¿Cómo pueden encontrarse múltiples clientes de un servidor openvpn?

13

Estoy presentando un servidor openvpn que admitirá múltiples clientes en una subred privada. Entonces, en la subred privada, los clientes que se conectan obtendrán direcciones IP como 10.8.0.10, 10.8.0.11, etc.

Una de las instalaciones que necesito es que los clientes puedan encontrarse. ¿Hay alguna manera fácil y generalmente aceptada para que un cliente vea la lista de direcciones IP asignadas a todos los clientes?

No necesito nombres DNS ni nada de eso.

openvpn AlanObject
fuente
44
¿Qué es exactamente lo que estás tratando de lograr?
MDMarra
@MDMarra Quiero que alguien en el campo en el sitio de un usuario pueda iniciar una conexión saliente para que la persona de soporte técnico dentro de nuestra empresa pueda conectarse a ese sistema.
AlanObject

Respuestas:

22

En el archivo de configuración del servidor OpenVPN, un requisito previo es la siguiente directiva:

# Uncomment this directive to allow different
# clients to be able to "see" each other.
# By default, clients will only see the server.
# To force clients to only see the server, you
# will also need to appropriately firewall the
# server's TUN/TAP interface.
client-to-client

Para facilitar que los clientes se encuentren fácilmente, sugeriría DNS dinámico como la solución empresarial (casi) siempre presente. Para presentar una lista de clientes activos, podría:

  • ¿encuentra una manera de distribuir o poner a disposición el openvpn-status.log para los clientes?
  • distribuir scripts de ping o similar a los clientes, tal vez haciendo una búsqueda DNS inversa para cada host en vivo?
  • haga que los clientes se registren / desregistren ellos mismos en un archivo o base de datos personalizada tras la conexión y tengan un mecanismo de barrido de algún tipo. Esta alternativa parece reinventar totalmente la rueda, pero sin duda sería una forma divertida de pasar una hora que no agrega nada al mundo de TI en general.
ErikE
fuente
Bueno, la alternativa predeterminada es hacer que el usuario del sistema externo simplemente llame o envíe un mensaje de texto al otro sistema sobre cuál es su dirección IP. Permítame analizar sus sugerencias para ver qué le gusta más a la gente
AlanObject
4

Aquí está el enlace original que admite la función cliente a cliente de OpenVPN 2.x:

https://openvpn.net/index.php/open-source/documentation/howto.html#scope

Elimine el comentario de esta directiva para permitir que diferentes clientes puedan "verse" entre sí. Por defecto, los clientes solo verán el servidor. Para obligar a los clientes a que solo vean el servidor, también necesitará proteger adecuadamente la interfaz TUN / TAP del servidor.

;client-to-client

Elimine el comentario de la directiva de cliente a cliente anterior si desea conectar clientes para poder comunicarse entre sí a través de la VPN. Por defecto, los clientes solo podrán llegar al servidor.

A continuación, pregúntese si desea permitir el tráfico de red entre la subred del cliente2 (192.168.4.0/24) y otros clientes del servidor OpenVPN. Si es así, agregue lo siguiente al archivo de configuración del servidor.

client-to-client
push "route 192.168.4.0 255.255.255.0"

Esto hará que el servidor OpenVPN anuncie la subred del cliente2 a los otros clientes que se conectan.

mav_2k
fuente