Guida: Open Vpn restrizioni accesso utente ad un solo ip



  • Ciao a tutti,

    dopo svarite prove sono riuscito a far in modo di dare accesso ad un utente open vpn solo verso un specifico ip in modo da limitargli di girovagare nell'interna lan.

    Voglio condividere questo settaggio sperando sia utile a qualcuno (magari già esiste un topic  :D )

    Primo passo da fare è assegnare un ip statico all'utente vpn :

    1- aprire dal menu vpn , openvpn
    2- andare su client specific overrides
    3- cliccare su add
    4- selezionare server list (se ne avete più di uno)
    5- inserire il common name che è la username dell'utente
    6- andare su advanced
    7- inserire ifconfig-push 10.0.8.3 255.255.255.0; (dove 10.0.8.3 è l'ip che si vuole assegnare all'utente) (10.0.8.0 in questo caso è l' IPv4 Tunnel Network che avete messo nella configurazione del serve vpn , quindi se avete scelto una classe differente cmabiate il paramentro)
    8- in questo modo l'utente che avete configurato quando si collegherà in vpn gli verrà assegnato sempre il 10.0.8.3. ( o quello da voi scelto).
    9- riavviare il servizio da status openvpn

    Secondo passo creare la regola che impone il solo accesso ad un determinato ip o creando un alias a più ip ma non a tutti.

    1- andare sul menu firewall , rules , openvpn
    2- creare una regola e metterla come prima della lista :
    action = pass
    interface = openvp
    protocol = any
    source single host or alias = 10.0.8.3 (nel mio caso)
    destination  single host or alias = ip della vs rete interna dove volete mandare l'utente vpn (es. 192.168.0.100 )

    3- salvare la regola

    Terzo ed ultimo passo

    se per tutti gli altri utenti volete lasciare una accesso libero a tutti gli ip modificate la regola generata dal wizard di openvpn (quella che trovate attiva sotto rules openvpn)

    create un alias dove mettete tutti gli ip opne vpn tranne quello usato in precedenza se per esempio avete dato un massimo di 5 connessioni consentite vpn gli ip da mettere nell'alias saranno :
    10.0.8.0
    10.0.8.1
    10.0.8.2
    10.0.8.4
    10.0.8.5

    ora come detto sopra modificate la regola generta dal wizard mettendo in source l'alias appena creato.

    questa regola deve stare per seconda nella lista.

    Se invece volete che ogni utente abbia accesso ad una sola macchina ripete il primo e il secondo passaggio.

    Spero possa tornare utile

    Ciao a  tutti



  • Ciao,
    Grazie per la guida molto utile. Sai se per caso c'è la possibilità di specificare un range di IP ai quali ciascun CN può essere associato?
    Questo potrebbe servire nel caso un utente volesse connettersi contemporaneamente da PC e smartphone per esempio… Sai se si può fare?