Hallo, gibt es die Möglichkeit für zwei unterschiedliche Benutzer zwei unterschiedliche Profile zu bauen?
Ein Benutzer soll den gesamten Traffic durch den Tunnel schicken und der andere Benutzer nur den Traffic für das Remote Netzwerk?
Inwiefern bauen?
Du kannst bei der Konfiguration von Benutzer B, der alles durch den Tunnel schicken soll, in der Client Config das entsprechende Keyword mit eintragen. Nur das kann dieser natürlich genauso wieder austragen. Wirklich auf Nummer sicher gehen kann man m.W. nur, wenn es als Server Variable gepusht wird, dann kann man es allerdings nicht beim Client "ignorieren", somit würden dann alle den Default Gateway Push bekommen. Somit kommt m.E. dann nur zwei separate Server in Frage einer mit, einer ohne Default GW Push via VPN.
Verbessert mich gern, wenn dem nicht (mehr) so ist. :)
Dafür sind doch die sogenannten CSCs. Das sind userspezifische Config Overrides. So stelle ich zB. sicher, dass alle meine Clients eine bestimmte IP Adresse bekomme.
Das CSC triggert auf den Common Name des Zertifikats. Jeder Nutzer muss also ein eigenes Zertifikat verwenden. Ich weiß das sollte stets so sein, sehe es aber auch oft anders.
VPN->OpenVPN->Client-spezifische Konfiguration
Hinzufügen, entsprechenden Server auswählen und den Common Name des gewünschten Zertifikats eintragen.
Sollte die gewünschte Option nicht bei den Haken stehen gibt es unten ein "Erweitert" Feld in dem man rohe OpenVPN Config Direktiven eintragen kann.
Connected jetzt ein Client mit diesem CommonName werden die Einstellungen aus der CSC genommen.
Danke für eure Antworten. Bei der Person handelt es sich aber immer um mich. Selbe Windows Benutzer und selbes Gerät. Wie mache ich es dann?
Bitte noch mal genauer beschreiben.
Du benötigst 2 Benutzer.
Einer soll nur den VPN Traffic übers VPN schicken
Der Andere soll jeden Traffic übers VPN schicken
In beiden Fällen bist du der Benutzer.
Wenn ich das so richtig verstanden habe, dann solltest du trotzdem 2 verschiedene OPNsense Benutzer verwenden. Jeder bekommt dann für OpenVPN ein anderes Zertifikat. Das ist zwar Mehraufwand, aber nur anhand des Zertifikat CommonNames kann die clientspezifische Config angewendet werden.
Wenn allerdings nur du der Nutzer bist, dann kannst du doch dem Vorschlag von JeGr folgen und 2 verschiedene Client configs verwenden. Dann ist es auch nicht so schlimm, dass dieses Verhalten nicht vom Server forciert sondern vom Client initiiert wird.
Wo stelle ich das denn am Client ein, in der Config?
Da müsste in der Client Config der Eintrag:
redirect-gateway
genügen, um das zu erreichen. Eventuell auch
redirect-gateway autolocal
Damit werden dann zwei Gateway Einträge erzeugt (0.0.0.0/1 und 128.0.0.0/1), die zusammen auch den gesamten legacy (v4) Raum abdecken, aber dein normales default Gateway nicht überschreiben. Zusätzlich wird für dein eigentliches default GW noch eine Hostroute eingetragen, damit du weiterhin über die richtige Verbindung deinen VPN Server erreichen kannst. Alles andere wird dann über die zwei /1er Netze an das VPN Gateway geschippert.