наш адрес клиента), -d адрес назначения, куда мы ему разрешаем ходить. Ну и комментарий.

   5.   Если необходимо прописать еще и порт

iptables -I FORWARD -i tun0 -o eth0 -s 10.8.0.119/32 -d 10.10.21.151/32 -p tcp --destination-port 3389 -m conntrack --ctstate NEW -j ACCEPT -m comment --comment "fursov.m – 1C" 

   6.      Еще раз выведем iptables и удостоверимся, что правило появилось

   7.       (Опционально) Перезапуск openvpn. На случай если при подключении от пользователя, по какой-то причине не применились правила, или что-то работает не корректно. При данном действии, у других пользователей могут порваться сессии, и он отвалятся.

 systemctl restart openvpn@server

   8.       ОБЯЗАТЕЛЬНО ЗАРЕЗЕРВИРОВАТЬ IP КОМПЬЮТЕРА, ИНАЧЕ ПОСЛЕ СМЕНЫ IP НЕОБХОДИМО БУДЕТ МЕНЯТЬ ПРАВИЛО