OpenVPN: This option will be removed in the future..

Started by Zeitkind, August 07, 2020, 02:31:13 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 07, 2020, 02:31:13 PM
Moin.

In den Einstellungen "Client Specific Overrrides" bei OpenVPN ist mir aufgefallen, daß "Advanced" als deprecated markiert ist. Nu mache ich da aber meine clientspezifischen Dinge wie ifconfig-push rein um z.B. den Zugriff auf interne IP-Bereiche zu beschränken. Alternativen wären wohl Konfig-Verzeichnisse wie in
https://community.openvpn.net/openvpn/wiki/Concepts-Addressing
beschrieben, aber Zugriff auf ein /etc/openvpn/mein-ccd hat man hier ja gar nicht.
Wie regelt man dann in Zukunft Zugriffsrechte per Client? (A darf nur 192.168.55.10; B darf ganzes 192.168.88.0, C darf alles)
August 07, 2020, 02:34:21 PM #1
Ich mache dies über verschiedene VPN Server...

Über push regelst du ja nur die routen...Die könnte theoretisch jeder Endanwender auch selbst festlegen...

Gesendet von meinem LG-H815 mit Tapatalk

Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
August 07, 2020, 02:41:59 PM #2
ist nicht auch eine möglichkeit mit firewall regeln, bei mir bekommen die clienst immer die gleiche ip.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 07, 2020, 03:28:25 PM #3 Last Edit: August 07, 2020, 03:31:40 PM by Zeitkind
Quote from: superwinni2 on August 07, 2020, 02:34:21 PM
Über push regelst du ja nur die routen..

Ne, mit ifconfig-push legst du die IP des Clients fest, und kannst dann mit Firewallregeln diese IP beschränken:
ifconfig-push 10.23.45.67 255.255.255.248;
Firewall: unter OpenVPN-Interface, alles first match:
10.23.45.67 darf auf IP interner Mailserver
.. weitere Regeln für alle User...
und zum Schluss: Alle dürfen nix

Edit: Und wenn man bei den Firewallregeln mit Aliasen arbeitet, hat man auch nicht sooo viel an Regeln zu erstellen. Ein nettes GUI dafür wäre mit aber auch .. willkommen.
August 17, 2020, 12:10:33 PM #4
Hallo,

ich nutze auch unter "VPN" -> "OpenVPN" -> "Client Specific Overrides" -> "Advanced" die Option "ifconfig-push 192.168.XXX.XXX 255.255.255.0;", um den VPN-Usern eine eindeutige IP-Adresse zuzuweisen.

Wie kann das zukünftig realisiert werden, wenn die "Advanced"-Option wegfällt?

"This option will be removed in the future due to being insecure by nature. In the mean time only full administrators are allowed to change this setting."

Ist bereits bekannt, wann konkret diese Option wegfällt?

Viele Grüße

Udo
August 17, 2020, 12:45:46 PM #5
Quote from: Udo on August 17, 2020, 12:10:33 PM
Hallo,

ich nutze auch unter "VPN" -> "OpenVPN" -> "Client Specific Overrides" -> "Advanced" die Option "ifconfig-push 192.168.XXX.XXX 255.255.255.0;", um den VPN-Usern eine eindeutige IP-Adresse zuzuweisen.

Wie kann das zukünftig realisiert werden, wenn die "Advanced"-Option wegfällt?

"This option will be removed in the future due to being insecure by nature. In the mean time only full administrators are allowed to change this setting."

Ist bereits bekannt, wann konkret diese Option wegfällt?

Viele Grüße

Udo

Das machst du bei CSC im Tunnel Network, wenn zb 10.0.0.0/24 global, dann beim User zb 10.0.0.5/24
August 17, 2020, 02:40:49 PM #6
Damit ordnest du aber keinem User eine spezifische IP zu, damit trennt man eher Gruppen.
Wie oben schon erwähnt (Link zur OpenVPN-Webseite), macht man das entweder per push oder durch eine Liste in einem config-Verzeichnis, welches aber unter OPNSense nicht zugänglich wäre - oder nur per shell und ohne Backup und...
Jedem Nutzer ein eigenes Netzwerk zuteilen, ist ja nicht wirklich zielführend, auch wenn es bei nur wenigen Nutzern machbar ist.
Ich weiß nicht, ob man den OpenVPN-Client dazu bringen kann, das Push-Kommando zu ignorieren, ansonsten ist mir nicht ganz klar, warum diese Option wegfallen soll.
August 17, 2020, 04:03:45 PM #7
Warum? Du gibst doch nicht jedem User ein Netz sondern eine IP in dem Tunnelnetz, funktioniert bei mir super
August 19, 2020, 02:47:14 AM #8
Dein 10.0.0.5/24 ist keine IP, sondern ein Netz. Ergo weißt du einem User eine IP aus diesem Netz zu, aber nicht eine spezifische IP, die nur der und immer nur der hat. Das funktioniert eben mit ifconfig push, und nur dann kannst du per IP die Firewallregeln entsprechend der User anpassen.
Klar, braucht man nur, wenn man auch eine entsprechende Anzahl an Usern hat - die auch spezifische Zugriffsrechte haben. Wer nur 1-2 Leutchen am VPN hat, braucht diese Option (oder ganze Listen in einem config-dir) eh nicht.
August 19, 2020, 07:34:14 AM #9
Ich kann's jetzt leider nicht gegenargumentieren weil mir der Rechner fehlt, ich schaue es mir nächste Woche Mal an
August 22, 2020, 12:21:48 AM #10
Bin gespannt, das gleiche Thema habe ich auch.
August 25, 2020, 12:55:53 PM #11 Last Edit: August 25, 2020, 12:57:34 PM by rainerle
Ah, funktioniert tatsächlich wie mimugmail gesagt hat. Siehe Anhang.

Das Tunnel Netz beim Servers Eintrag ist 10.20.36.0/24 - der Client bekommt aber die im CSC zugewiesene 10.20.36.225/24.
August 25, 2020, 01:17:32 PM #12
Jetzt fehlt mir nur noch eine Lösung für
Code Select

push "dhcp-option DOMAIN-SEARCH ....."
August 25, 2020, 01:36:49 PM #13
Quote from: rainerle on August 25, 2020, 12:55:53 PM
Ah, funktioniert tatsächlich wie mimugmail gesagt hat. Siehe Anhang.

Das Tunnel Netz beim Servers Eintrag ist 10.20.36.0/24 - der Client bekommt aber die im CSC zugewiesene 10.20.36.225/24.

Ja genau. Ich mach halt immer noch die drei Haken "Dynamic", "Address Pool" und "Topology".
Eventuell gehts nicht mit jeder Kombi.
Print
Go Up Pages1
User actions