Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
opnenvpn Client mit Zugriff auf nur 1 IP im Intranet
« previous
next »
Print
Pages: [
1
]
Author
Topic: opnenvpn Client mit Zugriff auf nur 1 IP im Intranet (Read 1194 times)
bforpc
Full Member
Posts: 144
Karma: 1
opnenvpn Client mit Zugriff auf nur 1 IP im Intranet
«
on:
January 25, 2024, 03:44:15 pm »
Hallo,
bisher haben alle openvpn Clients Zugriff auf das gesamte Intranet.
Nun möchte ich einem Client nur den Zugang zu einer IP im Intranet gewähren (zu einem Host auf den Port 80) - alles andere soll blockiert sein.
Mir ist die Vorgehensweise hierzu nicht klar.
Jan
Logged
lewald
Sr. Member
Posts: 334
Karma: 21
Re: opnenvpn Client mit Zugriff auf nur 1 IP im Intranet
«
Reply #1 on:
January 25, 2024, 04:28:06 pm »
Via Firewall Regeln.
Logged
bforpc
Full Member
Posts: 144
Karma: 1
Re: opnenvpn Client mit Zugriff auf nur 1 IP im Intranet
«
Reply #2 on:
January 26, 2024, 07:30:40 am »
Hajo klar :-)
Aber auf was beziehen sich die Regeln?
Dem VPN Client ist doch keine IP zugewiesen, oder wenn ja, wo?
Bfo
Logged
micneu
Hero Member
Posts: 1912
Karma: 59
Re: opnenvpn Client mit Zugriff auf nur 1 IP im Intranet
«
Reply #3 on:
January 26, 2024, 08:52:21 am »
In der Dokumentation ist es beschrieben (habe gerade keine Sense vor der Nase) einfach in der Doku lesen Bereich VPN
Gesendet von iPhone mit Tapatalk Pro
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
lewald
Sr. Member
Posts: 334
Karma: 21
Re: opnenvpn Client mit Zugriff auf nur 1 IP im Intranet
«
Reply #4 on:
January 26, 2024, 09:09:48 am »
Nun das geht mit Client Specific Overrides.
Zuerst sollte man aber in der Instance oder dem Openvpn Server "Username as CN" an machen. Das ist nur zu sehen wenn man "advanced mode" einschaltet.
Dann legt man in "Client Specific Overrides" den user mit einer definierten ip aus dem ip transfernetz an.
Logged
bforpc
Full Member
Posts: 144
Karma: 1
Re: opnenvpn Client mit Zugriff auf nur 1 IP im Intranet
«
Reply #5 on:
January 31, 2024, 02:17:19 pm »
Hallo,
danke für den Tip und die Bilder.
Leider finde ich den Menupunkt, bzw. das Untermenu nicht, wo ich "Username as CN" einstellen kann.
Bfo
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: opnenvpn Client mit Zugriff auf nur 1 IP im Intranet
«
Reply #6 on:
January 31, 2024, 04:16:53 pm »
"Username as common name" ist nur sichtbar im neuen "Instanzen" Modus von OPNsense. Und auch dann nur wenn der advanced mode Schalter den man SEHR gern übersieht links oben im Popup auf "an" gestellt ist.
Im normalen (alten) Serverdialog ist es die letzte Menüoption:
"Force CSO Login matching" (Use Username instead of common name to match client specific override).
Da du leider nicht beschrieben hattest, ob du den Dial-In OpenVPN Server nur mit User+Pass oder mit Zertifikaten oder Zertifikate+User+Pass betreibst, weiß man auch nicht, ob das überhaupt nötig ist, den Haken zu setzen. Arbeitet man mit User+Pass+Zert macht man eh schon den Usernamen = CN des Zertifikats, dann ist auch der Haken unnötig und man matcht einfach sauber auf den Usernamen
Bzw. wenn man das Login via FreeRadius macht, kann man sich den Zirkus komplett sparen und einfach die IP via Radius zurückgeben.
Daher wäre es von Vorteil zu wissen, wie das überhaupt konfiguriert ist.
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
bforpc
Full Member
Posts: 144
Karma: 1
Re: opnenvpn Client mit Zugriff auf nur 1 IP im Intranet
«
Reply #7 on:
February 05, 2024, 09:08:29 am »
Hallo JeGr,
danke für die Erklärung.
Unsere Authentifizierung läuft nur über User, Pass und Zert. Kein radius Server.
Den "Instances (new)" Modus inkl. dem "Advanced mode" Eintrag "Username as common name" habe ich gefunden.
Allerdings: Wir haben keine weitere "Instance", also keinen Eintrag. Ich müsste also einen erstellen.
Ist das korrekt? Wofür wäre diese weitere Instanz, bzw. was genau macht diese dann?
Bfo
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: opnenvpn Client mit Zugriff auf nur 1 IP im Intranet
«
Reply #8 on:
February 10, 2024, 11:20:47 am »
> Unsere Authentifizierung läuft nur über User, Pass und Zert. Kein radius Server.
OK wäre in dem Fall einfach nur positiver Zufall gewesen
> Allerdings: Wir haben keine weitere "Instance", also keinen Eintrag. Ich müsste also einen erstellen.
Was heißt "keine weitere"? Habt ihr überhaupt eine? Es ging ja darum WO der OVPN Server konfiguriert ist. Entweder im alten Modus -> habe ich geschrieben wie die Option heißt - oder im neuen Modus indem das Ding eben Instanzen heißt statt Server, was ich persönlich ziemlich bekloppt finde. Server und Client sind bekannt, OVPN funktioniert so, alle kennen das ewig. Warum man da jetzt auf Krampf das mit Instanzen neu designen musste erschließt sich mir nicht - ist aber auch egal.
Wenn euer Server via altem Server Screen konfiguriert wurde steht oben wie die Option heißt:
-> "Force CSO Login matching" (Use Username instead of common name to match client specific override).
Wenn der gesetzt ist, wird der Match auf den CN des Zertifikats gemacht, nicht auf den Usernamen der irgendwo definiert ist. Und dann kann auch via dem CN des Zertifikats der CSO gematcht werden und dem Client ne fixe IP zugewiesen werden.
Cheers
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
bforpc
Full Member
Posts: 144
Karma: 1
Re: opnenvpn Client mit Zugriff auf nur 1 IP im Intranet
«
Reply #9 on:
February 12, 2024, 10:14:03 am »
Hallo JeGr,
ahhhh verstehe. Jetzt erklärt sich mir so einiges.
OK, das klingt gut und das teste ich mal aus.
Und wir haben die Variante - wie du schriebst - "altem Server Screen konfiguriert".
Somit ist "Force CSO Login matching" mein Anlaufpunkt.
Danke nochmals!
Bfo
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
opnenvpn Client mit Zugriff auf nur 1 IP im Intranet