VPN Server met uitsluitend toegang tot lokale resources

maandag 4 december 2017 13:47

Acties:

Topicstarter

Ik wil een VPN server werkend krijgen die verbonden (niet zelf beheerde) clients alleen toegang geeft tot het interne netwerk. Het gebruiken van de (remote) gateway om via de VPN server te verbinden met het internet wil ik niet toestaan.

Waar/hoe kan ik dit het beste instellen:

VPN server
DNS
Firewall
Routing
... ?

Ik ben voornemens de L2TP VPN server te draaien op mijn Synology, of op een router. Als ik specifieke apparatuur nodig heb hoor ik dat graag

maandag 4 december 2017 20:23

Thralas

iTeV schreef op maandag 4 december 2017 @ 16:36:
Disclaimer: ik ben geen iptables guru

Gerouteerd verkeer gaat niet door de INPUT chain. En je zult nooit het gateway IP terugvinden in gerouteerde packets, deze wordt aangesproken dmv. z'n MAC-adres (op layer 2 dus).

Aangenomen dat je een layer 3 VPN heb met een vrij open FORWARD chain, tun device tun0, LAN 192.168.1.0/24:

iptables -I FORWARD -i tun0 -d 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -j DROP

Of wat ook kan, maar lelijk is (gaat uit van ACCEPT policy):

iptables -I FORWARD -i tun0 ! -d 192.168.1.0/24 -j DROP

McOrmick schreef op maandag 4 december 2017 @ 14:27:
Ik heb gekeken naar Mikrotik en Ubiquiti, maar prefereer een goede grafische beheer interface.\

edit:
LEDE maar geïnstalleerd op de TL-WDR4300. Firewall Traffic Rules werken hier wel.

Als je LEDE acceptabel vindt dan heeft MikroTIk/Ubiquiti toch een veel betere grafische interface?

De 'grafische interface' (Winbox) van MikroTik is wmb. prima voor iemand die weet hoe een netwerk werkt. Geen marketingbullshit, geen verstopte knopjes.

maandag 4 december 2017 14:20

Acties:

lier

MikroTik nerd

Welke router gebruik je?

Eerst het probleem, dan de oplossing

maandag 4 december 2017 14:27

Acties:

McOrmick

Topicstarter

Momenteel een TL-WDR4300 met DD-WRT v24-sp2, maar die heeft geen IPsec ondersteuning, en de "Access Restrictions" zijn broken in die versie. Om toch IPSec te krijgen run ik nu een VPN server op Synology, maar die package lijkt internetverkeer niet te kunnen uitsluiten.

Ik heb gekeken naar Mikrotik en Ubiquiti, maar prefereer een goede grafische beheer interface.\

edit:
LEDE maar geïnstalleerd op de TL-WDR4300. Firewall Traffic Rules werken hier wel.

[ Voor 12% gewijzigd door McOrmick op 04-12-2017 16:09 ]

maandag 4 december 2017 16:36

Acties:

iTeV

Als het goed is kan dit met een simpele IPTables command behaald worden:

code:

1	iptables -A INPUT -s 10.8.0.0/24 -d 192.168.1.1 -j DROP

In dit geval vervang je 192.168.1.1 met jouw gateway IP

Disclaimer: ik ben geen iptables guru

[ Voor 63% gewijzigd door iTeV op 04-12-2017 16:38 ]

Are you a one or a zero

maandag 4 december 2017 20:23

Acties:

Beste antwoord ✓

Thralas

iTeV schreef op maandag 4 december 2017 @ 16:36:
Disclaimer: ik ben geen iptables guru

Gerouteerd verkeer gaat niet door de INPUT chain. En je zult nooit het gateway IP terugvinden in gerouteerde packets, deze wordt aangesproken dmv. z'n MAC-adres (op layer 2 dus).

Aangenomen dat je een layer 3 VPN heb met een vrij open FORWARD chain, tun device tun0, LAN 192.168.1.0/24:

iptables -I FORWARD -i tun0 -d 192.168.1.0/24 -j ACCEPT
iptables -I FORWARD -j DROP

Of wat ook kan, maar lelijk is (gaat uit van ACCEPT policy):

iptables -I FORWARD -i tun0 ! -d 192.168.1.0/24 -j DROP

McOrmick schreef op maandag 4 december 2017 @ 14:27:
Ik heb gekeken naar Mikrotik en Ubiquiti, maar prefereer een goede grafische beheer interface.\

edit:
LEDE maar geïnstalleerd op de TL-WDR4300. Firewall Traffic Rules werken hier wel.

Als je LEDE acceptabel vindt dan heeft MikroTIk/Ubiquiti toch een veel betere grafische interface?

De 'grafische interface' (Winbox) van MikroTik is wmb. prima voor iemand die weet hoe een netwerk werkt. Geen marketingbullshit, geen verstopte knopjes.

Vraag

Beste antwoord (via McOrmick op 13-12-2017 12:55)

Alle reacties