Compartir internet sólo a clientes VPN

Imagen de cyberalejo17
0 puntos

Hola a todos,
Atentamente solicito vuestra ayuda, estoy haciendo unas pruebas en mi servidor.
Instalé OpenVPN para poder tener seguridad en una red que se piensa implementar. Pero sólo deben poder acceder a Internet los miembros de la VPN, es decir, los que no tengan los certificados, sólo podrán hacer uso de los recursos locales, pero no tendrán salida.

Hasta el momento he logrado configurar, mediante squid e iptables la salida a Internet de toda la red, pero en la configuración de iptables no logro hacer que sólo tun0 tenga salida.

eth0=WAN x.x.x.x
eth1=Red local 192.168.0.0/24
servidor=192.168.0.1
dhcp=192.168.0.0/24 entre 192.168.0.5 - 192.168.0.200

vpn=10.16.0.0/24
servidor en la vpn=10.16.0.1

Existe la posibilidad que equipos externos (Internet), accedan a la VPN.

Los clientes son equipos con Windows, usando como cliente OpenVPN.
Éstos clientes están conectados por medio de un switch al servidor, es decir que el único que tiene salida a Internet es el servidor.

El tutorial principal que usé para la configuración del server y clientes fue:
http://www.linux-os.com.ar/linuxos/openvpn-en-debian-y-clientes-windows-...
Aunque he visitado cientos de páginas para documentarme y corregir ciertos elementos que en ese tuto faltan.

Llevo en esto varios dìas y no logo que me funcione. Cómo tengo que configurar los iptables? o que necesito hacer? Cualquier ayuda será bien recibida.

PD:

  • Recomiendan alguna aplicación para llevar un registro detallado de tráfico (tcp, udp.......), páginas visitadas, etc de los clientes de la VPN?
  • Cómo configuraría el server para que únicamente una ip de la VPN pueda acceder a esas estadísticas?
  • Cómo podría configurar un posible servidor DNS para que los que no tengan los certificados (no sean cleintes de la VPN) al intentar entrar a cualquier página les aparezca un mensaje que diga que sólo los usuarios registrados pueden acceder a Internet?
  • Cómo puedo configurar apache para que ciertas páginas ubicadas en /var/www sean visibles sólo a los clientes? (Teniendo en cuenta que la del mensaje de error será visible sólo a los no-miembros)

Muchas gracias.

Imagen de cyberalejo17
+1
0
-1

Ya he podido solucionar parte del problema.

Para que sólo pudieran navegar los que estàn en la VPN, configuré directamente Squid, poniendo que sólo acepte conexiones 10.16.0.0/24, y elimine el resto.

Es decir, que los que no hacen parte de la VPN, ven el tìpico mensaje de error:

ERROR
El URL solicitado no se ha podido conseguir
Acceso Denegado 

Y los que si son usuarios de la VPN navegan normalmente.

La cuestiòn es que se usa una polìtica permisiva en iptables, y no me agrada eso.

Estoy intando modificarlo para que funcione con todo en DROP, pero no logro hacer que los paquetes lleguen al servidor (los acepte).
En DROP, a los No usuarios les aparece el mesaje de error del proxy, pero a los de VPN, no les aparece nada. (Timed out).

+1
0
-1