Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN Regel für einen User

    Scheduled Pinned Locked Moved Deutsch
    10 Posts 3 Posters 955 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      be1001
      last edited by

      Hallo,

      ich betreibe einen OpenVPN auf meiner pfsense. Der funktioniert auch soweit. Allerdings dürfen die bisherigen User alles, Sie sehen alle Rechner.
      Jetzt möchte ich das ein neuer User nur Zugang zu einer IP bekommt.
      Kann man eine Regel für einen User anlegen?

      Danke

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Voraussetzung ist, dass der Server im TLS/SSL-Auth Mode mit Client- Zertifikaten arbeitet.

        1 Reply Last reply Reply Quote 0
        • B
          be1001
          last edited by

          Servermode: Remote Access (SSL/TLS+User Auth)

          1 Reply Last reply Reply Quote 0
          • V
            viragomann
            last edited by

            Okay, dann kannst du das mit einem Client Specific Override (CSO) lösen.
            VPN > OpenVPN > Client Specific Overrides

            Bei "Common Name" muss der Name des User-Zertifikats stehen. Bei "IPv4 Tunnel Network" die virtuelle IP in CIDR-Notation aus dem Tunnel Subnetz, die der User bekommen soll. Wenn der Tunnel auf Subnet Topology eingestellt ist, genügt eine /32er (dann ist nur eine Client-Verbindung möglich), wenn er auf net30 steht, muss es eine /30er Netz sein.

            Mit den übrigen Optionen können spezifische Einstellungen für den Client gesetzt werden.
            Die Tunnel-IP kann dann für Firewall-Regeln verwendet werden.

            1 Reply Last reply Reply Quote 0
            • B
              be1001
              last edited by

              Muss ich die funktion im Server aktivieren?

              1 Reply Last reply Reply Quote 0
              • V
                viragomann
                last edited by viragomann

                Wenn du einen CSO hinzugefügt, ist oben der Server auszuwählen. Wenn du nur einen Server hast, erübrigt sich das.

                1 Reply Last reply Reply Quote 0
                • B
                  be1001
                  last edited by

                  Habs nicht zum laufen gebracht. Für den Test morgen hab ich jetzt einfach all Server ausser den einen über OpenVPN gesperrt.

                  JeGrJ 1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator @be1001
                    last edited by

                    @be1001 said in OpenVPN Regel für einen User:

                    Habs nicht zum laufen gebracht. Für den Test morgen hab ich jetzt einfach all Server ausser den einen über OpenVPN gesperrt.

                    Was genau ging nicht?

                    @viragomann said in OpenVPN Regel für einen User:

                    Okay, dann kannst du das mit einem Client Specific Override (CSO) lösen.
                    VPN > OpenVPN > Client Specific Overrides

                    Just FYI: Ich hatte das gerade in einem Kundensetup und wenn hier als Auth Backend nicht die interne Userverwaltung sondern FreeRadius3 genutzt wird, dann funktioniert es auch ohne zwingende Zertifikatsnutzung direkt am User (in FR3 muss dann entsprechend IP und Maske gesetzt sein, also bspw. 10.0.8.250, 255.255.255.0) und wird dann an OpenVPN übergeben. Das macht die Konfiguration sogar noch einfacher :)

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    V 1 Reply Last reply Reply Quote 1
                    • V
                      viragomann @JeGr
                      last edited by

                      @jegr
                      Interessant. Danke. So wird FreeRadius vielleicht auch mal für mich interessant. ☺
                      Warum es die Einschränkung auf TLS Auth überhaupt gab, ist mir ohnehin unklar. Der Username der lokalen Datenbank muss ja ebenso eindeutig sein.

                      JeGrJ 1 Reply Last reply Reply Quote 0
                      • JeGrJ
                        JeGr LAYER 8 Moderator @viragomann
                        last edited by

                        @viragomann said in OpenVPN Regel für einen User:

                        @jegr
                        Interessant. Danke. So wird FreeRadius vielleicht auch mal für mich interessant. ☺
                        Warum es die Einschränkung auf TLS Auth überhaupt gab, ist mir ohnehin unklar. Der Username der lokalen Datenbank muss ja ebenso eindeutig sein.

                        Ich mutmaße, dass das von OpenVPN her rührt und das dort nur gegen den certificate CN gebaut war/wurde. Hatte das selbst nicht auf dem Radar und dachte von früher noch, dass es nicht geht/ging und hatte das dann erst beim Kunden gesehen, der das selbst so konfiguriert hatte (weil er eben nicht wusste, dass es nicht gehen soll 🤣)

                        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.