Koozali.org: home of the SME Server
Other Languages => Italiano => Topic started by: MicSme on October 24, 2013, 10:08:26 AM
-
Ciao a tutti,
Volevo sapere se con sme e' possibile configurare una vpn pptp che permetta solo l'accesso ad un determinato ip della lan.
Michele
-
cioè, traducendo, se la macchina che si connette in vpn (PPTP) può "vedere" una sola macchina della rete? no, che io sappia
-
Si Stefano hai capito bene, limitare l'accesso ad un solo indirizzo ip potrei utilizzare indistintamente pptp o openvpn...
-
con openvpn mi pare più fattibile..
-
Beh ho dato un occhiata e con sme non e' banale. Preferirei non toccare le regole del firewall. Quindi potrei creare una regola su openvpn per forzare il common-name "a" a prendere l'indirizzo ip "n".
Resterebbe da fare un forward di tutto il traffico dell'ip "n" verso quello dell'unico ip "allowed" all'interno della lan. Qualcuno ha provato qualcosa del genere oppure ha risolto diversamente?
Michele
-
O forse cosi':
db accounts setprop mio_utente_sme PPTPIP ip_allowed
signal-event remoteaccess-update
-
O forse cosi':
Questo è metà del lavoro ed è corretto.
Poi ti serve un template-custom per masq:
/etc/e-smith/templates-custom/etc/rc.d/init.d/masq/91vpnpc
in cui limitare l'accesso all'ip assegnato. Esempio:
# consenti VPN solo su ip selezionati
/sbin/iptables -N CUSTOMVPN
/sbin/iptables -I FORWARD -m state --state NEW -j CUSTOMVPN
/sbin/iptables -A CUSTOMVPN -s 192.168.0.100/32 -d 10.0.0.1/32 -j ACCEPT
/sbin/iptables -A CUSTOMVPN -s 192.168.0.100/32 -d 10.0.0.0/24 -j REJECT
una volta creato il template è necessario dare i seguenti comandi:
expand-template /etc/rc.d/init.d/masq
/etc/rc.d/init.d/masq restart
-
Fantastico! Cosi' evito di fare certificati dove non ci sia l'effettiva esigenza. Grazie Michele