Windows

Openvpn Server Windows 需要防止客戶端在伺服器上使用預設網關

  • October 10, 2022

我在 Windows 上執行 openvpn 伺服器,我有多個客戶端 10.24.1.0-254 範圍。我在我希望客戶端連接到的伺服器上的埠 80 上託管一個 tcp 服務。我不希望客戶端能夠編輯他們的 ovpn 並添加 –redirect-gateway 並能夠通過 openvpn 伺服器網關推送所有流量。

目前,avast 高級防病毒防火牆是唯一的防火牆選項。伺服器 IP 在其本地 LAN 上是 10.0.250,伺服器預設網關是 10.0.0.1。它通過 openvpn 將 10.24.1.0 託管給客戶端,以便客戶端可以連接到埠 80“10.24.1.1:80”。

問題是,如何通過添加–redirect-gateway和 ovpn 配置文件來防止客戶端通過伺服器推送所有流量。我想限制訪問在伺服器上的埠 80 上偵聽的服務。

你不能。但是您可以在伺服器中設置防火牆,這樣它就不會轉發來自 VPN 客戶端的流量。這樣,即使他們設置了redirect-gateway,他們也只是失去了對 Internet 的任何訪問權限,而不是通過您的伺服器。

如果您僅將其用於 HTTP 訪問,請考慮使用客戶端證書身份驗證正確設置 HTTPS,而不是使用 VPN。安全級別是相同的(因為完全相同的 PKI 機制用於身份驗證和控制),但使用起來更方便。同時,您將緩解 VPN 可能為您打開的安全漏洞。

引用自:https://serverfault.com/questions/1112655