Sto eseguendo OpenVPN 2.3.7 su CentOS 6. Sto usando il routing (tun) e ho due istanze di OpenVPN. Nella seconda istanza ci sono due client che vorrei rendere visibili l'uno all'altro, ovvero ping, porte di accesso, ecc. Sono entrambi all'interno della stessa sottorete, quindi dovrebbe essere abbastanza semplice, sono configurati con indirizzi statici attraverso CCD.
Voglio che i due client possano vedersi tramite i loro indirizzi IP LAN OpenVPN senza abilitare client-to-clientin server.conf.
Sono abbastanza sicuro che può essere fatto con iptables, che utilizzo come firewall, anche se utilizzo CSF, ma è un wrapper per iptables.
Questi sono gli indirizzi IPv4 dei client:
OpenVPN Client #1: 10.8.2.14
OpenVPN Client #2: 10.8.2.17
Ho bisogno del client n. 1 per poter accedere ai servizi in esecuzione sul client 2 e suppongo che il client di compatibilità n. 2 visualizzi il client n. 1 se è richiesta una risposta.
Ho provato diverse regole della catena FORWARD sul server OpenVPN, ma non riesco a ottenere alcuna comunicazione tra i due client. Il server OpenVPN può ovviamente eseguire il ping di entrambi i client, i client possono eseguire il ping del gateway del server OpenVPN, i client ovviamente non possono vedersi.
Alcune regole che ho già provato e non ho funzionato:
iptables -A FORWARD -s 10.8.2.14 -d 10.8.2.17 -j ACCEPT
iptables -A FORWARD -s 10.8.2.17 -d 10.8.2.14 -j ACCEPT
Sto cercando aiuto con iptables per rendere i due client visibili l'uno all'altro, senza abilitare client-to-client, vedi che questo è un requisito speciale per due client e non necessario altrove.
L'alternativa è esporre i servizi sul client VPN tramite NAT, ma preferirei evitare di farlo per motivi di sicurezza.
Ogni suggerimento sarebbe di grande aiuto!
Grazie,
Giacomo
ifconfige la tabella di routing (netstat -rn) dei due nodi?