Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Assegnare IP fissi a client OpenVPN

    Italiano
    2
    11
    3.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      Fumetto
      last edited by

      Salve a tutti, sto cercando di capire come fare ad istruire il server OpenVPN in modo che assegni ip fissi ai vari client che si collegano in rete basandosi sul loro username di accesso.
      Mi sembra di aver capito leggendo in giro che bisogna utilizzare il menu "VPN/OpenVPN/Client Specific Overrides" ma non ho capito COME utilizzare questa maschera. Da quello che vedo sembrerebbe una "copia" di alcune parti della pagina di configurazione del server OpenVPN con la possibilità di specificare "the client's X.509 common name" come identificativo univoco per associare la specifica configurazione.
      Ecco… il "common name" sarebbe l'username di accesso?
      Oppure sto "sbagliando candeggio"?

      Grazie in anticipo

      1 Reply Last reply Reply Quote 0
      • L
        LucaTo
        last edited by

        Esempio:
        voglio assegnare all'utente "Luca" sempre lo stesso ip 192.168.2.11
        vado quindi a creare una entry in "VPN / OpenVPN / Client Specific Overrides",
        nel campo "common name" inserisco il nome utente "Luca" (è proprio la user dell'account con cui il client openvpn accede)
        in "advanced" inserisco:

        ifconfig-push 192.168.2.11 255.255.255.0;

        Fatto  :)

        1 Reply Last reply Reply Quote 0
        • F
          Fumetto
          last edited by

          Perfetto… adesso fuziona!!!  ;D

          A onor del vero ho dovuto inserire un

          ifconfig-push 192.168.2.102 255.255.255.0;push "route-gateway 192.168.2.1"

          dove il route-gateway è il primo ip del range vpn.

          Un'ultima cosa… ho provato a specificare su "Provide a DNS server list to clients" l'ip di pfsense lato lan ma sembra che il client utilizzi ancora i "suoi" DNS. C'è un modo per forzare l'utilizzo del solo dns server fornito da pfsense?

          Edit: L'apposita opzione sul server "Block Outside DNS" pare funzioni solo su win10, esiste un modo per farlo su tutti (magari come Client Specific Overrides)?

          1 Reply Last reply Reply Quote 0
          • L
            LucaTo
            last edited by

            nel mio caso non ho dovuto specificare alcun parametro in "Client Specific Overrides" oltre a quello che per l'assegnazione dell'ip,
            il client openvpn (sia su android che win7) prendono il dns lan del pfsense a cui mi connetto.
            Questi i parametri di configurazione che ho io nel server openvpn in pfsense:

            Tunnel Settings
            IPv4 Tunnel Network : 192.168.2.0/24 (è la subnet che ho riservato ai miei client openvpn)
            IPv4 Local network : 192.168.1.0/24,192.168.4.0/24 (oltre alla subnet lan, che nel mio caso è 192.168.1.0/24, ho aggiunto una ulteriore subnet/vlan 192.168.4.0/24 a cui i client devono poter accedere)

            Advanced Client Settings
            DNS server enable: flaggato
            DNS Server 1 : 192.168.1.10 (è l'ip dell'interfaccia lan nel mio caso)

            Nelle regole di firewall infine, associata all'interfaccia openvpn ho inserito una regola che consente tutto il traffico verso la lan e la vlan a cui devono poter accedere i miei client openvpn, nota che questo è indispensabile diversamente viene bloccato tutto il traffico incluso anche quello verso il dns locale del pfsense.

            1 Reply Last reply Reply Quote 0
            • F
              Fumetto
              last edited by

              Ok… non funziona.  :(

              Ho configurato il tutto come da te indicato ma

              1. se attivo "Block Outside DNS" non funziona più la risoluzione dns
              2. se lo lascio disattivato prende i dns da internet (in realtà prende quelli che gli fornisce il modem)

              Mi sono accorto da "ipconfig /all" che il collegamento VPN funziona "bene" ma la risoluzione dns viene fatta sempre tramite i dns della scheda di rete... è come se il dns rilasciato all'interfaccia TAP (VPN) non venga utilizzato.

              Scheda Ethernet Ethernet 3:

   Suffisso DNS specifico per connessione: domain.it
   Descrizione . . . . . . . . . . . . . : TAP-Windows Adapter V9
   Indirizzo fisico. . . . . . . . . . . : 00-FF-24-0A-2E-DB
   DHCP abilitato. . . . . . . . . . . . : Sì
   Configurazione automatica abilitata   : Sì
   Indirizzo IPv6 locale rispetto al collegamento . : fe80::9063:f1d8:3cf6:a1ca%6(Preferenziale)
   Indirizzo IPv4\. . . . . . . . . . . . : 10.40.0.2(Preferenziale)
   Subnet mask . . . . . . . . . . . . . : 255.255.255.0
   Lease ottenuto. . . . . . . . . . . . : domenica 9 luglio 2017 23:53:06
   Scadenza lease . . . . . . . . . . .  : lunedì 9 luglio 2018 23:53:06
   Gateway predefinito . . . . . . . . . :
   Server DHCP . . . . . . . . . . . . . : 10.40.0.254
   IAID DHCPv6 . . . . . . . . . . . : 637599524
   DUID Client DHCPv6\. . . . . . . . : 00-01-00-01-1D-DE-64-AE-D8-50-E6-C4-F0-25
   Server DNS . . . . . . . . . . . . .  : 192.168.0.1
   NetBIOS su TCP/IP . . . . . . . . . . : Attivato

              Ovviamente 10.40.0.0/24 è il mio tunnel VPN e 192.168.0.0/24 è la mia rete lan remota a cui accedere tramite vpn.

              Il mio problema è che un server all'interno della lan, normalmente raggiungibile tramite portforward dall'indirizzo esterno, deve essere raggiungibile atraverso la VPN ma andandoci direttamente con l'IP lan attraverso la VPN in modo da togliere la pubblicazione su internet… solo che non funzionando la risoluzione DNS di pfsense non mi risolve il nome a dominio e quindi nisba... sono costretto a mettere l'IP... e non vorrei...

              Consigli?  :'(

              1 Reply Last reply Reply Quote 0
              • F
                Fumetto
                last edited by

                Aggiungo la regola creata (dal wizard, penso basti)

                firewall.jpg
                firewall.jpg_thumb

                1 Reply Last reply Reply Quote 0
                • F
                  Fumetto
                  last edited by

                  Mi rispondo da solo…  ;D

                  Occorre creare ua regola su "Services/DNS Resolver/Access Lists" che permetta l'accesso al server DNS di pfsense anche sulla classe ip della VPN.

                  ![ACL DNS.jpg](/public/imported_attachments/1/ACL DNS.jpg)
                  ![ACL DNS.jpg_thumb](/public/imported_attachments/1/ACL DNS.jpg_thumb)

                  1 Reply Last reply Reply Quote 0
                  • L
                    LucaTo
                    last edited by

                    Bene!
                    Però nel mio caso però non ho nessuna regola impostata nell'access list del DNS resolver.
                    Ho solamente, nella configurazione del DNS resolver "General DNS Resolver Options" in "Network Interfaces" (cioè l'elenco delle intrefacce verso le quali il servizio sta in ascolto), selezionante la lan, le varie vlan, e localhost.
                    Se abilito il log nella regola firewall dell'interfaccia openvpn risulta che le richieste verso il dns locale del pfsense (udp 53) provenienti dai client openvpn passano regolarmente e il servizio risponde, infatti i client riescono a risolvere i nomi host del dominio locale configurato in pfsense.
                    nota: ho pfsense 2.4 e i miei client sono win7 e android.

                    1 Reply Last reply Reply Quote 0
                    • F
                      Fumetto
                      last edited by

                      Stessa versione mia, ma client Win10; domani dovrei provare anche android e (sperodi no) IOS.

                      Io in "Network Interface" non ho le interfacce Vlan, ho selezionato "all" e pensavo bastasse… non era così  :P

                      La release che uso è la 2.3.4 (amd64) che dovrebbe essere l'ultima... dove hai preso la 2.4?

                      1 Reply Last reply Reply Quote 0
                      • L
                        LucaTo
                        last edited by

                        la realase 2.3.4 è l'ultima stabile, la 2.4.0 è l'ultima beta che è riperibile dalla pagina di download ufficiale di pfsense (vedi "Snapshots") oppure selezionando in "System/Update/Update Settings" il "Branch" beta appunto.
                        Ovviamente è sconsigliata l'installazione della beta in ambienti di produzione in quanto, rispetto alla versione "stabile", ci sono diversi bug in corso di soluzione (vedi qui: https://redmine.pfsense.org/projects/pfsense/roadmap)
                        è per i più curiosi e "temerari"  ;D
                        comunque oramai la 2.4.0 è quasi ultimata, penso che verrà rilasciata in autunno.
                        Nota che, come è indicato nella pagina di download, la 2.4.0 è stata sviluppata solo per hardware 64bit e viene abbandonata la "nano" ovvero è installabile solo in versione full.

                        C'è un apposito thread dedicato alla 2.4.0 sul forum.

                        1 Reply Last reply Reply Quote 0
                        • F
                          Fumetto
                          last edited by

                          Io "temo" per le configurazioni e quindi mi tengo la stabile 2.3.4 (magari anche dopo  :P )…

                          Grazie!!!

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.