Ok, rozumiem ale jak to zrobić, czy mam wpisy dodać do serwera openvpn czy do klientów?

do jakiego pliku konfiguracyjnego to wsadzić ?

Zdecydowanie tak

Szczerze powiedziawszy to nie zwróciłem na to uwagi, już zmieniłem adresy.

Niestety,  żadne moje szamańskie zabiegi nie pomogły.

Nie mam zielonego pojęcia dlaczego to nie chce działać?

Bardzo przepraszam, składam ukłony, faktycznie jest, już się aktualizuje, zobaczymy co będzie po tym.

Też mam wrażenie że coś nie tak jest z tą wersją Openwrt, postawię nowszą i dam znać jak wyszło.

Witajcie,

Dzięki za poradę, ale niestety nie pomogło, w dalszym ciągu mam komunikacje tylko w jedną stronę, zastanawiam się co jest grane.
mam inną lokację z taką konfiguracją i tam wszystko zadziałało od kopa, jedynie trzeba było podać podsieć za klientem.

jedyna różnica to wersja 1043 są tam wersje V2 i gargoyle 1.8.0 może ta konkretna wersja gargoyla ma jakiś problem z takim routingiem.

Witam, przepraszam ale wygląda na to że nie sprawdziłem tego dokładnie, faktycznie reguła działa, bo klient vpn może połączyć się tylko z jednym adresem vpn, ale pingować może wszystkie, zasugerowałem się tym że pingi przechodzą, ale żadna inna łączność nie.
Więc ta reguła działa poprawnie.

A czy jesteś w stanie podpowiedzieć ja wyglądała by reguła blokująca cały ruch VPN oraz dopuszczająca do konkretnego hosta.
Bo z wcześniejszych postów wynika że aby dać dostęp konkretnemu klientowi tylko do jego hostów, to najpierw trzeba zablokować cały ruch, a potem dopuszczać po kolei klientów do konkretnych hostów.

Witam,
Co prawda było to jakiś czas temu, ale temat nadal aktualny, dopiero dziś miałem okazje oraz potrzebę blokowania hostów, wykorzystałem poradę Cezarego, ale chyba coś źle zrobiłem, bo klient vpn pomimo tej reguły w /etc/firewall.user nadal ma dostęp do wszystkich hostów po stronie LAN.

Może zwykły restart routera nie wystarczy i trzeba jakoś przeładować te ustawienia firewalla?

iptables -I FORWARD -p tcp -s 10.8.133.5 ! -d 192.168.123.30 -j DROP  tak ?

Czy ta reguła zapisze się na stałe czy muszę jeszcze jakieś skrypty pisać aby po uruchomieniu routera wszystko działało?

Witaj Cezary,
Dzięki za odpowiedź.
jak rozumiem "dobry_klient" w to miejsce mogę wstawić nazwę klucza klienta czy jego adres IP w podsieci openvpn?

I jeszcze jedno pytanie, jak by miała wyglądać regułka dla dostępu klienta vpn do kilku adresów w LAN?

Pozdrawiam

Problem który masz spowodowany jest tym że twój dostawca używa mikrotika na sieci, przerabiałem to, nie wiedzieć czemu ale mietek nie wspiera, ( rużnie się to nazywa) (pętla zwrotna i tym podobne) dlatego użytkownicy mający internet od tego samego dostawcy nawet posiadający stały zewnętrzny IP nie mogą wejść na twój serwer.