Hallo,
ich betreibe einen OpenVPN-Server. Die User melden sich über LDAP an.
Bisher habe ich nur herrausgefunden, dass ich nur bestimmten Benutzergruppen die Anmeldung am OpenVPN Server generell erlauben kann.
Ich würde gern benutzerspezifische Regeln schreiben. z.B. soll User1 (eventuell auch identifiziert durch eine Gruppe) nur auf einen im Netzwerk zugreifen können.
Ist das ganze mit OPNsense umsetzbar?
Ich habe die Client Specific Overrides gefunden und glaube, dass man so jedem Benutzer eine statische IP zuteilen kann und im nächsten Schritt dann eine entsprechende Regel anlegen kann - geht das auch einfacher?
Ich fürchte nicht.
Du kannst Aliasse anlegen und somit bestimmte Nutzer gruppieren, um nicht viele einzelne FW Regeln zu haben, sondern das etwas zu strukturieren. Das müsste man ja auch nur für Benutzer machen, die spezielle Berechtigungen brauchen.
Alternativ kannst Du auch weitere OpenVPN Server anlegen und darüber die Berechtigungen regeln. Jeder OpenVPN Server hat dann seinen eigenen IP-Bereich.
Würde das in Client Override nicht mit IPv4 Local Network gehen?
Da kannste ja pro Client sagen welche netze oder Hosts erreichbar sein sollen.
Quote from: lewald on February 19, 2021, 04:32:43 PM
Würde das in Client Override nicht mit IPv4 Local Network gehen?
Da kannste ja pro Client sagen welche netze oder Hosts erreichbar sein sollen.
Ja, ginge vermutlich auch. Wenn er das aber feiner justieren will, wie z.B. nur auf den Fileserver per CIFS in dem einen Netz, dann muss er das mit FW Regeln lösen.
Das kann man ja zweistufig aufbauen.
Gruß Jens