Двойной туннель OpenVPN

Question

Я уверен, что ответ отрицательный, но я не могу определить, как это подтвердить (у меня возникают проблемы с поиском ключевых слов для поиска).

Ситуация: у меня есть сервер Linux (Debian) OpenVPN, которыйМне нужно подключиться двумя способами:

1. Полный туннель
2. Разделенный туннель, который позволяет клиенту просматривать свой домашний каталог и иметь доступ по ssh.

Я не хочу открывать ssh для публики из-за угроз безопасности;на данный момент сервер прослушивает только локальные адреса (VPN-клиенты).

Вопрос: Могу ли я добиться этого, используя только один сеанс сервера OpenVPN и изменив настройки клиента, или я должен запустить два отдельных сеанса OpenVPN (один для доступа с полным туннелем и один для доступа с разделенным туннелем)?

Answer 1

Существует несколько способов ограничить доступ ssh к клиентскому узлу для общего доступа.

Вы можете настроить брандмауэр вашего клиента / сервера с помощью iptables.

iptables

sudo iptables -I INPUT -p tcp --dport 22 -s 10.8.0.0/16 -j ACCEPT

sudo iptables -A INPUT -p tcp --dport 22 -j REJECT

Это разрешит ssh-соединения только через определенную сеть (vpn в вашем случае) и заблокирует sshиз всей другой сети.

Оболочка TCP

Вы можете использовать обертку TCP.Оболочка TCP использует 2 файла: /etc/hosts.allow и /etc/hosts.deny

Редактировать /etc/hosts.allow и добавить свою подсеть

sshd : 10.8.0.

Редактировать /etc/hosts.deny и запретить все

ALL : ALL

Конфигурация SSH

Вы можете установить несколько параметров в / etc / ssh / sshd_config.Одним из них является AllowUsers.

AllowUsers you@10.8.0.0/16