OpenVPN User Beschränkung
-
Hallo,
ist es möglich mit PFsense 2.0 das OpenVPN so zu konfigurieren, dass manche User nur Server1 + Server2 erreichen können und manche nur Server3? Falls ja, wie wäre das zu Realisieren?
Über eine Hilfestellung wäre ich sehr dankbar!
Vielen Dank.
Gruß Horst!
-
Du kannst in der client config doch angeben, welche Server IPs der OpenVPN client nutzen kann.
Theoretisch könnte, jenachdem, wie der Zugriff auf dem Client geregelt ist, der Nutzer andere IPs hinzufügen und wenn das Zertifikat passt, dann kommt er auch auf den Server, den du nicht möchtest.Ansonsten evtl. den Clients statische IP-Adressen für das VPN mitgeben (wie das genau geht, weiss ich allerdings nicht) und dann eben in der Firewall den Zugriff auf die VPN Server mittels source port regeln.
Oder eben alle 3 OpenVPN server mit 3 verschiedenen CA und zertifikaten erstellen, so dass jeder client nur für den jeweiligen server die CA und das passende cert hat.
-
Hallo,
vielen Dank für deine Ausführungen! Ich habe mich nicht detailiert genug ausgedrückt. Ich will nur einen OpenVPN Server (PFsense) nutzen. Hinter der Firewall befindet sich dann das Netzwerk mit Server1 (Dateiserver), Server2 (Exchange) und Server3 (ERP). Je nach Berechtigung der User sollen diese die Server erreichen können. Wie du schon gesagt hast: Wenn ich das über die Clientconfig regel, dann können sich die Berechtigung die IP´s ja selber hinzufügen können. Kann ich nicht z.B.: irgendwie meherere VPN-Guppen erstellen, die dann jeweils aus einem Subnetz eine IP-Adresse bekommen, bei dem die Route nur zu den gewünschten Servern erlaubt ist?
Gruß Horst
-
Hallo,
also verschiedene VPN Subnetze bekommst du ja nur durch verschiedene VPN Server. Das kannst du natürlich dann in der Firewall Regeln, dass eben Subnet1 von VPN-Server1 nur auf deine internen Server1+2 zugreifen dürfen.
Hingegen darf Subnet2 von VPN-Server2 auf deinen internen Server3 zugreifen. Das geht per firewall, benötigt allerdings 2 OpenVPN Server auf der pfsense, was auch kein problem ist.Ich weiss allerdings keine elegante Lösung, wenn du sagst, es verschiedene Leute, zB.:
Gruppe1 -> Zugriff Server 1+2
Gruppe2 -> Zugriff Server 1+3
Gruppe3 -> Zugriff Serber 2+3
Gruppe4 -> Zugriff Server 1
(…)Das wird natürlich dann total aufwendig, so viele Server bereitzustellen. Mir fällt aber sonst keine andere sinnvolle Möglichkeit ein, das zu realisieren.
Wenn allerdings jemand anderes eine Lösung hat, lerne ich gerne dazu! -
Hallo,
vielen Dank für die Info! Über mehrer OpenVPN Server scheint es realisierbar zu sein. Werde es auf jeden Fall einmal probieren!
Gruß Horst
-
oder mit Client Overrides und dann den entsprechenden rules ? :-)
-
oder mit Client Overrides und dann den entsprechenden rules ? :-)
Ja so hätte ich das auch geregelt, allerings bin ich noch nicht dahinter gekommen wie ich feste IPs für VPN User hinterlege.
-
@slu:
oder mit Client Overrides und dann den entsprechenden rules ? :-)
Ja so hätte ich das auch geregelt, allerings bin ich noch nicht dahinter gekommen wie ich feste IPs für VPN User hinterlege.
Du gibts den Common Name des Zertifikats an, was der User nutzt.
Wenn dein OpenVPN Server folgendes Tunnel netzwerk nutzt:
10.0.1.0/24
dann kannst du darin ja 64 Clients unterbringen, da jede OpenVPN Verbindung ja eine Netz- und Broadcastadresse, eine Server-IP und eine Client-IP verwendet.
Beim Client Specific Override wählst du nun als Tunnel Netzwerk ein Netzwerkbereich aus deinem OpenVPN Server Tunnel Netzwerk aus, z.B. folgendes:
10.0.1.64/30
Der Client bekommt so immer die IP 10.0.1.66/30
So kannst du also 4er Subnetze erstellen. Das funktioniert einwandfrei :-) -
Danke für die Erklärung, momentan sieht es so aus:
10.0.1.0/24 10.0.1.2 UGS 0 32062 1500 ovpns1 10.0.1.1 link#14 UHS 0 0 16384 lo0 10.0.1.2 link#14 UH 0 0 1500 ovpns1Mein VPN Client hat die 10.0.1.10, es sind noch keine festen IPs vergeben.
Was ist jetzt die Broadcastadresse?
Und für was brauch ich das interface lo0? -
Ich bin auch kein OpenVPN Experte,
aber soweit ich weiss, wird das Netz, in diesem Fall 10.0.1.0/30, als internes Netz genutzt. Das ist nur für OpenVPN selbst da um den Traffic entsprechend zu routen. Das ist aber eine sehr "grobe" Aussage.
Ich vermute, dass dies was mit dem lo0 zu tun hat.Im Fall deines Clienten sieht es folgendermaßen aus:
10.0.1.8/30 ist die Netzadresse
10.0.1.9/30 ist die OpenVPN Serveradresse für diesen Client
10.0.1.10/30 ist die Adresse des Clients (hast du ja gesagt).
10.0.1.11/30 ist die Broadcastadresse.Also jeder Client, der eine Vebrindung zu einem OpenVPN Server aufbaut, benötigt immer ein /30 Netz wobei die Adresse immer zuerst Netz-, Server-, Client, Broadcastadresse sind.