OpenVpn client'lara static ip vermek? mac adresine görede olabilir?
-
open vpn ile baglanan client'lara ayri kurallar yazmak istedigimden ayri ayri ip vermek istiyorum.
nette arastirdigima gore /var/etc/openvpn-csd dizinine baglanacak kullanicinin adi ile bir dosya acmam ve icerisine
ipconfig-push …. gibi komut eklemem egerektigi anlatilmis ama ne yaptiysam olmadi.
bu ozelligi kullananlar varsa simdiden yardimlari icin tesekkur ederim. -
Selam,
VPN > OpenVPN
menüsünden
Client Specific Overrides gelin + ile ekleme yapın.
"Common name" kısmına OpenVpn kullanıcı adını birebir yazın."ifconfig-push 192.168.9.10 255.255.255.0"
gibi bu menüden yazarak deneyin.Su anda merpazar serviste olan cihazım da kullanıyordum.
Bir ara bir kullanıcı için ihtiyaç olmuştu.
makine şuan yok menüden TAM OLARAK tarif edememiş olabilirim ama istersen xml conf yedeğim var.
paylaşabilirim.Aklımdaki bu şekilde…
-
vpn e baglandıktan sonra her kullanıcının ip almasını istedigim aralık 10.0.25.0/24
vpn ile tüm erişimlerin yapılmasını istedigim ip blogu 10.0.0.0/16
user01 isimli kullanıcıya vermek istedigim ip adresi 10.0.25.50
pfsense sunucunun wan ip adresi: 192.168.0.14dediklerinizi yaptım şu şeklilde bir hata almaktayım. teşekkürler.
Sun Jan 04 22:26:13 2015 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec 1 2014
Sun Jan 04 22:26:13 2015 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Enter Management Password:
Sun Jan 04 22:26:19 2015 Control Channel Authentication: using 'pfSense-udp-1194-user01-tls.key' as a OpenVPN static key file
Sun Jan 04 22:26:19 2015 UDPv4 link local (bound): [undef]
Sun Jan 04 22:26:19 2015 UDPv4 link remote: [AF_INET]192.168.0.14:1194
Sun Jan 04 22:26:19 2015 WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
Sun Jan 04 22:26:19 2015 [memsvpn] Peer Connection Initiated with [AF_INET]192.168.0.14:1194
Sun Jan 04 22:26:22 2015 WARNING: Since you are using –dev tun with a point-to-point topology, the second argument to --ifconfig must be an IP address. You are using something (255.255.255.0) that looks more like a netmask. (silence this warning with --ifconfig-nowarn)
Sun Jan 04 22:26:22 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sun Jan 04 22:26:22 2015 There is a problem in your selection of --ifconfig endpoints [local=10.0.25.50, remote=255.255.255.0]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet. This is a limitation of –dev tun when used with the TAP-WIN32 driver. Try 'openvpn --show-valid-subnets' option for more info.
Sun Jan 04 22:26:22 2015 Exiting due to fatal error -
Selamlar,
Öncelikle belirtmek istediğim bir nokta var. Aşağıdaki vermiş olduğunuz satırlardan anladığım kadarıyla vpn kullancılarınız ile vpn tunnel blogunuz aynı subnette olduğu için kullanıcılarınız pfSense cihazınıza kadar geliyor tunnel ile aynı subnette olduğu için tunnel den çıkamıyor. Bu noktada;
- Ya tunnel blogunuzu değiştireceksiniz,
- Ya kullanıcı vpn ip blogunu değiştireceksiniz,
- Ya ulaşmasını istediğiniz networkun ip blogunu değiştireceksiniz,
- Ya da daha da basiti (vpn ile tüm erişimlerin yapılmasını istedigim ip blogu 10.0.0.0/16) erişmesi istediğiniz ip blogunu daha spesifik bir şekilde belirteceksiniz. Ör: 10.0.25.0/24 ten farklı bir ip blogu oldugunu varsayım yaparak mesela 10.0.26.0/24 şeklinde gibi.
Umarım karmaşık olmamıştır.
İçtenliklerimle,
SGTRvpn e baglandıktan sonra her kullanıcının ip almasını istedigim aralık 10.0.25.0/24
vpn ile tüm erişimlerin yapılmasını istedigim ip blogu 10.0.0.0/16
user01 isimli kullanıcıya vermek istedigim ip adresi 10.0.25.50
pfsense sunucunun wan ip adresi: 192.168.0.14 -
yardımcı olmak isterseniz teamviewer verebilirim.
teşekkürler. -
Selam tekrar,
OpenVPN server yapılandırma görüntüsünü (sadece tunnel bölümünü) paylaşabilir misiniz? Oradan izah etmek daha kolay olacaktır.
İçtenliklerimle,
SGTR -
en son şu şekilde çalışıyor. user01 user02 user03 için Advanced kısmında her kullanıcı arasında 4 ip aralıgı düşmem gerekiyor.
mantıgı konusunda fikirlerinizi almak isterim.
VPn >> Open vpn >> Server
Server Mode : Remote Access (SSL/TLS + User Auth)
Protocol : udp
Device Mode : tun
Interface : wan
Local port : 1194
IPv4 Tunnel Network : 10.0.25.0/24
IPv4 Local Network/s : 10.0.0.0/16
Dynamic IP: secili
Address Pool : secili
OpenVPN: Client Specific Override
Common name : user01
Tunnel Network : 192.168.25.0/24
Advanced : ifconfig-push 10.0.25.254 10.0.25.253;
OpenVPN: Client Specific Override
Common name : user02
Tunnel Network : 192.168.25.0/24
Advanced : ifconfig-push 10.0.25.250 10.0.25.249;
OpenVPN: Client Specific Override
Common name : user03
Tunnel Network : 192.168.25.0/24
Advanced : ifconfig-push 10.0.25.246 10.0.25.245;
-
Selamlar,
İlk mesajımda da belirttiğim gibi tunnel subnetiniz ve local subnetiniz aynı olmamalı. 10.0.0.0/16 demek aslında 10.0.0.0-10.0.255.255 aralığını kapsıyor. Bu da sizin verdiğiniz tunnel networkunu local network içindeki bir aralığa denk geliyor. Tunnel subnetinizi farklı bir subnet ile (ör:172.16.25.0/24 şeklinde) değiştirebilirseniz uzak kullanıcılarınız sorun yaşamayacaklardır.
İçtenliklerimle,
SGTR -
SGTR arkadaşım yardımlarınız için çok teşekkür ederim.
kafama takılan bir nokta var. yukarıdada yazdıgım gibi sabit ip vermek istedigim kullanıcılara mesela user01 için 10.0.25.254 verirsem user02 için 10.0.20.250 user03 için 10.0.20.246 verebiliyorum. ardı sıra ip veremiyorum. verdigim ifconfig-push komutunda mesela user01 için ipconfig-push 10.10.20.254 10.0.20.253; komutuyla 10.0.20.254 ip adresini alıyor ve loglarda bu kullanıcının dhcp sunucusu 10.0.20.253 görünüyor.
saygılarımla
-
yabancı bir forumda su sekilde demiş biri:
When PFSense distribute open vpn client addresses , It divide all range in /24 mask, in to groups with 4 ips with /30 mask . The first group is 192.168.1.4 – name of network ,192.168.1.5 gate only for this group, 192.168.1.6 assign to client, 192.168.1.7 broadcast for this group only.
The next group 192.168.1.8 – 192.168.1.11
the next one 192.168.1.12-192.168.1.15Only addresses 6,10,14,18, ….. will be assigned to clients.
If you specify different from this addresses and different from theirs own gateway, it do not work.So the right line in Advanced options should be:
ifconfig-push 192.168.1.6 192.168.1.5;
the next one:
ifconfig-push 192.168.1.10 192.168.1.9;
ifconfig-push 192.168.1.14 192.168.1.13;
and so on….in this way it works perfectly.