OpenVPNでクライアント同士の接続を任意に制限する方法
- OpenVPNを使用している場合、クライアント同士の接続を任意に制限する方法について知りたいです。
- 現在、特定のパソコン(A)から他のVPNクライアント(B,C,Dなど)に対してリモート操作を行っていますが、BなどからAに接続できないようにしたいです。
- VPNクライアントには固定でIPアドレスを振り出しており、プロトコルはudpを使用しています。
- ベストアンサー
OpenVPNでクライアント同士の接続を任意に制限できますか?
OpenVPNでクライアント同士の接続を任意に制限できますか? 現在、OpenVPNにて「client-to-client」を有効にして、特定のパソコン(A)から他のVPNクライアント(B,C,D・・・)に対して1対nのリモート操作を行っております。 もちろんこの状態では、やろうと思えばBなどからAも操作できてしまいますので、それを防ぎたいのです。つまりBなどからAに対しては接続できないようにしたいのです。 ちなみにVPNクライアントには固定でIPアドレスを振り出しています。 プロトコルはudpを使用し、ルーティングモードで行っております。 アドバイスを宜しくお願い致します。
- TM31
- お礼率81% (91/111)
- ネットワーク
- 回答数1
- ありがとう数3
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
この要件だったらやり方は2つあるのではないかな。 1.Aに対して外部からの接続拒否を設定する。 設定を行うのはA。AのWindowsファイアーウォールなどで外部からの接続を拒否する。NIC単位ならOpenVPNクライアントに使っているTAPデバイスに対して拒否すればよい。 2.OpenVPN、client-to-client、ルーティングだと、ポート番号ベースだとファイアーウォールで設定する事になる。OpenVPNサーバーがLinuxならiptablesだな。この辺の話はFAQに載ってるはずだよ。多分「OpenVPN Bridging Routing」とかで検索したらたどり着けるはず。 仮にクライアントAに振り出しているネットワークが10.8.0.5/29、Bが10.8.0.9/29だとすると、10.8.0.5あるいは10.8.0.4/29の3389番あてのパケット(->リモートデスクトップの場合)をサクマ式ドロップス(TM)してやれば良い。
関連するQ&A
- OpenVPNについて
OpenVPNを利用したクライアント同士でのVPN通信を行おうとしています。 目的はリモートでのクライアントのメンテ&サポートです。 VPNサーバーはすでに構築できており、クライアント同士の通信テストもできました。 そこで質問が2つあります。 1.OpenVPNはソフトウェアVPNだから仕方がないのかも知れませんが、PPTPでのVPNなどに比べ、明らかに速度が遅いです。現在、VPNサーバーとして、メモリ384MBに増設した結構古いPCに、Ubuntuサーバー版を入れたものを使用しているのですが、VPNサーバーのスペックを上げることで、通信速度も上がるものなんでしょうか? 2.基本的にクライアントは起動時にVPNサーバーに接続するようにしたいです(ユーザーに意識させないようにするため)。ただし、VPN対象クライアント数が多いため、接続しっぱなしにはしたくないのです(サーバーリソースを食いそうなので)。つまり、クライアントは常に接続待ちの状態で、サーバーが接続を許可した時点で自動的に接続が確立されるようにはできないでしょうか?そして通信が終わったら、サーバー側で接続を切って、次の接続まで待機ということができますでしょうか? 上記の内容は、インターネットで検索しても見つけることができませんでした。(OpenVPNサーバーから強制的にクライアントを切断することはできるようですが・・・) アドバイスの程、どうか宜しくお願いいたします。
- ベストアンサー
- ネットワーク
- OpenVPNについて、ご質問させていただきます。
OpenVPNについて、ご質問させていただきます。 (ネットワーク初心者です。) OpenVPNでは、サーバ-クライアントにそれぞれOpenVPNをインストールし、 configなどの設定をしてVPNを構築するものと把握しておりますが、 サーバ、クライアントのどちらかが、OpenVPNをインストールできない環境の場合、 VPNの構築はやはり無理なのでしょうか? (片方がブロードバンドルーターなどの場合。。) 識者の方から見たらおかしな質問かもしれません・・・。 現在訳あって、ルーターの先の端末と直接VPN接続ができない状態での VPN構築について試行錯誤しておりまして。。 アドバイスなどがあれば何卒、宜しくお願い致しますm(_ _)m
- ベストアンサー
- ネットワーク
- OpenVPN ブリッジ接続時のブロードキャストの制限方法
OpenVPN を使ってサーバーならびにクライアントの両方でブリッジ接続としています。ブロードキャストがOpenVPN を通じて隅々まで通るため、それを利用するソフトウェア(この場合はTomcat)には有益です。 ところがクライアントならびにサーバーのそれぞれにあるDHCPサーバー (この場合はCTU)が競合してしまい、時々相手先のLAN に属するIPアドレスが振られてしまいます。 iptables でDHCP の使うUDP67,68 のブロードキャストをに乗らないように試しましたが、どうもブリッジ接続の為効果が出ないようです。 OpenVPN の運用上、ありがちな問題だと思いますが、どのように対処してみえるのでしょう?
- 締切済み
- ネットワーク
- OpenVPNで接続時にコマンドを実行する方法
OpenVPNを使って、インターネット経由で会社のネットワークに外部から接続しています。 OpenVPNクライアント機はWindows7Proで、OpenVPNサーバー機は(未だに)XpProです。 会社には複数の異なるネットワークのセグメントにアクセスする必要から、接続のたびに「route add <a.b.c.0> mask 255.255.255.0 <gateway>」コマンドを幾つか打ち込み、切断のたびに「route delete <a.b.c.0>」コマンドを幾つか打ち込んでおり、毎回なので手間を感じています。 1.OpenVPNクライアントが接続するときや切断するときに、これらを自動的に実行することは可能でしょうか? 2.OpenVPNクライアントの接続、或いは切断を、ショートカットのようなクリックで実行することは可能でしょうか? 3.OSが起動する時点で、自動的にOpenVPNクライアントも接続することは可能でしょうか? 4.外部からの応答速度を改善するには、VPNのサーバースペックを上げると、改善するものでしょうか?
- 締切済み
- ネットワーク
- OpenVPN導入後ローカルに接続できなくなった
OpenVPNをインストールしたらローカル 社内の担当者が回答してくれないので、ご教示いただけると助かります。 その担当者がPC(Windows 7 Professional)にOpenVPNクライアントをインストールしたのですが、 インターネットに接続できるものの、同一セグメント上の他PCやアクセス権を設定していないNAS、同様に共有フォルダなどに接続できなくなりました。 ネットワークエラーというウインドウが表示されます。 「\\(NASなどのIP)にアクセスできません」という内容です。 そこで、担当者が作成したマニュアルに従ってクライアントソフトを削除しましたが、それでもローカルに接続できません。 質問です。 1)現状からローカルに接続できる方法があればご教示ください 2)社内的に本件が多発しているようなのですが、原因はなんだと思われますか VPNの管理設定の担当者は同じで、過去にWindows XPでも同じ現象があったようです。 3)VPNは特定のサーバーと通信するようですが、サーバーのIPや通信のルートを特定するコマンドはありますか ※OpenVPN削除後もVPNサーバを介し通信しているのではないかという素人考え 4)OpenVPNを導入したPCのHostsファイルは中身が空白になります。関係ありますでしょうか。 もともとは、デフォルトで記述されている"#"付きの説明文だけです。 PC環境は以下です。 なお、担当者から配布されたOpenVPNのマニュアルなどはすべて回収されてしまいましたので、OpenVPN関連の仕様は不確かです。すいません。 また、ネットの情報では、VPNのネットワーク接続のキャプチャがあって、「VPN接続時にローカルも接続する」旨のチェックボックスがあるものが散見されましたが、自分の環境ではそのような項目やタブはありませんでした。 クライアントのシステム:Windows 7 Professional 導入ソフト:OpenVPN 2.3.0 TAP-Win32 Adapter V8 Symantec Endpoint Protection(クライアントPCでは設定変更不可) 他:ネットワーク接続の中に「TAP-Win32 Adapter V8」が残っています 新規作成したユーザーアカウントでも同じ現象でした VPNのサーバーは今も稼働しているらしいです VPNのサーバーのIPは不明です ローカルの資産へPingは通ります
- ベストアンサー
- ネットワーク
- netscreenVPNとの接続クライアント
お世話になります。 この度netscreenを使用したVPNの導入を検討しているのですが、 クライアント(Windows端末)にはopenVPNをインストールして接続することはできるのでしょうか。 それともクライアント側のネットワークにもnetscreenを導入する必要があるのでしょうか。 VPN初心者のため、ご教授いただければ幸いです。 よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- ホームページをみれるクライアントを制限したい
ホームページをみれるクライアントを制限したい いつもお世話になりますm(__)m ネットワークに初心者なのでザックリした質問になりますが、宜しくお願い致します。 例えば、http://example.com/というホームページがあります。 今は誰でもアクセスできるのですが、このURLで何らかのWebサービスを始めるとして、事前に登録したユーザーしかアクセスできないような仕組みを考えています。 そこで、OpenVPNについていろいろ調べており、ホスティングサービスでもOpenVPNに対応しているサーバーを見つけ、早速申し込み、OpenVPNで接続できるとことまでたどり着きました。 ※クライアントは、OpenVPN GUIというソフトを使い、サーバーに接続出来ています。 OpenVPNでクライアントとサーバーが接続できたので、http://example.com/へのアクセス制限を設定するには、iptablesというファイアウォールを設定すればいいと思い、いろいろ試行錯誤しながら、時にはSSHすら繋がらなくなる事態になったり、四苦八苦しています。 そこで、具体的にどのような設定をすれば良いのか、お詳しい方ヒントだけでも教えていただけないでしょうか? 良ければ、このような構成での説明を書いているサイトをご紹介いただければ幸いです。 なにぶん素人で勉強しつつ取り組んでおりますので、ご教授のほど宜しくお願い致しますm(__)m
- ベストアンサー
- ネットワーク
- OpenVPNサーバーの構築とVPNルーティング?
現在、OpenVPNで社内VPNサーバーを構築しようと考えています。 目的は、社員の外出先でのインターネット利用を安全なものにするためです。 外出先から、社内 VPN サーバーにアクセスするだけではなく、 そこからさらに、インターネットアクセスもできるようにしたいと考えています。 (VPN サーバーのインターネット接続を利用するイメージ) イメージ [ 社員(外出先PC) ] → [ 社内 VPN サーバー] → [ OKWave 等インターネット上のサービス ] 社員は、外出先のPC( Win、Mac、iPhone、iPad )から VPN 接続を行い、 VPN サーバーで認証を済ませた後、インターネット接続を行う。 なお、社員数は30名ほどです。 本番環境では、VPNサーバーは、他社のホスティングサービス上に設置します。 こういった方法について、実例や参考となるサイトなど ご存知の方いましたら、ご教示いただけないでしょうか。 また、こういったことは可能なのでしょうか? 私が調べた限りでは、いい例や設定方法が紹介されたサイトは見つかりませんでしたが、 「OpenVPN 2 HOWTO 日本語訳」( http://freescitech.net/2/wiki/index.php?OpenVPN%202%20HOWTO%20%E6%97%A5%E6%9C%AC%E8%AA%9E%E8%A8%B3#n1227760 ) によると、「VPN上のクライアントトラフィック(含Web)をルーティングする」ということが最も近い形のように思います。 上記方法を要約すると、通常のVPN設定 (社員がVPNサーバーに接続して、社内LANを利用するだけの設定)を行った後、 更にサーバーの設定ファイルに、 push "redirect-gateway def1" を追加します。 これによって、クライアント(社員)の全てのネットワーク要求がVPN 上に送られ、 あとは、VPN サーバー上でそれらを適切にルーティングすれば良いようです。 (DNS 設定、NAT 設定などが必要。) この方法について、もう少し詳しく説明されているサイトが見つかるとよいのですが・・・。 また、同サイトにてこの方法には以下の問題があることが報告されています。 ・クライアントがローカルDHCPサーバにアクセスできなくなる。 (オプションredirect-gatewayによって、クライアントの全てのネットワーク要求が VPN上に送られるため、クライアントがローカルDHCPサーバに接続できなくなり、 (DHCPメッセージがVPN経由となったため), 結局ローカルDHCPからもらったIPアドレスが使えなくなることがある) ・Windowsクライアントに対してDNSアドレスを使えることについて、問題点がある。 (日本語訳が変?でよくわからない) ・クライアントにおいてWeb閲覧のパフォーマンスが体感的に落ちることがある。 このような問題もあるため、やりたいことが実現できるのかどうかが不明です。 特に一つ目の項目(クライアントのDHCPアクセス問題)について、 対処方法があるのかどうか、についての参考情報も探しておりますので、 ご存知でしたらご教示頂けませんでしょうか。 よろしくお願い申し上げます。
- ベストアンサー
- ネットワーク
- OpenVPNとIPによるアクセス制限
可能かどうかが気になって質問させていただきます。 どうぞ宜しくお願いします。 現在、ラピッドサイトにてOpenVPN環境にて顧客管理用のCRMの運用を考えております。 VPSのオプションプランでOpenVPNを使わせていただき、各PCに証明書を発行し、 特定のIPアドレスで接続しています。(10.xx.xx.8 のようなアドレス) このCRMにアクセスする際、VPNで割り振られたアドレス以外のアドレスで接続しないよう、 ファイアーウォール設定をしたいと思うのですが、そのようなことは可能でしょうか? ・10.xx.xx.1/hoge ←このアドレスだと、OpenVPNでないと接続できない ・http://www.xxx.xxx.com/hoge ←このアドレスだと、OpenVPNでなくても接続できてしまう サーバー会社に問い合わせたところ、iptablesを使って特定のIPで制限をかければ、 割り振られているOpenVPNのアドレス以外でのアクセスを全て不可にすることができる、と聞いたのですが、それ以上のことはサポート外のため、そもそもできるのかどうかも不安になってきました・・・。 OpenVPNというものが全く初心者なので、そもそもの考え方が間違っているようにも思います。 ぐぐってみたのですが、「IP固定」や、「特定のIPをアクセス不可にする」とかはあるのですが、 「特定のIPのみを許可する 10.xx.xx.」というのがどうにも見当たりません。 可能かどうかだけでも結構ですので、ご指導いただければと思います。 宜しくお願いします。
- 締切済み
- ハードウェア・サーバー
- OpenVPNでの社内LANへの接続について
お世話になっております。 掲題の件につきまして、皆様のお知恵を頂きたく投稿させて頂きました。恐れ入りますが、アドバイスを頂けると助かります。 現在社内にて営業部門より社外でも社内のネットワークにあるデータベースに接続したいとの希望があり、OpenVPNを構築し環境を整えようとしております。何故OpenVPNについては無知なもので、資料などを参考に構築してみたものの、ローカルエリア内では接続の確認は出来たものの、外部から社内ネットワークの接続ではどうしても確立しないようで、頭を抱えています。 下記のようなネットワーク構成の場合、どのような設定が必要になってきますでしょうか。 【現在のネットワーク】 Internet → ルーター → Proxy Server → 社内エリア → データベースサーバ(これに接続したい) 外からは、unnumbered接続を行っていますのでルーターにはIPアドレスがありません。ProxyサーバのWAN側のインタフェースにグローバルIPアドレスが付加されています。 行いたいことは、外部からProxyを通過して、社内にあるデータベースサーバにアクセス出来るVPNを構築することです。 ルーティング・ブリッジ接続ともに行ってみましたが、クライアントからはProxy ServerのグローバルIPアドレスに接続できないとのエラーが表示されています。 Proxyのポートは80を空けていますので、TCPの80ポートでサーバとクライアントの設定をしていますが、接続できていません。 勉強不足が目に見えて恥ずかしく思っていますが、上記のようなネットワークの場合、どのような接続にするべきなのか例をあげて頂けると有難く存じます。 宜しくお願い致します。
- 締切済み
- ネットワーク
お礼
お礼が遅くなりまして申し訳ありません。 ご回答どうも有難うございます。 1については納得です。確かに基本ですよね。 VPNサーバー設定に目が行ってて基本的なことが疎かになっていました。 2については、私もインターネットで色々調べていて、iptablesが有効なのかなと思い始めていました。 それが今回いただいたアドバイスにて確信に変わりましたので、早速試してみたいと思います。 本当にどうも有難うございました。
補足
iptablesを勉強し、ここ数日色々と試してみましたが、残念ながらうまく動作してくれません。 Aが10.8.0.5、Bには10.8.1.1 を固定で振り出しています。 AからBの接続はOK、BからAの接続はNGとしたい場合 iptables -A FORWARD -s 10.8.0.0/24 -d 10.8.1.0/24 -j DROP では思うように制御できません。 ちなみに iptables -A INPUT -s 10.8.1.0/24 -j DROP にてBからOpenVPNサーバーへの接続を拒否することはできました。 BからAへの接続拒否の方法についてご教授願えませんでしょうか。 宜しくお願いいたします。