Openvpn Server Windows 需要防止客戶端在伺服器上使用預設網關

我在 Windows 上執行 openvpn 伺服器，我有多個客戶端 10.24.1.0-254 範圍。我在我希望客戶端連接到的伺服器上的埠 80 上託管一個 tcp 服務。我不希望客戶端能夠編輯他們的 ovpn 並添加 –redirect-gateway 並能夠通過 openvpn 伺服器網關推送所有流量。

目前，avast 高級防病毒防火牆是唯一的防火牆選項。伺服器 IP 在其本地 LAN 上是 10.0.250，伺服器預設網關是 10.0.0.1。它通過 openvpn 將 10.24.1.0 託管給客戶端，以便客戶端可以連接到埠 80“10.24.1.1:80”。

問題是，如何通過添加–redirect-gateway和 ovpn 配置文件來防止客戶端通過伺服器推送所有流量。我想限制訪問僅在伺服器上的埠 80 上偵聽的服務。

你不能。但是您可以在伺服器中設置防火牆，這樣它就不會轉發來自 VPN 客戶端的流量。這樣，即使他們設置了redirect-gateway，他們也只是失去了對 Internet 的任何訪問權限，而不是通過您的伺服器。

如果您僅將其用於 HTTP 訪問，請考慮使用客戶端證書身份驗證正確設置 HTTPS，而不是使用 VPN。安全級別是相同的（因為完全相同的 PKI 機制用於身份驗證和控制），但使用起來更方便。同時，您將緩解 VPN 可能為您打開的安全漏洞。

引用自：https://serverfault.com/questions/1112655