OPNsense Forum
International Forums => German - Deutsch => Topic started by: Zeitkind on August 07, 2020, 02:31:13 pm
-
Moin.
In den Einstellungen "Client Specific Overrrides" bei OpenVPN ist mir aufgefallen, daß "Advanced" als deprecated markiert ist. Nu mache ich da aber meine clientspezifischen Dinge wie ifconfig-push rein um z.B. den Zugriff auf interne IP-Bereiche zu beschränken. Alternativen wären wohl Konfig-Verzeichnisse wie in
https://community.openvpn.net/openvpn/wiki/Concepts-Addressing
beschrieben, aber Zugriff auf ein /etc/openvpn/mein-ccd hat man hier ja gar nicht.
Wie regelt man dann in Zukunft Zugriffsrechte per Client? (A darf nur 192.168.55.10; B darf ganzes 192.168.88.0, C darf alles)
-
Ich mache dies über verschiedene VPN Server...
Über push regelst du ja nur die routen...Die könnte theoretisch jeder Endanwender auch selbst festlegen...
Gesendet von meinem LG-H815 mit Tapatalk
-
ist nicht auch eine möglichkeit mit firewall regeln, bei mir bekommen die clienst immer die gleiche ip.
-
Über push regelst du ja nur die routen..
Ne, mit ifconfig-push legst du die IP des Clients fest, und kannst dann mit Firewallregeln diese IP beschränken:
ifconfig-push 10.23.45.67 255.255.255.248;
Firewall: unter OpenVPN-Interface, alles first match:
10.23.45.67 darf auf IP interner Mailserver
.. weitere Regeln für alle User...
und zum Schluss: Alle dürfen nix
Edit: Und wenn man bei den Firewallregeln mit Aliasen arbeitet, hat man auch nicht sooo viel an Regeln zu erstellen. Ein nettes GUI dafür wäre mit aber auch .. willkommen.
-
Hallo,
ich nutze auch unter "VPN" -> "OpenVPN" -> "Client Specific Overrides" -> "Advanced" die Option "ifconfig-push 192.168.XXX.XXX 255.255.255.0;", um den VPN-Usern eine eindeutige IP-Adresse zuzuweisen.
Wie kann das zukünftig realisiert werden, wenn die "Advanced"-Option wegfällt?
"This option will be removed in the future due to being insecure by nature. In the mean time only full administrators are allowed to change this setting."
Ist bereits bekannt, wann konkret diese Option wegfällt?
Viele Grüße
Udo
-
Hallo,
ich nutze auch unter "VPN" -> "OpenVPN" -> "Client Specific Overrides" -> "Advanced" die Option "ifconfig-push 192.168.XXX.XXX 255.255.255.0;", um den VPN-Usern eine eindeutige IP-Adresse zuzuweisen.
Wie kann das zukünftig realisiert werden, wenn die "Advanced"-Option wegfällt?
"This option will be removed in the future due to being insecure by nature. In the mean time only full administrators are allowed to change this setting."
Ist bereits bekannt, wann konkret diese Option wegfällt?
Viele Grüße
Udo
Das machst du bei CSC im Tunnel Network, wenn zb 10.0.0.0/24 global, dann beim User zb 10.0.0.5/24
-
Damit ordnest du aber keinem User eine spezifische IP zu, damit trennt man eher Gruppen.
Wie oben schon erwähnt (Link zur OpenVPN-Webseite), macht man das entweder per push oder durch eine Liste in einem config-Verzeichnis, welches aber unter OPNSense nicht zugänglich wäre - oder nur per shell und ohne Backup und...
Jedem Nutzer ein eigenes Netzwerk zuteilen, ist ja nicht wirklich zielführend, auch wenn es bei nur wenigen Nutzern machbar ist.
Ich weiß nicht, ob man den OpenVPN-Client dazu bringen kann, das Push-Kommando zu ignorieren, ansonsten ist mir nicht ganz klar, warum diese Option wegfallen soll.
-
Warum? Du gibst doch nicht jedem User ein Netz sondern eine IP in dem Tunnelnetz, funktioniert bei mir super
-
Dein 10.0.0.5/24 ist keine IP, sondern ein Netz. Ergo weißt du einem User eine IP aus diesem Netz zu, aber nicht eine spezifische IP, die nur der und immer nur der hat. Das funktioniert eben mit ifconfig push, und nur dann kannst du per IP die Firewallregeln entsprechend der User anpassen.
Klar, braucht man nur, wenn man auch eine entsprechende Anzahl an Usern hat - die auch spezifische Zugriffsrechte haben. Wer nur 1-2 Leutchen am VPN hat, braucht diese Option (oder ganze Listen in einem config-dir) eh nicht.
-
Ich kann's jetzt leider nicht gegenargumentieren weil mir der Rechner fehlt, ich schaue es mir nächste Woche Mal an
-
Bin gespannt, das gleiche Thema habe ich auch.
-
Ah, funktioniert tatsächlich wie mimugmail gesagt hat. Siehe Anhang.
Das Tunnel Netz beim Servers Eintrag ist 10.20.36.0/24 - der Client bekommt aber die im CSC zugewiesene 10.20.36.225/24.
-
Jetzt fehlt mir nur noch eine Lösung für
push "dhcp-option DOMAIN-SEARCH ....."
-
Ah, funktioniert tatsächlich wie mimugmail gesagt hat. Siehe Anhang.
Das Tunnel Netz beim Servers Eintrag ist 10.20.36.0/24 - der Client bekommt aber die im CSC zugewiesene 10.20.36.225/24.
Ja genau. Ich mach halt immer noch die drei Haken "Dynamic", "Address Pool" und "Topology".
Eventuell gehts nicht mit jeder Kombi.