OpenVPN Regel für einen User



  • Hallo,

    ich betreibe einen OpenVPN auf meiner pfsense. Der funktioniert auch soweit. Allerdings dürfen die bisherigen User alles, Sie sehen alle Rechner.
    Jetzt möchte ich das ein neuer User nur Zugang zu einer IP bekommt.
    Kann man eine Regel für einen User anlegen?

    Danke



  • Voraussetzung ist, dass der Server im TLS/SSL-Auth Mode mit Client- Zertifikaten arbeitet.



  • Servermode: Remote Access (SSL/TLS+User Auth)



  • Okay, dann kannst du das mit einem Client Specific Override (CSO) lösen.
    VPN > OpenVPN > Client Specific Overrides

    Bei "Common Name" muss der Name des User-Zertifikats stehen. Bei "IPv4 Tunnel Network" die virtuelle IP in CIDR-Notation aus dem Tunnel Subnetz, die der User bekommen soll. Wenn der Tunnel auf Subnet Topology eingestellt ist, genügt eine /32er (dann ist nur eine Client-Verbindung möglich), wenn er auf net30 steht, muss es eine /30er Netz sein.

    Mit den übrigen Optionen können spezifische Einstellungen für den Client gesetzt werden.
    Die Tunnel-IP kann dann für Firewall-Regeln verwendet werden.



  • Muss ich die funktion im Server aktivieren?



  • Wenn du einen CSO hinzugefügt, ist oben der Server auszuwählen. Wenn du nur einen Server hast, erübrigt sich das.



  • Habs nicht zum laufen gebracht. Für den Test morgen hab ich jetzt einfach all Server ausser den einen über OpenVPN gesperrt.


  • Moderator

    @be1001 said in OpenVPN Regel für einen User:

    Habs nicht zum laufen gebracht. Für den Test morgen hab ich jetzt einfach all Server ausser den einen über OpenVPN gesperrt.

    Was genau ging nicht?

    @viragomann said in OpenVPN Regel für einen User:

    Okay, dann kannst du das mit einem Client Specific Override (CSO) lösen.
    VPN > OpenVPN > Client Specific Overrides

    Just FYI: Ich hatte das gerade in einem Kundensetup und wenn hier als Auth Backend nicht die interne Userverwaltung sondern FreeRadius3 genutzt wird, dann funktioniert es auch ohne zwingende Zertifikatsnutzung direkt am User (in FR3 muss dann entsprechend IP und Maske gesetzt sein, also bspw. 10.0.8.250, 255.255.255.0) und wird dann an OpenVPN übergeben. Das macht die Konfiguration sogar noch einfacher :)



  • @jegr
    Interessant. Danke. So wird FreeRadius vielleicht auch mal für mich interessant. ☺
    Warum es die Einschränkung auf TLS Auth überhaupt gab, ist mir ohnehin unklar. Der Username der lokalen Datenbank muss ja ebenso eindeutig sein.


  • Moderator

    @viragomann said in OpenVPN Regel für einen User:

    @jegr
    Interessant. Danke. So wird FreeRadius vielleicht auch mal für mich interessant. ☺
    Warum es die Einschränkung auf TLS Auth überhaupt gab, ist mir ohnehin unklar. Der Username der lokalen Datenbank muss ja ebenso eindeutig sein.

    Ich mutmaße, dass das von OpenVPN her rührt und das dort nur gegen den certificate CN gebaut war/wurde. Hatte das selbst nicht auf dem Radar und dachte von früher noch, dass es nicht geht/ging und hatte das dann erst beim Kunden gesehen, der das selbst so konfiguriert hatte (weil er eben nicht wusste, dass es nicht gehen soll 🤣)