OpenVPN Server - Spezifische Zugriffsregel für Benutzer

[spooner.arthur]

Hallo Zusammen,
ich hab folgende Frage:

Kann man beim OpenVPN Server auf der OPNsense unterschiedliche Zugriffregeln pro Benutzer / Gruppe einrichten?

Damit meine ich folgendes:
Es gibt einen VPN Zugriff für die Gruppe Mitarbeiter.
Diese dürfen auf alle auf das selbe zugreifen.
Komplettes Netz, Server XYZ, usw.

Dann gibt es externe Benutzer.
Benutzer A soll nur auf Server X zugreifen können
Benutzer B soll nur auf Server Y zugreifen können

Gibt es eine solche Möglichkeiten?
Wenn ja, wo / wie muss es eingerichtet werden?

Danke, Gruß Arthur

[tiermutter]

Du kannst die User einer entsprechenden Usergruppe zuweisen und dann einen entsprechenden Alias nehmen, den Du dann in einer Regel verwendest, mit dem Du den Zugriff regelst.
https://docs.opnsense.org/manual/aliases.html

Alternativ (so mache ich es aus Gewohnheit, ist aber aufwändiger wenn es mehrere User gibt) kannst Du mit CSO jedem User eine feste IP zuweisen, die dann in den Regeln oder gruppiert wieder als Alias verwendet werden können.

[spooner.arthur]

Ach so, du meinst für jeden externen Benutzer eine eigene OpenVPN User Gruppe.

Im Moment trage ich im VPN Server unter IPv4 Local Network ja die erlaubten Netze oder IPs ein.
These are the IPv4 networks that will be accessible from the remote endpoint. Expressed as a comma-separated list of one or more CIDR ranges. You may leave this blank if you don't want to add a route to the local network through this tunnel on the remote machine. This is generally set to your LAN network.

Was trage ich dann hier ein?

Und dann muss ich unter Firewall: Rules: OpenVPN
die jeweiligen Zugriffsregeln für die OpenVPN User Groups erstellen, richtig?

[tiermutter]

Ja, kannst auch für jeden einzelnen User eine eigene Gruppe machen... wenn es natürlich mehrere User sind, die dieselben Berechtigungen haben, dann kommen die zusammen in eine Gruppe.
Es ist aber keine VPN Gruppe, sondern Usergruppe (wird bei den Usern konfiguriert). Diese Gruppe wird dann aber im Alias verwendet, das steht auf der verlinkten Seite mit den Aliases aber recht gut beschrieben.

Im VPN Server stellst Du nur das Routing ein, das bleibt wie es ist (also so, dass zu Deinem LAN geroutet wird).
In den Firewallregeln erstellst Du dann Regeln mit dem Alias auf dem OVPN Interface:
Allow
Source = Alias_Gruppe 1
Destination = IP von Server 1

Allow
Source = Alias_Gruppe 2
Destination = IP von Server 2

[...]

Damit kommen alle User der Gruppe 1 nur auf Server 1.
Eine Default allow Regel darf es dann aber nicht geben.

Für die Mitarbeiter erstellst Du eine Regel:
Allow
Source = Alias_Mitarbeiter
Destination = any

[spooner.arthur]

Das hört sich gut an.

Muss aber noch mal fragen was ich jetzt bei den erlaubten Netzen eintragen muss?
https://www.windowspro.de/thomas-joos/openvpn-opnsense-einrichten
Bild zwei: IP Tunnelnetzwerk

Ich hab in der Regel immer mehrere VLans, mit unterschiedlichen Diensten.
Trag ich jetzt nichts ein?
Oder nur VLan1?

[tiermutter]

Das Tunnel Netz kannst du quasi frei wählen und spielt keine Rolle für Regelung der Zugriffe.
Oben hast du von dem lokalen Netz gesprochen, hier müssten dann alle Netze bzq IPs rein die die Clients grundsätzlich überhaupt erreichen könnten (was dann ja wiederum durch die Regeln eingeschränkt wird).

Eventuell könnte es auch sinnvoller sein für jede Gruppe ein eigenes VPN aufzubauen, das kannst aber nur du entscheiden.
Ich würde zB für die Mitarbeiter ein eigenes VPN nehmen. Ob sich das das dann auch für die externen User / Gruppen lohnt kann ich so nicht beurteilen, ansonsten teilen sich die externen halt ein VPN und werden wie beschrieben eingeschränkt.

[spooner.arthur]

Ich bin verwirrt, du hast recht, ich meinte eigentlich immer  Lokales IPv4 Netzwerk

Das ist ja quasi nur fürs Routing im Tunnel.

Der Rest wird über die Firewallregeln geregelt.

Ja, hab auch gedacht einen eigenen VPN Server zu erstellen.

Aber es sind eigentlich immer nur 2-3 externe Benutzer und ansonsten Mitarbeiter.

[tiermutter]

Mitarbeiter und externe würde ich dann schon trennen.
Dabei müssen beide VPN natürlich eine andere Tunneladresse haben.
Die beiden VPN dann auch als separates Interface anlegen, dann kannst du sauber getrennte regeln für jedes VPN erstellen.

Die externen dann alle über einen Tunnel und entsprechend über die Firewall mit Aliasen eingeschränkt.