[已解決]架設VPN Server限制連入者只能連內網

vpn vpn server

dick90012000 2022-10-18 13:13:04 ‧ 2233 瀏覽

分享至

我想架設一個VPN Server讓授權連進來的人可以訪問內網
但我不希望Client端也透過這個VPN連外網
有沒有什麼樣的VPN設定可以做這樣的限制

內網設備的OS：Windows 10和Ubuntu 22.04各一台，兩台皆可用於架設VPN Server，故不限Windows或Linux的解法

P.S.我知道Client端可以自己選擇要不要透過VPN連外網(例：Windows內建的VPN連線方式有「使用遠端網路的預設閘道」這樣的選項)但我希望由Server端強制限制，而非由Client端選擇

看更多先前的討論...收起先前的討論...

尼克 iT邦大師 1 級 ‧ 2022-10-18 13:57:34 檢舉

利用google搜尋可以發現很多資訊，另外也可以驗證是否是你需要的

dick90012000 iT邦新手 5 級 ‧ 2022-10-18 14:38:54 檢舉

其實提問前就有先google過了，但找到的都是教學如何架設VPN server，即使加上「限內網」、「只能內網」等關鍵字也無效，因為VPN本來就可以用來「連接僅限內網」的狀況，但我要的是「僅限連接內網」

阿恢 iT邦新手 4 級 ‧ 2022-10-18 15:24:04 檢舉

你的意思是，連上VPN後，要連上外網，就不透過此VPN再出去吧？啊這不就是通道分割嗎？意思是VPN Server在台灣，但你人在美國，除了需要用到內網的資源外，剩下的就不會連回台灣再連出去，而是直接透過美國那邊的網路就出去了。

https://www.askasu.idv.tw/index.php/2009/04/21/435/

黃彥儒 iT邦高手 1 級 ‧ 2022-10-18 16:51:24 檢舉

簡單暴力，VPN進來的網段在上層防火牆直接Block連外就好，想那麼複雜…

dick90012000 iT邦新手 5 級 ‧ 2022-10-18 23:12:51 檢舉

@阿恢
就是你說的那樣沒錯，只是你提供的網址我連不上去

@黃彥儒
所以是在上層防火牆把VPN Server的所有port都block掉，只留下VPN連線用的port的意思嗎?
但這邊上層用的防火牆似乎是極簡易型的，只能開關特定port，無法針對特定ip設定

obarisk iT邦研究生 1 級 ‧ 2022-10-19 07:52:58 檢舉

客戶端可以裝軟體的話。用wireguard可以輕鬆做到

obarisk iT邦研究生 1 級 ‧ 2022-10-19 07:54:26 檢舉

不過用防火牆直接把來自vpn ip的對外流量擋掉應該是最簡單的做法了

阿恢 iT邦新手 4 級 ‧ 2022-10-19 09:21:33 檢舉

那個網址掛了，不過你可以google ssl vpn 分割通道看看，因為你是架在windows或Linux上，所以我不確定有沒有這個功能。但我以前用過的fortigate或cyberoam都有此功能。

窮嘶發發發 iT邦高手 1 級 ‧ 2022-10-19 09:52:04 檢舉

建議用 Ubuntu 採用OPENVPN SERVER 架設
然後跟樓上說的一樣在 server 設定好 VPN 分割通道(VPN split tunneling) ，然後產生用戶端.openvpn 的連線檔案 ( 內含所有的設定跟帳號密碼以及連接資訊，用戶端安裝OPENVPN CLIENT APP，接著載入這個連線檔案，然後打完收工

aaron3399 iT邦好手 1 級 ‧ 2022-10-23 17:44:02 檢舉

從server設定配給VPN的DHCP，給一個不存在的GATEWAY IP，這樣外網應該就連不出去了.

dick90012000 iT邦新手 5 級 ‧ 2022-10-27 18:27:20 檢舉

感謝大家的回應

經嘗試過後選擇了Wireguard的方案
allowips設定為內網範圍

但因為wireguard的conf檔是明文
為避免使用者擅自修改conf中的allowip
同時採用了@黃彥儒的方案
用防火牆把不允許的部分都Block掉
這樣一來
如果使用者擅自擴張他的allowip就會害他自己上不了網

~~再次感謝大家的協助~~

登入發表討論