Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Open VPN Verbindungen pro User limitieren

    Scheduled Pinned Locked Moved Deutsch
    18 Posts 4 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • noplanN
      noplan @viragomann
      last edited by

      @viragomann

      Ja haben die selbe IP... Krieg ich auch so über unsere Mail notification mit.

      Is genau so wie du beschreibst.
      2ter client meldet sich erfolgreich an
      Erster rennt ins timeout verbindet sich neu
      2ter rennt ins timeout verbindet sich neu.... Usw
      Mit > 3 Client wird insofern spannend weil du es nicht mehr sagen kannst wann wer wie ins timeout rennt ;)

      Ich bin mir ja auch gar nicht sicher ob man das mit einem Client spec override lösen kann... Ich muss mal die openvpn Doku durchforsten glaub ja auch nicht das wir die einzigen sind die sich über sowas gedanken machen.

      Np

      V 1 Reply Last reply Reply Quote 0
      • V
        viragomann @noplan
        last edited by viragomann

        @noplan said in Open VPN Verbindungen pro User limitieren:

        2ter client meldet sich erfolgreich an
        Erster rennt ins timeout verbindet sich neu
        2ter rennt ins timeout verbindet sich neu.... Usw

        Das mit dem Neu-Verbinden ist mir gar nicht aufgefallen. Dafür habe ich vielleicht zu kurz getestet.

        Es gäbe da auch nocht das "--single-session" Parameter. Keine Ahnung, ob man das hier Abhilfe schafft (im CSO), dass der Server keine zweite Verbindung zulässt. Ich wollte mir nicht die Mühe machen, das mit einem zusätzlichen User-Account zu testen.

        noplanN 1 Reply Last reply Reply Quote 0
        • noplanN
          noplan @viragomann
          last edited by

          @viragomann said in Open VPN Verbindungen pro User limitieren:
          "--single-session" Parameter

          Oha spannend...

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @noplan
            last edited by

            @noplan

            --single-session
            After initially connecting to a remote peer, disallow any new connections. Using this option means that a remote peer cannot connect, disconnect, and then reconnect.

            Kein selbst initierte Reconnect möglich? Glaub nicht, ob das hier gewünscht ist.
            Müsste getestet werden.

            M 1 Reply Last reply Reply Quote 0
            • M
              Markus4210 @viragomann
              last edited by

              @viragomann

              ich grab das Thema wieder mal hervor.

              Vor allem, das Problem ist ja, ich hab viele User, 90% der User dürfen sich nur 1 mal verbinden. Das ist ja soweit kein Problem.
              Allerdings habe ich User (oder eigentlich Clients, alle Linux) die z.B.
              4 mal also für 4 Endgeräte die selben Zertifikate, Username und PWD haben, sich aber maximal 2 mal verbinden können sollen.

              MfG.

              noplanN V 2 Replies Last reply Reply Quote 0
              • noplanN
                noplan @Markus4210
                last edited by

                @markus4210

                Ich Habs noch immer nicht getestet...

                Aber wenn es im Client specific override keine Option für
                "User darf sich nur 2x anmelden" aber keine 3x mit den gleichen credentials
                Wird es eng

                2ter VPN server wo nur 1x anmelden erlaubt ist
                Und mit Client specific override bei den clients was erlauben

                Oder am Server mit Client specific override auf 1x beschränken

                Sonst Radius Server

                Hmmm blöde geschichte

                1 Reply Last reply Reply Quote 0
                • V
                  viragomann @Markus4210
                  last edited by

                  @markus4210
                  Ich muss da noch hinzufügen, mein Plan geht so nicht auf.
                  Ich habe auf einem Server mit net /30 Topologie, auf dem"Duplicate Connection" aktiviert ist, in meinem CSO nun das Subnetz auf einen /29er gesetzt.
                  3 Verbindungen hergestellt, allerdings bekamen alle Clients die erste verwendbare IP aus dem /29 Subnetz. Natürlich war nur eine davon zu gebrauchen.

                  Ich denke nicht, dass sich das mit Subnet Topologie anders verhält. So wie ich es verstehe, wird da im CSO eine bestimmte IP aus dem Tunnelsubnetz gesetzt mit der Maske des Tunnels, und diese bekommt des Client dann.

                  Ich würde an deiner Stelle einen zweiten Server einrichten. Einen, der nur eine Verbindung je User erlaubt und einen, der mehrere erlaubt ("Duplicate Connection" aktiviert). Damit erreichst du relativ einfach und sicher, was du haben möchtest.
                  Einzig jenen Usern, die sich auf den neuen Server mit Duplicate Connection verbinden können sollen, musst du neue Zugangsdaten zukommen lassen.

                  Grüße

                  noplanN 1 Reply Last reply Reply Quote 0
                  • noplanN
                    noplan @viragomann
                    last edited by

                    @viragomann said in Open VPN Verbindungen pro User limitieren:

                    Einzig jenen Usern, die sich auf den neuen Server mit Duplicate Connection verbinden können sollen, musst du neue Zugangsdaten zukommen lassen.

                    aber das könnte er doch mit einem eintrag in der CSO realisieren ?

                    V 1 Reply Last reply Reply Quote 0
                    • V
                      viragomann @noplan
                      last edited by

                      @noplan
                      Wie? Die Ausnahme stellen jene User dar, die mehrere Verbindungen aufbauen können sollen.
                      Wie das in einem CSO zu realisieren wäre, haben wir bislang noch nicht raus gefunden, oder?

                      noplanN 1 Reply Last reply Reply Quote 0
                      • noplanN
                        noplan @viragomann
                        last edited by

                        @viragomann

                        drum bin ich ja am heruumprobieren ...
                        wenn du nicht mit Radius arbeiten kannst willst darfst whatever und nur einige ausnahmen hast die mit gleichen credentials multi connect machen dürfen dann müsste das

                        mit 1 server no duplicate connection und cso machbar sein
                        funktioniert alles nicht wenn du mittels cso dem user eine definierte IP mitgibst so wie bei uns hier

                        alle dürfen sich nur 1:1 anmelden die ausnahmen könne so oft sie wollen

                        aber das will er hier ja nicht

                        V 1 Reply Last reply Reply Quote 0
                        • V
                          viragomann @noplan
                          last edited by

                          @noplan said in Open VPN Verbindungen pro User limitieren:

                          funktioniert alles nicht wenn du mittels cso dem user eine definierte IP mitgibst so wie bei uns hier

                          Die IP im CSO weglassen?? Diesen Gedanken hatte ich noch gar nicht gesponnen.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.