OpenVPN Benutzer auf bestimmte IP Adresse binden.

[ST3V3N]

Hallo liebe Comunity,

ich würde gern wissen wollen, ob es möglich ist einem OpenVPN Benutzer auf nur eine Ziel IP zu binden.

Sprich, der Benutzer lockt sich per VPN ein und bekommt im Zielnetzwerk nicht den ganzen Bereich sondern nur eine IP Adresse angezeigt.

Der Benutzer soll unter Windows per RDP nur diese IP Adresse anwählen können.

Im Netz habe ich leider nichts gefunden und unter OPNsense findet sich unter VPN und Client nichts dazu. Als Alias und Regel lässt sich auch kein Client auswählen.

Hoffe es kann mir jemand helfen.

[kosta]

Meines Wissens nach ist das im OpenVPN Protokoll allgemein nicht möglich. Die User werden immer dynamisch eine IP aus dem angegebenen Bereich bekommen.
Was aber bei OPNsense geht, du kannst sagen dass ein Benutzer nur eine IP bekommt. Der Nachteil soll aber sein, dass ein Wechseln zwischen die Netze und Ausfälle nicht so gut und möglichst seamless behandelt werden können.

Wenn du das willst allerdings, kannst du zu Wireguard wechseln, dort geht's (sogar Anforderung glaub ich).

[ST3V3N]

Ich glaube, ich hab die Frage falsch formuliert oder ich deute deine Antwort falsch.:(

Ich versuche es mal zu verdeutlichen.

Der Benutzer meldet sich über VPN an und bekommt irgend eine IP zugewiesen, das passt auch so. Allerdings kann der Benutzer dann alle IP Adressen im gesamten Netzwerk anpingen, bzw. sich per Remotedesktop (wenn freigegeben) damit verbinden. Ich möchte erreichen, dass der Benutzer nur eine bestimmte IP Adresse im gesamten Netzwerk sieht und sich damit verbinden kann.

Ist:

Benutzer über VPN (VPN IP 10.10.12.3) -> Ziel IP Adressenbereich Bsp. 10.10.10.1 - 255

Soll:

Benutzer über VPN (VPN IP 10.10.12.3) -> Ziel IP Adresse Bsp. 10.10.10.3

Kurz gesagt, der Benutzer hat im Netzwerk nur Zugriff auf eine Ziel IP Adresse, wenn er mit der VPN verbunden ist.

Liebe Grüße

[kosta]

Ich kenne es eigentlich gar nicht anders.
Du hast in der Firewall das OpenVPN Interface und wenn du hier keine Rules hast, gibt es sowieso keinen Zugriff auf irgendwas. Tunnel Netzwerk ist sowieso ein eigenes, daher brauchst du Routing.
Und im OpenVPN Server Konfig kannst du Inter-Client Communication abschalten.
Damit kann ein OpenVPN Benutzer ohne Freigaben in der Firewall eigentlich nichts zugreifen.
Erstellst du ein Rule mit der single IP, hast du genau das was du willst.

[ST3V3N]

Das hieße, wenn ich mehrere Benutzer habe, muss ich für jeden Benutzer eine eingehende Regel unter Firewall im OpenVPN erstellen.

Dann müsste ich in der Regel als Quelle den Benutzer eintragen, nur geht das nicht. Auch als Alias kann ich keinen Benutzer auswählen. Folglich müsste ich jeden Benutzer eine statische IP geben, damit ich diese auswählen kann.
Das finde ich leider nicht.

[kosta]

Das was du willst, geht aus meiner Sicht nicht.
Pro Benutzer erlauben geht nicht.
IP fix zuweisen geht auch nicht.
Du kannst nur das ganze Netz auf bestimmte IP erlauben.

[ST3V3N]

Das ist schade, aber trotzdem danke für deine Hilfe.

[kosta]

Was mir noch einfällt, weiß nicht ob das plausibel ist, aber du könntest mehrere Server erstellen, einen pro Benutzer. Jeder den eigenen Bereich. Und dann per Firewall regeln.

[lewald]

Ich denke das geht schon.

Müsste mit Client Specific Overrides gehen.

http://eigene_ip_opnsense/vpn_openvpn_csc.php

Da kann User Bezogen einiges eingestellt werden. Da kann ich auch eine definierte IP für den Client pushen.
Damit hat der schon mal immer die gleiche ip.

Im Bereich IPv4 Local Network müsste dort auch eine einzele IP (xxx.xxx.xxx.xxx/32) möglich sein.






Wichtig war bei mir im Bereich des VPN Servers
Force CSO Login Matching An zu machen.

[kosta]

Geht über mein Wissen darüber, aber:
https://openvpn.net/community-resources/configuring-client-specific-rules-and-access-policies/
Each pair of ifconfig-push addresses represent the virtual client and server IP endpoints. They must be taken from successive /30 subnets in order to be compatible with Windows clients and the TAP-Windows driver. Specifically, the last octet in the IP address of each endpoint pair must be taken from this set.

[mrk45k]

Hallo, sollte so gehen...

https://forum.opnsense.org/index.php?topic=23247.msg110431#msg110431

und dann mit den firewall rules zulassen oder blocken.

[lewald]

Das mit der einzelenen Ip im Bereich Local Network habe ich ausprobiert.

Das lässt immer noch alle anderen IPs des Bereiches durch.
Mit der festen ip Pro Client geht aber wie erwähnt und dann über Firewall Regeln.

[JeGr]

Also @kosta: Bitte hör auf mit "es geht nicht, das lässt OVPN nicht zu etc.". Das ist leider quatsch.

@ST3V3N:

Ja was du möchtest ist möglich, bedarf aber mehrerer Faktoren, die richtig konfiguriert sein müssen. Dann ist das aber durchaus machbar und möglich, so dass ein User wenn er sich per OVPN verbindet:

1) immer die gleiche IP bekommt
2) man ihn mit dieser IP auch gezielt filtern kann
3) damit bestimmen kann, dass dieser User bzw. diese IP nur mit einer Gegenstelle oder einem bestimmten Alias an IPs reden darf
4) er nur gewisse Ports benutzen darf (etc. etc. also ganz normales Regelwerk)

Wenn die Clients nicht miteinander kommunizieren können sollen - so ist das normalerweise per default bereits vordefiniert, andernfalls im OVPN Server die Option suchen, dass verbundene Clients miteinander reden dürfen und den Haken rausnehmen. Im Normalfall können das verbundene Clients nämlich nicht. Müssen sie eigentlich auch nicht, denn in >90% sind das Clients die auf irgendwelchen Diensten arbeiten wollen und nicht Clients die auf andere Clients verbinden sollen :)

Also wie @lewald schon korrekt sagt: ja das ist alles möglich. Müsste man etwas gezielter definieren was genau wie möglich und nicht möglich sein soll, aber OVPN und das Regelwerk geben da einiges her.

Cheers

[kosta]

Also @kosta: Bitte hör auf mit "es geht nicht, das lässt OVPN nicht zu etc.". Das ist leider quatsch.

In Ordnung, wollte ich nur helfen, lag aber falsch. Es tut mir leid.