Druhá guest VPN (co nevidí do LAN)

Mám pomocí Foris rozjetou VPNku. Vše funguje, vidím do vnitřní sítě. Spokojenost.
Prosím o radu, jak vytvořit druhou či další VPNku s jiným nastavením parametrů spojení.

Potřebuji aby:

  1. při připojení šel skrze VPN veškerý síťový provoz klienta
  2. po připojení veřejným klíčem chtěly obě VPN před vytvořením tunelu zadat heslo. Resp. co mám udělat na straně Turrise a openVPN klienta, aby po mě VPN chtěla nejen soubor s veřejným klíčem, ale k němu vyžadovala i heslo.
  3. aby byl klient nové VPN připojen jako guest (neviděl router IP, ani LAN/WiFi klienty)
1 Like

Obecne:
pokud mas jiz fungujici vpnku pro “domaci” tak celou cast co uz mas v /etc/config/openvpn zkopirujes jeste jednou, das jiny nazev rozhrani. zmenis port a takove ty obvykle veci kolem cest k certifikatum a logu a pod. Nasledne kolem firewallu a sitariny, namisto aby si ji dal do zony “lan”(br-lan) tak ji das do “guest_lan” (ktera se da pres foris pred-zapnout). Pak jeste budes muset vyklonovat a pripadne zmenit pravidla pro traffic/routovani atp. To ti zajisti izolaci od normalni lanky a uzivatelu na normalni wifi.
ad_1: tato moznost jde zapnout vypnout pres Foris/openvpn ( push "redirect-gateway def1"
ad_2: https://community.openvpn.net/openvpn/wiki/Concepts-Authentication kde je popsano jak a kdy se co overuje … muzes pouzit jak certifikaty, tak pres heslo (parametry “askpass” (kdyz budes chtit pouzit soubor s credentials), pripadne "auth-user-pass"
ad_3: vpn-guest by nemel videt nic krom brany a internetu, v pripade pouziti “client_to_client=1”, “topology=network” ma moznost videt ostatni vpn-guest-uzivatele …

Co se tyce samotneho spusteni, budes muset pres LUCI a nebo SSH, toto nejde udelat pres Foris.

1 Like