Open VPN Verbindungen pro User limitieren
-
Ja haben die selbe IP... Krieg ich auch so über unsere Mail notification mit.
Is genau so wie du beschreibst.
2ter client meldet sich erfolgreich an
Erster rennt ins timeout verbindet sich neu
2ter rennt ins timeout verbindet sich neu.... Usw
Mit > 3 Client wird insofern spannend weil du es nicht mehr sagen kannst wann wer wie ins timeout rennt ;)Ich bin mir ja auch gar nicht sicher ob man das mit einem Client spec override lösen kann... Ich muss mal die openvpn Doku durchforsten glaub ja auch nicht das wir die einzigen sind die sich über sowas gedanken machen.
Np
-
@noplan said in Open VPN Verbindungen pro User limitieren:
2ter client meldet sich erfolgreich an
Erster rennt ins timeout verbindet sich neu
2ter rennt ins timeout verbindet sich neu.... UswDas mit dem Neu-Verbinden ist mir gar nicht aufgefallen. Dafür habe ich vielleicht zu kurz getestet.
Es gäbe da auch nocht das "--single-session" Parameter. Keine Ahnung, ob man das hier Abhilfe schafft (im CSO), dass der Server keine zweite Verbindung zulässt. Ich wollte mir nicht die Mühe machen, das mit einem zusätzlichen User-Account zu testen.
-
@viragomann said in Open VPN Verbindungen pro User limitieren:
"--single-session" ParameterOha spannend...
-
--single-session
After initially connecting to a remote peer, disallow any new connections. Using this option means that a remote peer cannot connect, disconnect, and then reconnect.Kein selbst initierte Reconnect möglich? Glaub nicht, ob das hier gewünscht ist.
Müsste getestet werden. -
ich grab das Thema wieder mal hervor.
Vor allem, das Problem ist ja, ich hab viele User, 90% der User dürfen sich nur 1 mal verbinden. Das ist ja soweit kein Problem.
Allerdings habe ich User (oder eigentlich Clients, alle Linux) die z.B.
4 mal also für 4 Endgeräte die selben Zertifikate, Username und PWD haben, sich aber maximal 2 mal verbinden können sollen.MfG.
-
Ich Habs noch immer nicht getestet...
Aber wenn es im Client specific override keine Option für
"User darf sich nur 2x anmelden" aber keine 3x mit den gleichen credentials
Wird es eng2ter VPN server wo nur 1x anmelden erlaubt ist
Und mit Client specific override bei den clients was erlaubenOder am Server mit Client specific override auf 1x beschränken
Sonst Radius Server
Hmmm blöde geschichte
-
@markus4210
Ich muss da noch hinzufügen, mein Plan geht so nicht auf.
Ich habe auf einem Server mit net /30 Topologie, auf dem"Duplicate Connection" aktiviert ist, in meinem CSO nun das Subnetz auf einen /29er gesetzt.
3 Verbindungen hergestellt, allerdings bekamen alle Clients die erste verwendbare IP aus dem /29 Subnetz. Natürlich war nur eine davon zu gebrauchen.Ich denke nicht, dass sich das mit Subnet Topologie anders verhält. So wie ich es verstehe, wird da im CSO eine bestimmte IP aus dem Tunnelsubnetz gesetzt mit der Maske des Tunnels, und diese bekommt des Client dann.
Ich würde an deiner Stelle einen zweiten Server einrichten. Einen, der nur eine Verbindung je User erlaubt und einen, der mehrere erlaubt ("Duplicate Connection" aktiviert). Damit erreichst du relativ einfach und sicher, was du haben möchtest.
Einzig jenen Usern, die sich auf den neuen Server mit Duplicate Connection verbinden können sollen, musst du neue Zugangsdaten zukommen lassen.Grüße
-
@viragomann said in Open VPN Verbindungen pro User limitieren:
Einzig jenen Usern, die sich auf den neuen Server mit Duplicate Connection verbinden können sollen, musst du neue Zugangsdaten zukommen lassen.
aber das könnte er doch mit einem eintrag in der CSO realisieren ?
-
@noplan
Wie? Die Ausnahme stellen jene User dar, die mehrere Verbindungen aufbauen können sollen.
Wie das in einem CSO zu realisieren wäre, haben wir bislang noch nicht raus gefunden, oder? -
drum bin ich ja am heruumprobieren ...
wenn du nicht mit Radius arbeiten kannst willst darfst whatever und nur einige ausnahmen hast die mit gleichen credentials multi connect machen dürfen dann müsste dasmit 1 server no duplicate connection und cso machbar sein
funktioniert alles nicht wenn du mittels cso dem user eine definierte IP mitgibst so wie bei uns hieralle dürfen sich nur 1:1 anmelden die ausnahmen könne so oft sie wollen
aber das will er hier ja nicht
-
@noplan said in Open VPN Verbindungen pro User limitieren:
funktioniert alles nicht wenn du mittels cso dem user eine definierte IP mitgibst so wie bei uns hier
Die IP im CSO weglassen?? Diesen Gedanken hatte ich noch gar nicht gesponnen.
