Solusi 1:
Jika client-to-client diaktifkan , server VPN meneruskan paket klien-ke-klien secara internal tanpa mengirimkannya ke lapisan IP host (yaitu ke kernel). Tumpukan jaringan host tidak melihat paket tersebut sama sekali.
.-------------------.
| IP Layer |
'-------------------'
.-------------------.
| TUN device (tun0) |
'-------------------'
.-------------------.
| OpenVPN server |
'-------------------'
^ |
1 | | 2
| v
.----------------. .----------------.
| Client a | | Client b |
'----------------' '----------------'
Jika client-to-client dinonaktifkan , paket dari klien ke klien lain melewati lapisan IP host (iptables, tabel perutean, dll.) dari mesin yang menghosting server VPN:jika penerusan IP diaktifkan , host mungkin meneruskan paket (menggunakan tabel perutean) lagi ke antarmuka TUN dan daemon VPN akan meneruskan paket ke klien yang benar di dalam terowongan.
.-------------------.
| IP Layer | (4) routing, firewall, NAT, etc.
'-------------------' (iptables, nftables, conntrack, tc, etc.)
^ |
3 | | 5
| v
.-------------------.
| TUN device (tun0) |
'-------------------'
^ |
2 | | 6
| v
.-------------------.
| OpenVPN server |
'-------------------'
^ |
1 | | 7
| v
.----------------. .----------------.
| Client a | | Client b |
'----------------' '----------------'
Dalam hal ini (client-to-client dinonaktifkan), Anda dapat memblokir paket klien-ke-klien menggunakan iptables:
iptables -A FORWARD -i tun0 -o tun0 -j DROP
di mana tun0 adalah antarmuka VPN Anda.
Solusi 2:
Anda perlu melakukan lebih dari sekadar mengomentari arahan seperti yang tertulis di sini:
Batalkan komentar direktif ini agar klien yang berbeda dapat "melihat" satu sama lain.Secara default, klien hanya akan melihat server.Untuk memaksa klien agar hanya melihat server, Anda juga perlu mem-firewall TUN/TAP server dengan tepat antarmuka.
Oleh karena itu, Anda dapat mengonfigurasi kebijakan alamat IP terpisah untuk setiap klien. Lihat bagian Mengonfigurasi aturan khusus klien dan kebijakan akses di sini:https://openvpn.net/index.php/open-source/documentation/howto.html.dan di sini:https://www.sbarjatiya.com/notes_wiki/index.php/Configuring_separate_IP_and_firewall_rule_for_each_openvpn_client.
Solusi 3:
Paragraf selanjutnya dari halaman manual untuk openvpn jawab pertanyaan ini, meskipun belum tentu jelas pada bacaan pertama:
Karena mode server OpenVPN menangani banyak klien melalui antarmuka tun atau ketuk tunggal, ini adalah router yang efektif.
--client-to-clientflag memberi tahu OpenVPN untuk merutekan lalu lintas klien-ke-klien secara internal daripada mendorong semua lalu lintas yang berasal dari klien ke antarmuka TUN/TAP.Saat opsi ini digunakan, setiap klien akan "melihat" klien lain yang sedang terhubung. Jika tidak, setiap klien hanya akan melihat server. Jangan gunakan opsi ini jika Anda ingin lalu lintas terowongan firewall menggunakan aturan khusus per klien.
client-to-client opsi short-circuit tabel routing normal di server. Menghapusnya tidak mencegah klien menggunakan tabel perutean server. Jika tabel perutean tersebut - dan konfigurasi firewall server - mengizinkan klien untuk melihat satu sama lain, maka mereka akan dapat melakukannya.