Messages

1

Russian / Re: VPN. Конкретному клиенту (сертификату) отдельный конфиг

« on: December 13, 2017, 04:40:28 am »

Единственное повторюсь что я на практике не делал нескольких настроек VPN, но думаю что предложенный мной метод это именно то что вам нужно. Сделать реально просто из вебморды. Могу помочь в случае если не понятно как и где настраивать.

У вас есть настроеный сервер VPN (там где вы делали скрин) с которого все имеют доступ к вашей сети. Теперь добавьте ещё одну похожую настройку, но чтобы подсеть там была другая и сгенерируйте для того клиента комплект из этих настроек. Он когда подключится автоматом будет работать в той самой новой подсети. Дальше дело техники - все порты с той подсети направляем на нужный адрес IP, это делается в настройках Firewall > Port Forwarding.

Спасибо большое! Я понял Вашу идею: это, по сути, добавление VPN-сервера с новой VPN-сетью. А объявленные сети для нее иные сделать. Согласен, это вариант решения проблемы.

2

Russian / Re: VPN. Конкретному клиенту (сертификату) отдельный конфиг

« on: December 12, 2017, 03:33:32 pm »

Да, там. Другие клиенты будут работать в одной подсети с определёнными правилами, а этот клиент будет подключаться но попадать в отдельную подсеть из которой уже возможно заворачивать куда-то. Такое себе исключение - исключительный VPN. Ну нельзя же ведь одновременно и разрешить и запретить! Если у вас основной VPN специально изолирован то значит правильно что сервер не пускает, не? Чтобы пустило нужна отдельная сеть и отдельные условия доступа. Или я что-то не понял.

Возможно, я недостаточно ясно выразил свою мысль и не донес сути:
все клиенты VPN сидят в своей VPN-сети, видят все сервисы, всю сеть компании, но одному из них необходимо ограничить доступ в сеть конторы(чтобы он мог обращаться только по одному IP в этой сети, а не ко всем сервисам)
Я поэтому и спросил изначально про конфиги для конкретного клиента (конфигурационные файлы (где пишем маршруты, статику и т.д) на сервере имеют имя идентичное имени выданного сертификата, и в момент подключения клиент тянет эти настройки и применяет), потому что, как Вы заметили, нельзя одновременно запретить и разрешить=)

3

Russian / Re: VPN. Конкретному клиенту (сертификату) отдельный конфиг

« on: December 12, 2017, 12:51:16 pm »

VPN используем, но конкретно таких задач не стояло. Сейчас посмотрел что на роутере, там в закладке настройки сервера VPN (где скачивается комплект для клиента) можно создавать несколько независимых настроек в которых можно будет указать создаваемую подсеть. Пусть эта подсеть будет не такая как в основном конфиге и тогда нет проблем завернуть её в настройках файервола на конкретный адрес.

Тоесть это не тот случай. Не надо руками ничего править - настраивается через морду.

Благодарю, что откликнулись!

Вы имеете в виду "Объявленные сети"? "Указать создаваемую подсеть" - но мне не надо создавать подсеть. VPN-сеть и так отлична от сети предприятия. И конкретному клиенту VPN-сети надо попасть лишь на конкретный АРМ (подключиться по ssh).

4

Russian / VPN. Конкретному клиенту (сертификату) отдельный конфиг

« on: December 12, 2017, 12:04:29 pm »

Добрый день!

Поднят Zentyal 5.0 с VPN-сервером. Все работает стабильно и отлично.

Появилась задача выдачи сертификата клиента с доступом не во всю сеть предприятия, а только на конкретную машину с конкретным IP. Подскажите, как это осуществить?

Знаю про /usr/share/zentyal/stubs/openvpn/openvpn.conf.mas, где можно указать директорию с конфигами на конкретный сертификат пользователя. Подскажите, какой формат записи в этот файл для этого нужно сделать для этого? а также что прописать затем в самом конфигурационном файле?

Заранее благодарю!

С уважением,
Сергей