OpenVPN eigenen Pool konfigurieren



  • Hallo,

    ich habe es vor einiger Zeit schonmal versucht einzurichten, hatte aber nicht wirklich Erfolg… ich versuche einen OpenVPN-Server mit einem eigenem Pool zu definieren. Da ich aber in alten als auch in neuen Versionen keine entsprechende Konfigurations-Möglichkeit gefunden habe, wollte ich dies in "Custom Options" mit folgendem Wert selbst nachtragen:

    ifconfig-pool startip endip mask
    

    Leider funktioniert dies nicht und man muss weiter den vordefinierten Server-Pool verwenden. Irgendwo hatte ich gelesen das es eine sogenannte "nopool"-Option gibt, habe aber keine Möglichkeit zum Aktivieren gesehen und auch versucht diese in allen möglichen Varianten im "Custom Options"-Feld zu hinterlegen… hat leider alles nichts gebracht.

    Weiß jemand wie ich das bewerkstelligen kann?

    Gruß



  • Hallo,

    kannst du erklären, welches Ziel du da verfolgst?
    Ein eigener Pool für was? Für einen bestimmten Client? Für jeden Client?

    Die OpenVPN-Konfiguration bietet die meisten sinnvollen Einstellungen schon in der GUI und diese sollten auch bevorzugt genutzt werden. Eine nopool Option kenne ich nicht, nopull gibt es und bezieht sich auf Routen. Aber auch dafür bietet die GUI was.



  • Das Tunnel Netzwerk ist bei mir ein /24-Subnetz und ich möchte das bspw. die ersten 100 Adressen für feste Client Overrides und die übrigen Adressen ein Dynamischer Pool sind. Soll also heißen: Die Clients die nicht als Client Specific Overrides konfiguriert sind, sollen einfach eine Freie Adresse aus einem beliebigen Pool erhalten.



  • Das lässt sich ja über die GUI einrichten. VPN > OpenVPN > Client Specific Overrides

    Jedoch die ersten 100 Adressen reichen nicht für 100 Clients. Jeder Client erhält dabei ein /30 Subnetz, damit sind 4 Adressen weg. Aber du kannst deinen Pool ja auf bspw. /22 erweitern.

    Allerdings 100 Client Specific Overrides einzurichten ist auch eine Tagesarbeit.
    Wenn du da nicht wirklich jeden Client in den Regeln gesondert behandeln musst, würde ich für diese einen eigenen VPN-Server einrichten.
    Ich habe auch eine Hand voll davon auf einer pfSense laufen. Das geht problemlos.


  • Moderator

    @viragomann

    Stimmt nicht ganz. Der Default von OpenVPN ist bereits seit einiger Zeit der Type "subnet", wobei kein /30er Netz mehr genutzt wird, sondern der Server selbst die IP .1 und .2 hat, alle weiteren werden im Pool dann frei vergeben. Ansonsten kann man aber wie schon schreibst einfach CSOs definieren und die statisch da reinmappen. Da braucht es IMHO kein rumbasteln mit custom options.



  • Hi,

    das /30er Subnetz bezieht sich auf CSO. Meines bescheidenen Wissens ist es da so.


  • Moderator

    Achso :) Nein, ist nicht mehr so, du kannst Client spezifische Overrides ganz normal konfigurieren und vergibst da bspw. fix die .20 aus dem Tunnel-Netz und der Client bekommt dann die .20 gepusht und die .2 als Gateway.

    Um aber so ein statisch und dynamisches Mischmasch zu vermeiden, habe wir dafür bspw. einfach zwei OpenVPN Instanzen gemacht. Eine hat nur statische Zuordnungen, der andere ist voll dynamisch. Lässt sich ja leicht einrichten und ggf. am Client wenn benötigt switchen.

    Gruß :)



  • Wieder was dazu gelernt. Dann ist die Doku hier auch nicht mehr aktuell: https://doc.pfsense.org/index.php/OpenVPN_multi_purpose_single_server#OpenVPN_Client_specific_overrides
    Ich verwende aber ohnehin auch heute noch /30er Subnetze als Standard.

    Die Sache mit dem eigenen Server für die gewünschten Zwecke hier sehe ich auch so.

    Grüße