Client OpenVpn



  • bom dia, estou com uma duvida referente a conexão openvpn, eu tenho um servidor rodando o OpenVPN, queria saber se tem como eu criar um usuario para acesso ao openvpn e esse usuario ter acesso somente a um unico servidor e preciso criar outro usuario que tenha acesso a outro servidor mas um usuário não pode ter acesso ao servidor do outro usuario tem como eu definir qual servidor cada usuario podera acessar?



  • Não está muito claro, mas vamos lá: na hora de fazer a conexão, o usuário irá fazer de acordo com o CA que foi selecionada na hora de sua criação (assumindo que você está utilizando a ferramenta Client Export).



  • isso eu uso o client export, o que eu quero é o seguinte que o usuario andre tenha acesso a um unico servidor da minha rede e o usuario x tenha acesso a um outro servidor e não a minha rede toda hoje a vpn funciona mas qualquer usuario da vpn enxerga a rede toda entendeu?



  • Entendi. Para isso você teria que subir uma outra VPN e deixar ela liberada somente para o IP do servidor interno desejado. Talvez você também possa atribuir um IP fixo para esse cliente na sua atual e criar uma regra no firewall dizendo que o IP dele pode acessar o IP do seu servidor e outra regra bloqueando para o resto (cuidado com a ordem), mas essa última não sei se funcionaria.

    Para definir o IP fixo pro client, vai na aba OpenVPN, Client Specific Overrides, em Common Name coloque exatamente o nome do usuário e em Advanced Configuration coloque da seguinte maneira:
    ifconfig-push IP MÁSCARA;
    Exemplo:
    ifconfig-push 192.168.1.5 255.255.255.0;

    Feito isso, toda vez que conectar ele irá obter o IP aqui atribuído. Daí é só fazer a regra e testar se funciona. As regras em teoria seriam:
    BLOQUEAR ACESSO A REDE:
    Source - Single host or alias - IP fixo do client
    Destination - Network - colocar o identificador da sua rede

    LIBERAR ACESSO AO SERVIDOR
    Source - Single host or alias - IP fixo do client
    Destination - Single host or alias - IP do servidor que ele terá acesso

    Lembrando que tudo que falei aqui é especulação, não sei se de fato irá funcionar ou não, mas vale as tentativas e adaptações.



  • É integrado com AD?
    Se sim, da para criar grupos com permissões tambem. Mas a solução do amigo acima é mto mais solida


Log in to reply