OpenVPN User an VLAN binden

[bewue]

Hi Leude,

gibt es eine Möglichkeit einen OpenVPN User an ein bestimmtes VLAN zu binden?
Auf der OPNsense kann ja ein OpenVPN User auch über RADIUS oder LDAP authentifiziert werden und
diese Protokolle unterstützen das Mapping prinzipiell. Oder gibt es eine grundsätzlich andere Lösung?

[superwinni2]

Klar geht das..
VLAN als Interface einhängen
Den VPN Server als tap erstellen und als Interface anhängen
Eine Brücke erstellen


Dann läuft das auf dem Interface.

[bewue]

Und wie bekomme ich die einzelnen VPN User in ihr spezifisches VLAN?
Du beschreibst nur wie man alle VPN User auf einem OpenVPN-Server in ein gemeinsames VLAN packt, oder?

[superwinni2]

Ja ich meinte alle user in ein VLAN...

Wie man das hinbekommt was du möchtest habe ich leider keine Ahnung.

Gesendet von meinem LG-H815 mit Tapatalk

[hmarius1]

Ich habe das so noch nie umgesetzt wie du das dir vorstellst.

Aber gedanklich müsste dann jeder OpenVPN User eine feste Transfer IP Adresse bekommen und für diese Transfer IP Adresse müsste es Firewall Regeln geben die nur die Kommunikation in das entsprechende VLAN erlauben. Wenn das über OPNsense technisch umsetzbar ist sollte das so funktionieren.

[superwinni2]

Achtung...
Ich glaube wir reden aneinander vorbei...
Ich rede davon dass ich in meiner Lösung alle user in ein Netz packe und dies mit VLAN überbrücke...

Ansonsten musst halt hunderte von VPN Servern anlegen...

Feste IP bei VPN ist kein Problem und Firewallregeln auch nicht...

Gesendet von meinem LG-H815 mit Tapatalk

[bewue]

@superwinni2
ich glaube aber langsam dürfte klar sein was meine eigentliche Frage ist ;)
Falls nicht: Ich will unterschiedliche OpenVPN-User die sich auf einem OpenVPN-Server einloggen in unterschiedliche VLANs mappen. Für jeden User einen eigenen VPN-Server zu konfigurieren ist keine Option da
dann unterschiedliche Server-Ports verwendet werden müssten und der Verwaltungsaufwand zu groß wäre.

@hmarius1
Mit Client Specific Overrides kann ich je OpenVPN-User spezifische Transfernetze etc. vergeben.
Die Firewall-Regeln die auf meinen schon bestehenden User-VLANs liegen müsste ich dann aber auf das OpenVPN Interface kopieren und an zwei Stellen pflegen.
Daher die Idee die OpenVPN-User einfach in ihr entsprechendes VLAN zu mappen.
Aber wie schon gesagt, vielleicht gibt es auch eine grundsätzlich andere Lösung für mein Problem.

[theq86]

Das gibt OpenVPN aber nicht her. OpenVPN ist kein Router, der in mehreren Netzen gleichzeitig seinen Fuß hat. Du brauchst pro VLAN einen Server. Ansonsten müsstest du ja in OpenVPN konfigurieren welcher Nutzer in welches Netz kommt. Und das geht nicht.

[bewue]

Das gibt OpenVPN aber nicht her. OpenVPN ist kein Router, der in mehreren Netzen gleichzeitig seinen Fuß hat. Du brauchst pro VLAN einen Server. Ansonsten müsstest du ja in OpenVPN konfigurieren welcher Nutzer in welches Netz kommt. Und das geht nicht.

@theq86
Ich glaube nicht dass es bei meinem Problem um Routing Funktionalitäten geht.
Wie gesagt, mit Client Specific Overrides kann ich ja den einzelnen OpenVPN-Usern eigene Netze zuweisen und so beim Routing und den Firewall-Regeln schon User spezifisch konfigurieren.

...Ist vielleicht doch der Weg über eine Bridge die Lösung?
Eine Bridge zwischen OpenVPN-Interface und allen User-VLAN-Interfaces.
Das jeweilige VPN-User-IP-Netz setzt man dann auf ein Subnetz innerhalb des IP-Netzes des User-VLAN.
Somit kann man die Regeln auf dem User-VLAN für OpenVPN-User und internen VLAN-User zusammen an einer Stelle pflegen.

Über Firewall-Regeln müsste man doch klar Regeln können welches VPN-User-IP-Netz in welches IP-Netz des entsprechenden User-VLANs darf um die Trennung zwischen den VLANs zu wahren die sonst wegen dem Bridging verloren ginge?
Oder sieht hier jemand Probleme?

[JeGr]

> Ich glaube nicht dass es bei meinem Problem um Routing Funktionalitäten geht.

Ob Routing oder Bridging ist an der Stelle nicht relevant. Der Punkt ist: OVPN macht ein Interface auf. Tun oder Tap. Und das kann nur in ein Netz sinnvoll gebridget werden - was man im Normalfall trotzdem nicht will. Bridging ist wirklich was, das man vielleicht zu Hause sinnvoll nutzen möchte, aber wenn man schon größere Netze baut mit VLAN Trennung etc. kann ichs nicht nachvollziehen, dass man unbedingt dann auch noch das ganze wieder verwischen/verwässern will mit Bridging von VPN Usern. Einwählen, sauberes Routing und Regeln erstellen und läuft.

> Über Firewall-Regeln müsste man doch klar Regeln können welches VPN-User-IP-Netz in welches IP-Netz des entsprechenden User-VLANs darf um die Trennung zwischen den VLANs zu wahren die sonst wegen dem Bridging verloren ginge?

What? Einerseits willst du OVPN bridgen in ALLE VLANs rein - was somit auch alle VLANs zusammen bridget und damit deine kompletten VLANs _überflüssig_ macht(!) und dann sollen irgendwelche Regeln auf einem gebridgten Interface den ganzen Kladderadatsch wieder auseinander filetieren können? Nein, so funktionieren Bridgen nicht. Sorry.

Siehe oben. Sauberes Routing via OVPN, ggf. mehrere Server wenn notwendig wegen Usertrennung sonst einfach jedem User feste IPs zuweisen, die in die entsprechenden VLANs lassen (mit Aliasen kann man da schön Sachen zusammenfassen) und fertig ist der Lack.

[bewue]

Also gibt es keine Möglichkeit nur an "einer Stelle (auf einem Interface)" das Firewalling für User-VLAN und dem
entsprechenden VPN-User zu pflegen?

Zum Verständnis: Der User soll die gleichen Zugriffsberechtigungen auf Netzwerkebene haben egal ob er im Büro sitzt oder sich von außen übers VPN einwählt.

[JeGr]

> Zum Verständnis: Der User soll die gleichen Zugriffsberechtigungen auf Netzwerkebene haben egal ob er im Büro sitzt oder sich von außen übers VPN einwählt.

Das ist ein ehernes Ziel aber du kannst auf einem Layer 3/4 Gerät -> Paketfilter -> nicht mit Layer7/8 kommen. Es mag ja der gleiche User sein, aber das Gerät ist ein anderes. Wenn du dem Gerät die gleichen Rechte geben willst, dann konfiguriere die Rechte gleich -> dafür gibts Aliase um das zu vereinfachen. Aber der Paketfilter hat keine Ahnung, dass eine IP XY der User Z ist und damit bitte die gleichen Rechte für ABC haben soll. Zudem kommt er von einem anderen Netz (VPN).

Wenn du aber deine Clients in einzelnen VLANs hast (wahrscheinlich ja auch nicht nur einen pro VLAN?), dann hast du dort ja irgendwelche Rechte konfiguriert. Mit entsprechend gut gebauten Regeln + Aliasen kannst du das im OpenVPN Tab aber auch recht problemlos genauso konfigurieren. Wie gesagt wenn das SO spezifisch sein soll, dann jedem User eine feste VPN IP zuteilen und dann entsprechend für diese die Regeln konfigurieren, dann gelten auch die gleichen Regeln dafür.

Alternativ:

- wenn du mehrere Clients pro VLAN hast, sagen wie je 10 für VLAN 10, 20 und 30.
- diese diverse Regeln haben zu welchen Servern/IPs sie dürfen und ob sie ins INET dürfen oder nicht, etc.
- du das genauso auf VPN anwenden willst, wenn sich diese 30 Leute per VPN einwählen?

=> Möglichkeit:

- erstelle 1:1 3 VPN Server bspw. VPN10, VPN20 und VPN30
- erstelle für alle 3 VPNs die entsprechenden Interfaces, damit sie eigene Regel Tabs und GWs bekommen
- erstelle in den Interfaces 3 Interface Gruppen "Clients10, 20, 30"
- packe in die Gruppen jeweils VLAN10+VPN10, VLAN20+VPN20 und VLAN30+VPN30 rein.
- Konfiguriere die Regeln auf den Gruppen Interfaces entweder mit einem entsprechenden Alias als Source oder mit "any", damit der Client von der VLAN IP oder VPN IP kommen darf

-> eine einheitliche Regelverwaltung für Clients Typ 10, 20 30, egal ob VPN oder im VLAN angestöpselt.
-> alles sauber geroutet
-> aufgeräumt und nachvollziehbar
=> Profit ;)