VPN Client aus LAN aussperren.

Markus4210

Hallo zusammen!

Habe mir auf der Sense einen OpenVPN Server eingerichtet.
Das funktioniert sowiet auch prima!.

So wenn ich jetzt einen Benutzer für z.B. meinen Onkel anlege damit er mit meiner IP in´s Inet kann möchte ich aber für diesen Benutzer den Zugang zu meinem LAN sperren.
Wie stell ich das am besten an?

Besten Dank!

Mfg.

Markus

JeGr

Mit einer Firewallregel auf dem dann neu erscheinenden OpenVPN Interface. Dort wird dann eben Zugriff vom Subnetz OpenVPN (das Transfernet welches du auf dem OVPN Server konfigurierst) mit Ziel LAN network geblockt. Genauso wie anderer Traffic wenn er vom LAN/OPT1/WAN käme auch :)

Gruß

Markus4210

Hallo!

Oh Mann .. Da stand ich wieder wie die Kuh vorm neuen Tor…
Danke für´s aufmachen!

Klappt prima!

Markus4210

Ne leider doch nocht..

Das mit dem Blockieren über die Firewall Regel klappt zu gut.
Ich hab ja für mich selbst einen Client am Server - Der soll auch ins LAN kommen und nann noch die anderen Clients (Onkel usw.) die zwar fürs inet meine IP verwenden dürfen aber nicht ins LAN kommen sollen.

Mit der Firewallregel ist ja dann der ganze Traffic also auch meiner richtung LAN blockiert.
Jetzt hätte ich versucht einen zeiten VPN Server einzurichten.
Der erste mit Subnetz 192.168.10.0/24 und der zeite mit Subnetz 192.168.20.0/24.

Leider funktioniert das auch nicht entweder ich hab dann immer alles Blockiert oder alles offen.

Kann mir da nochmal jemand helfen?

Die EDIT:

So habs hin gebracht.

Hatte irgendwo einen Fehler hab einfach nochmal alles gelöscht und neu gemacht jetzt gehts.

Also ein VPN server mit eigener ca ,server und user cert auf z.b. Tunnelnetz 192.168.100.0/24.
und einen Server eben auch mit eigenen certs und ca auf z.b. Tunnelnetz 192.168.200.0/24.

Dann eine Firewall regel die auf dem Interface OpenVPN mit source 192.168.200.0/24 dest. LAN Net Blockiert.

Somit können dann alle Clients die auf dem Server mit Netz 192.168.200.0/24 sind nicht ins Lan und die vom Server 192.168.100.0/24 schon.

–----Nur so als info falls das nochmal wer braucht ;-)

Mfg.

Besten dank!

JeGr

@Markus: Wie in anderem Thread bereits geschrieben könnte man auch mit einem Server glücklich werden indem man besondere Clients einzeln eine fixe IP zuweist und den Rest dann einfach blockiert, aber das sei jedem selbst überlassen :)