OpenVPN Einwahl-Clients in unterschiedlichen Netzen



  • Hallo,

    mir wurde hier schon gut geholfen.

    Ich habe eine Frage zu OpenVPN:

    Bei Aktivierung entsteht für das "VPN-Netz" ein Interface in der Firewall. Hierüber kann man einiges regeln.

    Besteht die Möglichkeit einen 2. OpenVPN-Server mit abgetrennten Zertifikaten und gesondertem "VPN-Netz" zu erstellen?

    Hintergrund ist eine nur temporäre Einwahl (für z. B. Wartungszwecke externer). Dafür gesonderte Zertifikatsstruktur und gesondertes Netz wären gut.

    Danke!



  • Grob gesagt ja.

    Du kannst mehrere Openvpn Server mit unterschiedlichen Zertifikaten erstellen.
    Diese bekommen unterschiedliche IP Address-Ranges zugewiesen.

    Jedoch schlagen alle am gleichen Interface auf (Openvpn), aber durch die unterschiedlichen IP-Ranges sollte es kein Problem sein.
    Des Weiteren laufen die OVPN Instanzen auf unterschiedlichen Ports.

    Gruß
    Rubinho



  • Hallo,

    du kannst so viele OpenVPN Server erstellen, wie du möchtest.

    Das was du unter Firewall > Rules als Openvpn siehst, ist dann eine Interface-Gruppe aller Openvpn-Instanzen, Server und Clients.
    Wenn du auf einen VPN-Client vom internen Netz Traffic routest, solltest du ein eigenes Interface für diese, ggf. auch für jede Openvpn-Instanz erstellen. Interfaces > assign, da kann man unter "available network ports" die einzelnen Instanzen auswählen. Danach bekommst du für diese auch eigene Tabs in Firewall > Rules.

    Für reine Access-Server ist das aber nicht nötig.
    Da erhält einfach jeder Server einen eigenes Tunnel-Netzwerk und über dieses kannst du am Openvpn Tab die Zugriffe kontrollieren.

    Grüße



  • Hallo,

    danke für die Hinweise.

    Wenn ich mich dafür entscheide für jede OpenVPN Instanz ein Interface anzulegen sollte ich dem sicherlich auch das entsprechende gewählte "VPN-Netz" zuordnen?

    1. IP erhält ja der VPN-Server - nicht das es zu einem Konflikt kommt. Ich verstehe dann jedoch nicht ganz den Zusammenhang zwischen OpenVPN-Instanz-Interface und der OpenVPN-Interface-Gruppe - ich könnte dadurch ja 2x Regeln für ein und das selbe Interface vergeben!?

    Also ich habe einmal das selbst erstelle Interface und einmal die OpenVPN-Instanzen…



  • Also ich habe alle meine OVPN Tunnel auf dem OVPN Interface terminieren lassen.
    Da diese unterschieliche IP-Ranges besitzen, kann ich die Regeln entsprechend erstellen.
    Es besteht lediglich eine theoretische Möglichkeit, dass die OVPN Tunnel Endpoints untereinander kommizieren könnten, wenn beide das Routing des Anderen wüssten und eintragen würden.
    Es sei denn die Kommunikation zwischen den OVPN Instanzen wurde seitens PFS unterbunden. Ich kanns nicht sagen, hab es noch nie getestet.

    Einzig für meinen HidemyAss Tunnel habe ich ein separates Interface angelegt, aber das war hauptsächlich wegen dem NAT.



  • Nein, dem VPN Interface ist kein Netzwerk zuzuordnen. Einfach die VPN Instanz auswählen, Add klicken, das neue Interface öffnen, aktivieren und eine vernünftigen Namen geben. Keine IP, weder für einen Server noch für einen Client!

    Wie gesagt, gesonderte VPN Interfaces sind nur für spezielles Routing in die VPN erforderlich.

    Ja, wenn du einer VPN-Instanz ein Interface zuweist, kannst du die Regeln, sowohl auf der Interface-Gruppe als auch am spezifischen Interface setzen. Einer der beiden Regelsätze erhält wohl den Vorzug. D.h. trifft eine Regel daraus auf ein Paket zu, werden die übrigen Regeln, also auch der gesamte andere Regelsatz, ignoriert. Welche den Vorzug erhält, weiß ich jetzt aber nicht, ich verwende nicht beides. Lässt sich aber bestimmt in der Doc nachlesen.
    Wenn du die Regeln so setzt, dass ohnehin nicht Regeln aus beiden Regelsätzen zutreffen können, erübrigt sich diese Frage.