Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IP als "ACL" in OpenVPN / kann der Client die IP überschreiben?

    Deutsch
    2
    5
    232
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      slu
      last edited by slu

      Moin,

      wir hatten ja neulich in der User Group das Thema, dass eine per DHCP verteilte IP keine Sicherheit bietet bzw. in der Firewall Rule "keinen Sinn" macht, sondern lieber ein Subnetz "pro" Berechtigung besser ist.

      Aber wie ist das denn beim OpenVPN? Dort kann nur der Server die IPs verteilen oder kann diese auch der Client manipulieren?

      Es ist ja generell kein Problem mehrere VPN Server zu konfigurieren, macht aber das Setup sehr kompliziert weil man viele Ports braucht (Multiwan, Fallback,..).

      Wie macht ihr das?
      Weiß jemand ob man als OpenVPN Client eine Adresse ändern kann?

      pfSense Gold subscription

      JeGrJ 1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator @slu
        last edited by

        @slu said in IP als "ACL" in OpenVPN / kann der Client die IP überschreiben?:

        wir hatten ja neulich in der User Group das Thema, dass eine per DHCP verteilte IP keine Sicherheit bietet bzw. in der Firewall Rule "keinen Sinn" macht, sondern lieber ein Subnetz "pro" Berechtigung besser ist.

        Sprechen wir lieber von Security (oder Policy) Zones, aber ja. Irgendwelche handgeklöppelten Freigaben auf statische IPs sind halt aus 19xx/200x und sind kein Sicherheitsmerkmal, wenn ein Dummy mit Laptop und Wireshark da MAC und IP mitsniffen kann und sich die dann einfach selbst später aufs Interface klebt.

        Aber wie ist das denn beim OpenVPN? Dort kann nur der Server die IPs verteilen oder kann diese auch der Client manipulieren?

        Die kann theoretisch auch der Client manipulieren wenn ich recht erinnere. Ist zwar nicht so einfach, aber es sollte/könnte gehen, abhängig von der Serverkonfiguration. Ich meine, wenn der Server an Hand von Zert-CNs die Zuweisung macht, geht es nicht (oder nicht so einfach?) weil er das dann matcht, aber sicher bin ich mir nicht zu 100%.

        @slu said in IP als "ACL" in OpenVPN / kann der Client die IP überschreiben?:

        Es ist ja generell kein Problem mehrere VPN Server zu konfigurieren, macht aber das Setup sehr kompliziert weil man viele Ports braucht (Multiwan, Fallback,..).

        Nö kompliziert ist das gar nicht. Ja, man braucht ggf. 3-4 Ports. Aber das wars. Im Normalfall brauchst du 2-3 VPNs im Business Umfeld:

        • User/Kollegen
        • Admins
        • Contractor / Servicepersonal

        #1 Default User/Pass ggf. via LDAP/AD o.ä. mit Zert oder per Radius lokal mit Zert, Zugriff wie normale Nutzer
        #2 Same same but different, Zugriff für Admins

        Wegen #3 müsste man nochmals genauer nachforschen wegen Zert-basierender Zuweisung, aber da dachte ich zumindest, dass ich mich korrekt erinnere, dass CN Zuweisung auf IP mit CSOs nicht einfach manuell änderbar ist. Und dort dann einen minimalistischen Server konfigurieren, ohne DNS und Co, wo Service Leute dann Zugriff auf nur genau die IP haben, die sie warten müssen kombiniert mit der Einwahl via User/Pass + Zert und die User per FreeRadius, was dann mit Radius Attributen eingeschränkt wird bei Zugriffszeit und Dauer ist schon eine recht ordentliche Kombination.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        S 2 Replies Last reply Reply Quote 0
        • S
          slu @JeGr
          last edited by

          @JeGr said in IP als "ACL" in OpenVPN / kann der Client die IP überschreiben?:

          Wegen #3 müsste man nochmals genauer nachforschen wegen Zert-basierender Zuweisung, aber da dachte ich zumindest, dass ich mich korrekt erinnere, dass CN Zuweisung auf IP mit CSOs nicht einfach manuell änderbar ist.

          Genau diese Frage beschäftigt mich, eigentlich muss das so sein sonst hätten ja die ganzen VPN Dienste auch ein Problem. Hatte zwar mal versucht etwas zu googeln aber keine richtigen Treffer erzielt, vielleicht hatte ich auch die falschen Suchbegriffe.

          pfSense Gold subscription

          1 Reply Last reply Reply Quote 0
          • S
            slu @JeGr
            last edited by

            @JeGr said in IP als "ACL" in OpenVPN / kann der Client die IP überschreiben?:

            User/Kollegen
            Admins
            Contractor / Serviceperso

            Und gleich die nächste Frage (sorry), nimmst Du da immer je eine eigene CA?

            Denn der Benutzer könnte ja einfach den Port ändern und sich so auf den anderen OpenVPN Server verbinden, auch wenn die CSO nicht für diesen aktiv ist.

            Ich vermute er bekommt dann eine IP aus dem Pool, habe ich aber nicht probiert.

            pfSense Gold subscription

            JeGrJ 1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator @slu
              last edited by

              @slu said in IP als "ACL" in OpenVPN / kann der Client die IP überschreiben?:

              Und gleich die nächste Frage (sorry), nimmst Du da immer je eine eigene CA?

              Natürlich, ansonsten wäre das leicht angreifbar, indem der Client es auf anderen Ports versucht und wenn die gleiche CA verwendet wird, kommt er - rein vom Zert - dann schonmal rein. Das will man nicht :)

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.