reklama

Mikrotik, izolace klientů OpenVPN

Mikrotik, izolace klientů OpenVPN
« kdy: 28. 05. 2018, 10:02:24 »
Ahoj, snažím se na Mikrotiku rozjet následující konfiguraci, ale nevím jestli to nedělám celé moc složitě a neexistuje na to nějaký lepší fígl např. jen s firewallem.

Cílový stav:
- Zákazníci mohou přistupovat pouze ke svým zařízením. Nejsou schopni se sami přidáním dalšího parametru route do konfiguráku dostat do cizího subnetu.
- Zákazníci se vzájemně nevidí skrze OpenVPN pool.

Moje představa, LAN strana:
- 3 subnety pro tři zákazníky 192.168.1.0/24, 192.168.2.0/24 a 192.168.3.0/24.
- Každý má ve svém subnetu nějaká svá zařízení.
- Vše je zapojeno do jednoho switche bez VLAN (zařízení s nimi neumí pracovat a switch také ne).
- Na zařízeních neběží nějaký zákazníkem konfigurovatelný OS, takže asi nehrozí, že by se někdo přidal do dalšího subnetu apod.

Moje představa, OpenVPN:
- Routing mód
- 3 pooly pro tři zákazníky 172.16.0.0/30, 172.16.0.4/30 a 172.16.0.8/30 (vždy jen dvě IP adresy na spojení bod - bod).
- V konfiguráku OpenVPN přidán vždy parametr route 192.168.x.0 255.255.255.0.

Měl bych pár otázek:
1) OpenVPN pool
- Mohu dát všechny do jednoho poolu a zamezit tomu, aby se viděli navzájem? Něco jako Wireless Client Isolation.
- Ten pool /30 mi pořád nějak blbne. To je asi na jinou debatu s výpisy konfiguráků. První připojení po restartu funguje, ale poté to pořád hlásí:

ERROR: There is a clash between the --ifconfig local address and the internal DHCP server address -- both are set to 172.16.0.2 -- please use the --ip-win32 dynamic option to choose a different free address from the --ifconfig subnet for the internal DHCP server

2) Parametr route
- Pokud si sám přidám do konfiguráku další parametr route 192.168.x.0 255.255.255.0, tak se dostanu na zařízení jiného zákazníka. Předpokládám, že tady asi budu muset vymyslet nějaké pravidlo do firewallu. Nebo se toto řeší nějak jinak?

Děkuji

reklama


M.

Re:Mikrotik, izolace klientů OpenVPN
« Odpověď #1 kdy: 28. 05. 2018, 10:58:19 »
V nastavení PPP profilu v routeru (ppp profiles), který přiřadíte pro OpenVPN (nebo pro každého konkrétního usera pod ppp secrets), tak jsou položky input/output filter, to jsou jména větví, co se dynamicky aktivují ve firewallu při připojneí kienta a pomocí těch odfiltrujete, ať příchozí komunikace z/k OpenVPN klienta míří jen na povolené cílové IP adresy.

 

reklama