Salut La configuration client-to-client me semble n'être qu'une configuration spécifique de l'iptable.
Compare tes tables iptables (dont -t nat) entre les 2 modes. Repère l'entrée qui autorise tes clients à communiquer entre eux. Enlève l'option client-to-client Adapte l'entrée pour que seule l'ip de ton serveur (mise en statique) ait l'autorisation et ajoute la Cdt Le mer. 4 mars 2020 à 12:04, Baptiste Chappe <baptiste.cha...@gmail.com> a écrit : > Hello, > > Avec le terme iroutes et route du serveur de chaque client tu peux décider > de voir uniquement ton réseaux client. J'ai un fichier de conf par client > par site > > Je fais comme toi avec un 20ene de tunnel combo openvpn/mikrotik. Seul le > réseaux monitoring est connu de chaque client. > > Baptiste > > Le mer. 4 mars 2020 à 11:46, Sylvain Viart <sylv...@opensource-expert.com> > a écrit : > >> Bonjour, >> >> Je ne suis pas expert en vpn et réseau du coup je patauge un peu. >> >> J'ai remonté un serveur openVPN qui sert des clients sur TCP via le port >> 443 pour de l'évasion NAT. >> Ça fonctionne, et en me connectant au serveur VPN je peux administrer les >> clients, cette connexion ne sert qu'à ça et à fournir un ntp sur le VPN >> aussi avec l'IP privée du serveur VPN. >> Les clients n'ayant pas de route pour sortir par le VPN, ils sortent par >> leur connexion local en NAT. >> >> Aujourd'hui, je veux modifier la config pour monitorer les nœuds client >> du VPN en pull avec prometheus. >> J'ajoute donc le serveur prometheus au VPN et je voudrais que lui seul >> puisse voir d'autres clients du VPN et pas les autres clients entre eux. >> Parce que l'ajout de la directive client-to-client fonctionne sur le >> serveur VPN, mais du coup tous les clients se voient entre eux. >> >> Je n'ai pas encore trouvé la config réseau qui va bien. >> Je pense que je dois ajouter une config spécifique sur le serveur VPN : >> >> >> - client monitor se connecte au VPN et avoir un sous-réseau pour lui. >> 10.22.1.0/24 >> - Les autres machines clients dans un autre sous-réseau : 10.22.0.0/24 >> >> >> Ensuite il doit falloir autoriser le sous réseau de monitoring et router >> le trafic sur le serveur VPN vers le réseau des clients >> >> C'est là que je coince, je ne sais pas comment router convenablement >> depuis le serveur VPN les paquets de 10.22.1.1 vers 10.22.0.10/24 >> >> Avez vous des pistes à me fournir ? >> >> J'ai trouvé une piste qui à l'air un peut obscure sur du packet filter à >> l'intérieur de openvpn >> >> http://prog3.com/sbdm/blog/mhpmii/article/details/47780243 >> >> Et je pense que la bonne façon s'inspire de >> >> >> https://openvpn.net/community-resources/how-to/#expanding-the-scope-of-the-vpn-to-include-additional-machines-on-either-the-client-or-server-subnet >> >> + >> >> >> https://openvpn.net/community-resources/configuring-client-specific-rules-and-access-policies/ >> <http://b> >> >> >> Mais je nage encore dans les routes est les config iptables >> >> Je n'ai pas de services à exposer sur le réseau pour les clients VPN >> >> >> >> >> Cordialement, >> Sylvain. >> >> -- >> Sylvain Viart - GNU/Linux Sysadmin/Developer/DevOps - France >> >> _______________________________________________ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ >> > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ >
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
