Logische Trennung von zwei OpenVPN Netzen auf einem Server

S

S1lv3R

New Member
Hallo,

tolles Forum erstmal, ich bin schon länger stiller Mitleser und habe mich nun mal registriert, da ich Hilfe bei der Konfiguration von Samba brauche.

Bis jetzt haben wir für unser kleines Unternehmen einen Server mit OpenVPN, Samba und e-groupware genutzt. Nun möchten wir einem befreundeten Kleinunternehmen auch diesen Service bereitstellen - ohne einen weiteren Server anzuschaffen.

OpenVPN ist bereits eingerichtet. Unser Netz ist 10.85.234.0 (Beispiel) das VPN-Netz für das befreundete Unternehmen ist 10.85.233.0. In der eGroupware habe ich es mit vhosts im Apache schon so hinbekommen, dass die Netze halbwegs getrennt sind. Gibt es vielleicht eine sicherere Methode als den vHost mit <VirtualHost 10.85.234.101:80> auf das VPN-Netz zu beschränken?

In der smb.conf beschränke ich im Moment den Zugriff auf die Freigaben, dadurch das ich den Server nur auf dem VPN-Interface lauschen lasse (interfaces = tap0).

Wie kann ich in Samba einstellen das ein bestimmtes Share nur aus einem bestimmten Netz zu erreichen ist?

Danke im voraus.

Gruß,
S1lv3R
 
smb.conf said:
[SHARE]
hosts allow = 10.85.234.0/255.255.255.0
Click to expand...

Falls möglich würde ich auf sem Server generell Routing verbieten (ip_forward=0), dann gibt's auch keinen direkten Verkehr zwischen tap0 und tap1.
Ansonsten mittels passender iptables-Regel.

Auch möglich (wenn auch deutlich ressourcenfressender) wären zwei Apache-Instanzen, die jeweils nur auf eine IP gebunden sind.
 
Whistler said:
Falls möglich würde ich auf sem Server generell Routing verbieten (ip_forward=0), dann gibt's auch keinen direkten Verkehr zwischen tap0 und tap1.
Ansonsten mittels passender iptables-Regel.

Auch möglich (wenn auch deutlich ressourcenfressender) wären zwei Apache-Instanzen, die jeweils nur auf eine IP gebunden sind.
Click to expand...


Danke für deine Hilfe mit der Samba-Konfiguration. Beim Apache muss glaube ich die Konfiguration mit den vhosts erstmal reichen.

IP-Forward ist schon deaktiviert. Die Frage der Sinnhaftigkeit von IPTables hatte ich mir aber auch schon gestellt, aber irgendwie fällt mir dazu keine passende Regel ein, die wirlich noch dazu dienen könnte, die beiden Netze und die Dienste effektiv zu trennen (abgesehen davon das Routing tap0 <<--> tap1 zu verhindern).

Gibt es bezüglich der Sicherheit in diesem Setup eigentlich sonst noch irgendwas zu beachten?
 
You must log in or register to reply here.
Back
Top