OPNsense 21.1 - openvpn: hide "openvpn_add_dhcpopts" fields when not parsed...

[Udo]

Hallo zusammen,

im Changelog zu OPNsense 21.1 steht:

openvpn: hide "openvpn_add_dhcpopts" fields when not parsed via the backend

Was bedeutet das konkret?

Ich nutze derzeit:

VPN: OpenVPN: Client Specific Overrides

Advanced
ifconfig-push 192.168.X.X 255.255.255.0;

(This option will be removed in the future due to being insecure by nature. In the mean time only full administrators are allowed to change this setting.)

Ist diese Funktionalität in OPNsense 21.1 nicht mehr möglich?

Falls ja, wie realisiere ich alternativ, dass den VPN-Clients eine eindeutige/feste IP-Adresse zugewiesen wird?

Ich habe pro VPN-Client individuelle Firewall-Regeln konfiguriert und benötige daher eine eindeutige Zuordnung der IP-Adresse.

Viele Grüße

Udo

[JeGr]

Dumm gefragt aber: warum benutzt du den Eintrag?

Ob das noch geht oder nicht, sorry kann ich gerade nicht beantworten aber mich würde interessieren was der Eintrag da soll?

Ich frage nur, weil man das u.a. auch mit Radius problemlos umsetzen könnte.

[lfirewall1243]

Hinterleg es doch auf den Clients
Musst du ja eh oder?

[franco]

An den Advanced Options im OpenVPN wird sich wohl länger nichts ändern, also bleibt alles wie es ist. Ich glaube hier war nur irgendwas in der GUI gemeint, wenn man einen Modus wählt für den GUI Optionen nicht relevant sind damit diese auch korrekterweise versteckt werden...


Grüsse
Franco

[Udo]

@JeGr:

Mit "ifconfig-push 192.168.X.X 255.255.255.0;" unter "VPN: OpenVPN: Client Specific Overrides" kann ich sicherstellen, dass der entsprechende VPN-Account, für den es konfiguriert ist, immer die gleiche IP-Adresse zugewiesen bekommt.

Erfolgt eine VPN-Einwahl mit dem Account (Homeoffice-Nutzer), erhält dieser immer die mit "ifconfig-push" konfigurierte IP für seinen Endpunkt. Auf dieser IP basierend kann ich dann die Firewallregeln erstellen, z.B. welche IPs, Netze und Dienste der VPN-Nutzer über die OPNsense erreichen darf (u.a. auch ein Zulassen nur auf seinen Dienstrechner (RDP) in der Firma, statt dem gesamten Netz).

Viele Grüße

Udo

[Udo]

@franco:

Vielen Dank für Deine hilfreiche Antwort!

Ich war mir unsicher, ob mit dem Changelog-Eintrag nicht die "Advanced Options" gemeint sind, zumal ja bereits der Hinweis dort steht, dass diese in Zukunft entfernt werden. Falls die mal entfernt werden, bitte im Changelog zum Release erwähnen.

War übrigens erstaunt, dass ich diesmal via announce@lists.opnsense.org noch keine Ankündigung zum Release erhalten habe (weder auf meiner dienstlichen, noch auf meiner privaten Mailadresse), sondern nur via heise.de heute davon erfuhr. ;)

Viele Grüße

Udo

[franco]

Hi Udo,

Oh, cool, Heise hat reagiert... \o/

Wie dem auch sei: die Mailing Liste ist wegen angreifbaren Spam-Lücken (die leider auch aktiv ausgenutzt wurden) seit 2021 nicht mehr aktiv.


Grüsse
Franco

[Udo]

Mit "ifconfig-push 192.168.X.X 255.255.255.0;" unter "VPN: OpenVPN: Client Specific Overrides" kann ich sicherstellen, dass der entsprechende VPN-Account, für den es konfiguriert ist, immer die gleiche IP-Adresse zugewiesen bekommt.

Erfolgt eine VPN-Einwahl mit dem Account (Homeoffice-Nutzer), erhält dieser immer die mit "ifconfig-push" konfigurierte IP für seinen Endpunkt. Auf dieser IP basierend kann ich dann die Firewallregeln erstellen, z.B. welche IPs, Netze und Dienste der VPN-Nutzer über die OPNsense erreichen darf (u.a. auch ein Zulassen nur auf seinen Dienstrechner (RDP) in der Firma, statt dem gesamten Netz).

Diese Konfiguration wird mehrfach im Netz genannt und ist bei mir bereits ein Jahr erfolgreich im Einsatz.

Angenommen die "Advanced Options" werden irgendwann doch mal aus dem GUI entfernt (wie bereits im Hinweistext des Feldes angekündigt), welche alternative Möglichkeit gibt es, die o.g. Konfiguration über das GUI einzustellen?

Viele Grüße

Udo

[Udo]

Hi Franco,

Wie dem auch sei: die Mailing Liste ist wegen angreifbaren Spam-Lücken (die leider auch aktiv ausgenutzt wurden) seit 2021 nicht mehr aktiv.

schade, die announce Mailingliste war immer sehr hilfreich zur Ankündigung des neuen Release inkl. Changelog. :(

Vielleicht lassen sich die Spam-Lücken schließen (moderierte Liste, nur Freigabe Deiner Posts?) und announce reaktivieren? Bin mir sicher, dass viele Abonneten der Liste Deine Ankündigungen vermissen.

Viele Grüße

Udo

[franco]

Hi Udo,

Die Administration von mailman war nicht wirklich zielführend und hat schon immer zu viel Zeit in Anspruch genommen die wir gern direkt für OPNsense verwendet hätten. Daher wurden die Listen auch schon auf die Announcements reduziert.

Wir sollten noch eine Alternative schaffen. Auf Heise meinte man die Firewall soll selber die Mails verschicken und wir würden das schon seit Jahren auf der Wunschliste haben. War mir neu, aber vielleicht kann man da was machen. ;)


Grüsse
Franco

[JeGr]

> Diese Konfiguration wird mehrfach im Netz genannt und ist bei mir bereits ein Jahr erfolgreich im Einsatz.

> Angenommen die "Advanced Options" werden irgendwann doch mal aus dem GUI entfernt (wie bereits im Hinweistext des Feldes angekündigt), welche alternative Möglichkeit gibt es, die o.g. Konfiguration über das GUI einzustellen?

Naja das ist wie mit allen "Tutorials" im Netz. Schnell geschrieben sind sie oftmals und das Netz vergisst wenig. Es ist aber beiweitem nicht die Einzige Variante das hinzubekommen. Wie oben beschrieben klappt das auch in Verbindung mit FreeRadius (oder externem Radius Server) und in den Radius Settings des Nutzers hinterlegter IP Adresse und Netzmaske. Damit kann man direkt beim Benutzer statt via Zertifikat die IP Zuweisung machen. :)

--

Bezüglich Release Mails o.ä.: Mailingliste müsste da gar nicht sein, ein einfaches Newsletter Tool oder ggf. ein externer Dienst über den dann bei Release, Infos, großen Bugfixes einfach ne Nachricht versendet wird (und das Double Opt In unterstützt - gibt ja genug) wäre da schon mehr als genug. Wenn mans selbst hosten will, kann man das sowas wie Sendy bspw. aquirieren, kostet sehr wenig und ist da extrem mächtig auch vorhandene Mailstrukturen zu nutzen oder ggf. eben über externe Provider zu versenden :) Just a thought ;)

Cheers
\jens