物好き者

物好き者が行ったことを載せています。

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

PageTop

OpenVPNでクライアント証明書別の設定

DD-WRTでOpenVPNを利用していますが、認証はクライアント証明書を使用しています。
証明書によってLAN側にアクセスできるものとできないものを分けるようにしてみました。

下記を参考にして、証明書別設定ディレクトリ方式で行いました。
VPNサーバー構築(OpenVPN) - Fedoraで自宅サーバー構築
yamata::memo: [OPENVPN TIPS] VPNクライアントに固定IPアドレスを割り当てる

ただし、LAN側へのアクセスが必要なため、ルーティング情報をクライアントに設定するのも、クライアント別に設定しました。

OpenVPNサーバーの設定に下記を追加しました。
client-config-dir /tmp/openvpn/ccd

次に、クライアント証明書:client2で接続した場合のみ、IPアドレスを固定しルーティングを追加するように、下記のファイルを配置しました。
/tmp/openvpn/ccd/client2
ifconfig-push 10.8.0.101 10.8.0.102
push "route IPセグメント1 ネットマスク"
push "route IPセグメント2 ネットマスク"

再起動時にファイルが削除されてしまうため、/jffsにファイルを配置し、起動時コマンド設定でコピーするようにしました。

IPアドレスを固定したのは、iptableでこのIPのみLAN側にアクセスできるようにするためです。
ファイアーウォール設定に下記を追加しました。
iptables -I FORWARD 1 -i tun0 -o br0 -s 10.8.0.0/24 -j logdrop
iptables -I FORWARD 1 -i tun0 -o br0 -s 10.8.0.101 -j logaccept

この設定により、クライアント証明書:client2で接続した場合のみLAN側にアクセスして利用できるようになりました。

スポンサーサイト

PageTop

コメント


管理者にだけ表示を許可する
 

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。