OpenVPN Rule
-
Hallo,
ich versuche, deine Herausforderung zu verstehen:
Der OpenVPN Server ist die pfSense.
Alles, was du als "Client(s)" bezeichnest, sind VPN-Clients.
Der Administrator ist selbst VPN-Client.Ist das so richtig?
-
@esquire1968-0 said in OpenVPN Rule:
Mit dem aktuellen Setting haben alle auf alles Zugriff.
Ich verstehen den Sinn dieser Aussage nicht. Ist hier ein site2site Szenarium mit OpenVPN
gewünscht oder was? Wie ist die Struktur der lokalen und entfernten Netze?LG
-
Sorry, die Anfrage war nicht klar formuliert!
pfSenses 10.8.0.1 ist der OpenVPN Server
Mehrere Clients (zum Teil pfSensen aber auch andere) verbinden sich zu diesem Server und erhalten eine Adresse 10.8.0.11 bis 10.8.0.20
Ein Client (dient als gemeinsamer Fileserver hinter einer pfSense) verbindet sich ebenfalls mit dem Server und erhält die IP 10.8.0.103
Ich möchte, dass alle Clients (10.8.0.11 bis 10.8.0.20) vollen Zugriff auf den Fileserver (10.8.0.103) haben aber nicht auf andere Clients bzw. diese auch gar nicht sehen.
Dies möchte ich mit einer Regel auf dem Server (10.8.0.1) sicherstellen.
Danke!
Thomas -
In den OpenVPN Einstellungen den Haken bei „Inter-client communication“ Allow communication between clients connected to this server rausnehmen.
Bei local networks einfach nur die Fileserver IP/32 eintragen. Somit haben alle Clients, die sich mit dem OpenVPN Server verbinden, nur Zugriff auf den Fileserver.
-
Sorry, Client 10.8.0.11 soll Zugriff auf alle Clients haben
-
dann erlaube als erstes den Zugriff der 11 aufs Netzwerk und der restlichen Clients auf den Fileserver, dann blockiere in der Firewallregel für das OpenVPN Interface den Zugriff auf das Netzwerk für die Clients 12-20
-
Klappt irgendwie nicht. Ich nehme den Haken bei Kommunikations zwischen den Clients erlauben raus, trotzdem sieht jeder jeden?
-
@esquire1968-0
Ich fürchte, dein Vorhaben wird so nicht umsetzbar sein.
Die pfSense kann den Traffic zwischen den Clients eines OpenVPN Servers nicht filtern, ebenso nicht ,wie den zwischen Clients eines anderen Interfaces.Den Haken bei Inter-client communication raus sollte allerdings schon Verbindungen zwischen den Clients unterbinden. Das macht OpenVPN selbst.
Du könntest dann einen eigenen VPN Server für den Fileserver und den Admin einrichten und jedem Server ein Interface zuweisen, um dein Ziel zu erreichen. Dann kann auf diesen Interfaces die benötigen Regeln einrichten und die auf OpenVPN entfernen.
Möchtest du es zwingend mit nur einem Server lösen, könntest du den NAT Reflection Proxy dafür missbrauchen, um TCP und UDP-Traffic zu zwischen bestimmten IPs zu ermöglichen. Habe ich aber so noch nicht eingesetzt und möchte es auch nicht empfehlen.
-
Vielen Dank für die Ausführungen. Offensichtlich stellt sich die Sache schrieriger dar als gedacht.
Die Lösung mit einem zweiten OpenVPN Server klingt interessant, ich werde das mal probieren. Allerdings klappt das mit der Einstellung Inter-client communication nicht! Haken ist weg, OpenVPN Dienst neu gestartet, trotzdem kann ich auf jeden Client zugreifen.
Thomas
-
@esquire1968-0 said in OpenVPN Rule:
trotzdem kann ich auf jeden Client zugreifen
Wer ist ich?
Ein OpenVPN Client, der durch den OpenVPN Parameter "Inter-client communication" nicht auf
andere Clients zugreifen kann?Eine sinnvolle Netzwerkstruktur und "CSC Overrides" wären bei der Lösung hilfreich.
LG
-
Bei meinem OpenVPN RAS ist Inter-client communication deaktiviert und alle Clients folgen den Firewall Regeln die ich festgelegt habe, auch innerhalb meines Tunnel Netz 10.1.10.0/24
-Rico
-
Danke für Eure Tipps! Scheint gelöst zu sein!
Inter-client communication ist deaktiviert. Folgenden Regeln habe ich gesetzt:
