OPNsense Forum
International Forums => German - Deutsch => Topic started by: bforpc on January 25, 2024, 03:44:15 pm
-
Hallo,
bisher haben alle openvpn Clients Zugriff auf das gesamte Intranet.
Nun möchte ich einem Client nur den Zugang zu einer IP im Intranet gewähren (zu einem Host auf den Port 80) - alles andere soll blockiert sein.
Mir ist die Vorgehensweise hierzu nicht klar.
Jan
-
Via Firewall Regeln.
-
Hajo klar :-)
Aber auf was beziehen sich die Regeln?
Dem VPN Client ist doch keine IP zugewiesen, oder wenn ja, wo?
Bfo
-
In der Dokumentation ist es beschrieben (habe gerade keine Sense vor der Nase) einfach in der Doku lesen Bereich VPN
Gesendet von iPhone mit Tapatalk Pro
-
Nun das geht mit Client Specific Overrides.
Zuerst sollte man aber in der Instance oder dem Openvpn Server "Username as CN" an machen. Das ist nur zu sehen wenn man "advanced mode" einschaltet.
Dann legt man in "Client Specific Overrides" den user mit einer definierten ip aus dem ip transfernetz an.
(http://openvpn_1.png)
(http://openvpn_2.png)
-
Hallo,
danke für den Tip und die Bilder.
Leider finde ich den Menupunkt, bzw. das Untermenu nicht, wo ich "Username as CN" einstellen kann.
Bfo
-
"Username as common name" ist nur sichtbar im neuen "Instanzen" Modus von OPNsense. Und auch dann nur wenn der advanced mode Schalter den man SEHR gern übersieht links oben im Popup auf "an" gestellt ist.
Im normalen (alten) Serverdialog ist es die letzte Menüoption:
"Force CSO Login matching" (Use Username instead of common name to match client specific override).
Da du leider nicht beschrieben hattest, ob du den Dial-In OpenVPN Server nur mit User+Pass oder mit Zertifikaten oder Zertifikate+User+Pass betreibst, weiß man auch nicht, ob das überhaupt nötig ist, den Haken zu setzen. Arbeitet man mit User+Pass+Zert macht man eh schon den Usernamen = CN des Zertifikats, dann ist auch der Haken unnötig und man matcht einfach sauber auf den Usernamen :) Bzw. wenn man das Login via FreeRadius macht, kann man sich den Zirkus komplett sparen und einfach die IP via Radius zurückgeben.
Daher wäre es von Vorteil zu wissen, wie das überhaupt konfiguriert ist.
Cheers
-
Hallo JeGr,
danke für die Erklärung.
Unsere Authentifizierung läuft nur über User, Pass und Zert. Kein radius Server.
Den "Instances (new)" Modus inkl. dem "Advanced mode" Eintrag "Username as common name" habe ich gefunden.
Allerdings: Wir haben keine weitere "Instance", also keinen Eintrag. Ich müsste also einen erstellen.
Ist das korrekt? Wofür wäre diese weitere Instanz, bzw. was genau macht diese dann?
Bfo
-
> Unsere Authentifizierung läuft nur über User, Pass und Zert. Kein radius Server.
OK wäre in dem Fall einfach nur positiver Zufall gewesen :)
> Allerdings: Wir haben keine weitere "Instance", also keinen Eintrag. Ich müsste also einen erstellen.
Was heißt "keine weitere"? Habt ihr überhaupt eine? Es ging ja darum WO der OVPN Server konfiguriert ist. Entweder im alten Modus -> habe ich geschrieben wie die Option heißt - oder im neuen Modus indem das Ding eben Instanzen heißt statt Server, was ich persönlich ziemlich bekloppt finde. Server und Client sind bekannt, OVPN funktioniert so, alle kennen das ewig. Warum man da jetzt auf Krampf das mit Instanzen neu designen musste erschließt sich mir nicht - ist aber auch egal.
Wenn euer Server via altem Server Screen konfiguriert wurde steht oben wie die Option heißt:
-> "Force CSO Login matching" (Use Username instead of common name to match client specific override).
Wenn der gesetzt ist, wird der Match auf den CN des Zertifikats gemacht, nicht auf den Usernamen der irgendwo definiert ist. Und dann kann auch via dem CN des Zertifikats der CSO gematcht werden und dem Client ne fixe IP zugewiesen werden.
Cheers
-
Hallo JeGr,
ahhhh verstehe. Jetzt erklärt sich mir so einiges.
OK, das klingt gut und das teste ich mal aus.
Und wir haben die Variante - wie du schriebst - "altem Server Screen konfiguriert".
Somit ist "Force CSO Login matching" mein Anlaufpunkt.
Danke nochmals!
Bfo