Assegnare IP fissi a client OpenVPN



  • Salve a tutti, sto cercando di capire come fare ad istruire il server OpenVPN in modo che assegni ip fissi ai vari client che si collegano in rete basandosi sul loro username di accesso.
    Mi sembra di aver capito leggendo in giro che bisogna utilizzare il menu "VPN/OpenVPN/Client Specific Overrides" ma non ho capito COME utilizzare questa maschera. Da quello che vedo sembrerebbe una "copia" di alcune parti della pagina di configurazione del server OpenVPN con la possibilità di specificare "the client's X.509 common name" come identificativo univoco per associare la specifica configurazione.
    Ecco… il "common name" sarebbe l'username di accesso?
    Oppure sto "sbagliando candeggio"?

    Grazie in anticipo



  • Esempio:
    voglio assegnare all'utente "Luca" sempre lo stesso ip 192.168.2.11
    vado quindi a creare una entry in "VPN / OpenVPN / Client Specific Overrides",
    nel campo "common name" inserisco il nome utente "Luca" (è proprio la user dell'account con cui il client openvpn accede)
    in "advanced" inserisco:

    ifconfig-push 192.168.2.11 255.255.255.0;
    

    Fatto  :)



  • Perfetto… adesso fuziona!!!  ;D

    A onor del vero ho dovuto inserire un

    ifconfig-push 192.168.2.102 255.255.255.0;push "route-gateway 192.168.2.1"
    

    dove il route-gateway è il primo ip del range vpn.

    Un'ultima cosa… ho provato a specificare su "Provide a DNS server list to clients" l'ip di pfsense lato lan ma sembra che il client utilizzi ancora i "suoi" DNS. C'è un modo per forzare l'utilizzo del solo dns server fornito da pfsense?

    Edit: L'apposita opzione sul server "Block Outside DNS" pare funzioni solo su win10, esiste un modo per farlo su tutti (magari come Client Specific Overrides)?



  • nel mio caso non ho dovuto specificare alcun parametro in "Client Specific Overrides" oltre a quello che per l'assegnazione dell'ip,
    il client openvpn (sia su android che win7) prendono il dns lan del pfsense a cui mi connetto.
    Questi i parametri di configurazione che ho io nel server openvpn in pfsense:

    Tunnel Settings
    IPv4 Tunnel Network : 192.168.2.0/24 (è la subnet che ho riservato ai miei client openvpn)
    IPv4 Local network : 192.168.1.0/24,192.168.4.0/24 (oltre alla subnet lan, che nel mio caso è 192.168.1.0/24, ho aggiunto una ulteriore subnet/vlan 192.168.4.0/24 a cui i client devono poter accedere)

    Advanced Client Settings
    DNS server enable: flaggato
    DNS Server 1 : 192.168.1.10 (è l'ip dell'interfaccia lan nel mio caso)

    Nelle regole di firewall infine, associata all'interfaccia openvpn ho inserito una regola che consente tutto il traffico verso la lan e la vlan a cui devono poter accedere i miei client openvpn, nota che questo è indispensabile diversamente viene bloccato tutto il traffico incluso anche quello verso il dns locale del pfsense.



  • Ok… non funziona.  :(

    Ho configurato il tutto come da te indicato ma

    1. se attivo "Block Outside DNS" non funziona più la risoluzione dns
    2. se lo lascio disattivato prende i dns da internet (in realtà prende quelli che gli fornisce il modem)

    Mi sono accorto da "ipconfig /all" che il collegamento VPN funziona "bene" ma la risoluzione dns viene fatta sempre tramite i dns della scheda di rete... è come se il dns rilasciato all'interfaccia TAP (VPN) non venga utilizzato.

    Scheda Ethernet Ethernet 3:
    
       Suffisso DNS specifico per connessione: domain.it
       Descrizione . . . . . . . . . . . . . : TAP-Windows Adapter V9
       Indirizzo fisico. . . . . . . . . . . : 00-FF-24-0A-2E-DB
       DHCP abilitato. . . . . . . . . . . . : Sì
       Configurazione automatica abilitata   : Sì
       Indirizzo IPv6 locale rispetto al collegamento . : fe80::9063:f1d8:3cf6:a1ca%6(Preferenziale)
       Indirizzo IPv4\. . . . . . . . . . . . : 10.40.0.2(Preferenziale)
       Subnet mask . . . . . . . . . . . . . : 255.255.255.0
       Lease ottenuto. . . . . . . . . . . . : domenica 9 luglio 2017 23:53:06
       Scadenza lease . . . . . . . . . . .  : lunedì 9 luglio 2018 23:53:06
       Gateway predefinito . . . . . . . . . :
       Server DHCP . . . . . . . . . . . . . : 10.40.0.254
       IAID DHCPv6 . . . . . . . . . . . : 637599524
       DUID Client DHCPv6\. . . . . . . . : 00-01-00-01-1D-DE-64-AE-D8-50-E6-C4-F0-25
       Server DNS . . . . . . . . . . . . .  : 192.168.0.1
       NetBIOS su TCP/IP . . . . . . . . . . : Attivato
    

    Ovviamente 10.40.0.0/24 è il mio tunnel VPN e 192.168.0.0/24 è la mia rete lan remota a cui accedere tramite vpn.

    Il mio problema è che un server all'interno della lan, normalmente raggiungibile tramite portforward dall'indirizzo esterno, deve essere raggiungibile atraverso la VPN ma andandoci direttamente con l'IP lan attraverso la VPN in modo da togliere la pubblicazione su internet… solo che non funzionando la risoluzione DNS di pfsense non mi risolve il nome a dominio e quindi nisba... sono costretto a mettere l'IP... e non vorrei...

    Consigli?  :'(



  • Aggiungo la regola creata (dal wizard, penso basti)




  • Mi rispondo da solo…  ;D

    Occorre creare ua regola su "Services/DNS Resolver/Access Lists" che permetta l'accesso al server DNS di pfsense anche sulla classe ip della VPN.

    ![ACL DNS.jpg](/public/imported_attachments/1/ACL DNS.jpg)
    ![ACL DNS.jpg_thumb](/public/imported_attachments/1/ACL DNS.jpg_thumb)



  • Bene!
    Però nel mio caso però non ho nessuna regola impostata nell'access list del DNS resolver.
    Ho solamente, nella configurazione del DNS resolver "General DNS Resolver Options" in "Network Interfaces" (cioè l'elenco delle intrefacce verso le quali il servizio sta in ascolto), selezionante la lan, le varie vlan, e localhost.
    Se abilito il log nella regola firewall dell'interfaccia openvpn risulta che le richieste verso il dns locale del pfsense (udp 53) provenienti dai client openvpn passano regolarmente e il servizio risponde, infatti i client riescono a risolvere i nomi host del dominio locale configurato in pfsense.
    nota: ho pfsense 2.4 e i miei client sono win7 e android.



  • Stessa versione mia, ma client Win10; domani dovrei provare anche android e (sperodi no) IOS.

    Io in "Network Interface" non ho le interfacce Vlan, ho selezionato "all" e pensavo bastasse… non era così  :P

    La release che uso è la 2.3.4 (amd64) che dovrebbe essere l'ultima... dove hai preso la 2.4?



  • la realase 2.3.4 è l'ultima stabile, la 2.4.0 è l'ultima beta che è riperibile dalla pagina di download ufficiale di pfsense (vedi "Snapshots") oppure selezionando in "System/Update/Update Settings" il "Branch" beta appunto.
    Ovviamente è sconsigliata l'installazione della beta in ambienti di produzione in quanto, rispetto alla versione "stabile", ci sono diversi bug in corso di soluzione (vedi qui: https://redmine.pfsense.org/projects/pfsense/roadmap)
    è per i più curiosi e "temerari"  ;D
    comunque oramai la 2.4.0 è quasi ultimata, penso che verrà rilasciata in autunno.
    Nota che, come è indicato nella pagina di download, la 2.4.0 è stata sviluppata solo per hardware 64bit e viene abbandonata la "nano" ovvero è installabile solo in versione full.

    C'è un apposito thread dedicato alla 2.4.0 sul forum.



  • Io "temo" per le configurazioni e quindi mi tengo la stabile 2.3.4 (magari anche dopo  :P )…

    Grazie!!!


Log in to reply