OpenVPN y permisos x usuarios A.D.

JaviGM

Hola! Una consulta. Tengo instalado PFSense 2.1.5 y uso OpenVPN para las conexiones remotas de los clientes moviles. OpenVPN esta integrado al A.D. x LDAP x lo que lo uso con los usuarios configurados alli (en el A.D.). Lo que quisiera es configurar permisos de acceso a ciertas redes a usuarios especificos (usuarios de A.D.) que se conectan por la vpn, es decir, permitir que jgomez pueda acceder solo a la red 192.168.10.0/24, que amartinez pueda acceder a un solo host de otra red, etc. Mas alla de las reglas de FW a configurar me interesan los permisos de accesos de usuarios, se puede hacer esto?

Gracias!!

bellera

Si otorgas una IP en concreto a cada usuario, puedes definir reglas en la pestaña Rules: OpenVPN

Es una idea. No sé si será suficiente para lo que quieres.

JaviGM

Gracias!! Se puede asociar un usuario de A.D. a una ip fija cuando accede x vpn? No tenvo claro como se haria eso, me podrias decir donde informarme al respecto? O si hay algun tutorial?

bellera

Creo que OpenVPN: Client Specific Override te servirá.

JaviGM

No, por lo que vi y entendi hasta ahora, parece que no llega a cubrir la necesidad de ponerle reglas de acceso a ciertas redes a usuarios de A.D…. Agradezco las respuestas!!

Saludos

acriollo

por que no cumple ?

saludos

bellera

@JaviGM:

No, por lo que vi y entendi hasta ahora, parece que no llega a cubrir la necesidad de ponerle reglas de acceso a ciertas redes a usuarios de A.D…. Agradezco las respuestas!!

Saludos

A ver, ahí puedes identificar a cada cliente e imponerle parámetros de red. Entre ellos la IP. Y después las reglas de que hablamos.

JaviGM

Entiendo que cliente no es lo mismo que usuario (nombre de usuario), yo hablo de los usuarios de A.D. que se usan tambien para loguear con el cliente VPN. Cuando yo utilizo usuarios de A.D., por lo que logre configurar hasta ahora, pfsense solo genera un certificado gral. para el acceso (no uno x nombre de usuario como lo hace con usuarios locales) y ese certificado es el que se importa en el cliente OpenVPN. El grupo de usuarios de A.D. que pertenezca a la OU que a mi me interesa (especificada al configurar LDAP), sera el autorizado a ingresar con la regla del FW que permite el ingreso a las IP del tunel, no tengo forma de identificar los usuarios especificos porque aparentemente no los puedo mapear con una ip fija y permanente, es decir, no puedo indicar que jperez (usuario de A.D.) tiene siempre la ip 192.168.0.10 (IP del tunel) para luego decir en una regla determinada que solo puede acceder a la 192.168.1.0/24 x ejemplo.

Gracias!!

bellera

Siendo así igual el empleo de FreeRadius puede solucionar el tema, https://doc.pfsense.org/index.php/Using_OpenVPN_With_FreeRADIUS

No me queda claro si la integración de OpenVPN + FreeRadius (este empleando LDAP) permite emplear las capacidades de FreeRadius para asignar IPs.

Google openvpn freeradius