如何阻止通过OpenVPN访问局域网？

Question

我似乎遇到了与大多数设置OpenVPN的人相反的问题:我似乎不能将VPN客户端限制在VPN子网上。相反，一旦客户端建立了连接，他们就可以访问我的OpenVPN服务器的局域网上的任何IP地址，而不管子网如何。

我不想要这种行为。

服务器

我正在使用Linksys WRT54GL路由器运行TomatoUSB的Build 54 (NoUSB VPN版本)。我通过Tomato GUI中的'VPN隧道‘选项配置了OpenVPN；下面是启动服务时使用的config.ovpn转储：

daemon
server 10.8.0.0 255.255.255.0
proto udp
port 1194
dev tun22
comp-lzo adaptive
keepalive 15 60
verb 3
push "dhcp-option DNS 192.168.1.1"
push "redirect-gateway def1"
ca ca.crt
dh dh.pem
cert server.crt
key server.key
status-version 2
status status

客户端

我正在运行Windows7HomePremium64位的笔记本电脑上使用OpenVPN 2.1.4进行测试。一旦客户端连接，我就使用whatsmyip.org来验证我在浏览时伪装成服务器的IP地址。一切都正常运作。客户端配置如下所示：

client
dev tun
proto udp
resolv-retry infinite
verb 3
nobind
comp-lzo
persist-key
persist-tun
remote REDACTED
ca ca.crt
cert client.crt
key client.key
redirect-gateway

问题

作为客户端，我可以成功地平10.8.0.1，但也可以在192.168.1.0子网中选择任何地址。我不希望我的VPN客户端具有这种能力；我希望连接只是一个隧道，而客户机则包含在10.8.0.0子网中。

在'VPN隧道‘页面的高级选项卡下，我确保没有选中“将LAN推送到客户端”。服务器配置不包括通常将局域网推送到客户端的push "route 192.168.1.0 255.255.255.0"行。然而，作为一个VPN客户端，我可以在服务器的LAN中平并访问任何IP地址。

我确信我做错了什么，但我需要一些指导来解决这个问题。

Answer 1

听起来你的路由器仍然在它所知道的不同网络之间进行路由。你检查过设备上的路由表了吗？

另一种选择是尝试配置设备上的防火墙，以阻止来自vpn网络的流量传输到其他网络。

以下是我的两个建议:检查linksys上的路由表，并考虑修改防火墙规则。番茄使用iptables，所以这当然是可能的。