Client OpenVpn
-
bom dia, estou com uma duvida referente a conexão openvpn, eu tenho um servidor rodando o OpenVPN, queria saber se tem como eu criar um usuario para acesso ao openvpn e esse usuario ter acesso somente a um unico servidor e preciso criar outro usuario que tenha acesso a outro servidor mas um usuário não pode ter acesso ao servidor do outro usuario tem como eu definir qual servidor cada usuario podera acessar?
-
Não está muito claro, mas vamos lá: na hora de fazer a conexão, o usuário irá fazer de acordo com o CA que foi selecionada na hora de sua criação (assumindo que você está utilizando a ferramenta Client Export).
-
isso eu uso o client export, o que eu quero é o seguinte que o usuario andre tenha acesso a um unico servidor da minha rede e o usuario x tenha acesso a um outro servidor e não a minha rede toda hoje a vpn funciona mas qualquer usuario da vpn enxerga a rede toda entendeu?
-
Entendi. Para isso você teria que subir uma outra VPN e deixar ela liberada somente para o IP do servidor interno desejado. Talvez você também possa atribuir um IP fixo para esse cliente na sua atual e criar uma regra no firewall dizendo que o IP dele pode acessar o IP do seu servidor e outra regra bloqueando para o resto (cuidado com a ordem), mas essa última não sei se funcionaria.
Para definir o IP fixo pro client, vai na aba OpenVPN, Client Specific Overrides, em Common Name coloque exatamente o nome do usuário e em Advanced Configuration coloque da seguinte maneira:
ifconfig-push IP MÁSCARA;
Exemplo:
ifconfig-push 192.168.1.5 255.255.255.0;Feito isso, toda vez que conectar ele irá obter o IP aqui atribuído. Daí é só fazer a regra e testar se funciona. As regras em teoria seriam:
BLOQUEAR ACESSO A REDE:
Source - Single host or alias - IP fixo do client
Destination - Network - colocar o identificador da sua redeLIBERAR ACESSO AO SERVIDOR
Source - Single host or alias - IP fixo do client
Destination - Single host or alias - IP do servidor que ele terá acessoLembrando que tudo que falei aqui é especulação, não sei se de fato irá funcionar ou não, mas vale as tentativas e adaptações.
-
É integrado com AD?
Se sim, da para criar grupos com permissões tambem. Mas a solução do amigo acima é mto mais solida