OpenVPN client-specific rules und access policies

Started by zeropage, September 20, 2021, 11:53:54 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 20, 2021, 11:53:54 AM
Hallo!

Ich betreibe seit einiger Zeit auf meiner OPNsense einen OpenVPN Server. Zugriff darauf haben 3 Clients mit jeweils einem Zertifikat zur Authentifizierung. Nun sollen Clients nur auf bestimmte Netzwerksegmente zugreifen dürfen. Dazu habe ich versucht, die Anleitung Configuring client-specific rules and access policies über die OPNsense GUI umzusetzen. Dabei ist mir nicht klar, wie oder ob überhaupt ich das mit den routes umsetzen muss. Weiß dazu jemand was?

Danke, Titus
September 20, 2021, 01:53:30 PM #1
> Dabei ist mir nicht klar, wie oder ob überhaupt ich das mit den routes umsetzen muss. Weiß dazu jemand was?

Welche Routen? Du willst Zugriff - wahrscheinlich mit FirewallRegeln begrenzen. Das hat primär nichts mit OpenVPN zu tun, sondern wie du die Firewall konfigurierst. Am Einfachsten ist es, schlicht via Client Specific Overrides in der Sense den 3 Clients feste IPs zuzuweisen, die sie bei der Einwahl bekommen. Dann kann man mit diesen als "Source" entsprechend Regeln auf dem OVPN Interface konfigurieren und darüber dann problemlos den Zugriff auf nur freigegebene Ports, Hosts, Aliase, Netze etc. konfigurieren.

Cheers
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
September 20, 2021, 04:06:27 PM #2
Quote from: JeGr on September 20, 2021, 01:53:30 PM
Welche Routen?</quote]

Naja, in der Anleitung von OpenVPN steht u.a.:
Code Select

route 10.8.1.0 255.255.255.0
route 10.8.2.0 255.255.255.0


QuoteAm Einfachsten ist es, schlicht via Client Specific Overrides in der Sense den 3 Clients feste IPs zuzuweisen, die sie bei der Einwahl bekommen...

So habe ich es auch konfiguriert. Grundsätzlich funktioniert es auch. Leider weiß ich nicht, ob das zusätzliche routing für mein Setup wichtig ist. Ich habe ein virtuelles Netz 192.168.10.0/24 und eines 192.168.20.0/24. Ein Client soll in beide Netze dürfen, ein anderer nur in das 20er.
September 23, 2021, 05:20:10 PM #3
> route 10.8.1.0 255.255.255.0
> route 10.8.2.0 255.255.255.0

In welcher Anleitung wo steht was? Ich verstehe da nicht, was das prinzipiell mit einem normalen RAS-style Dial In OVPN Server zu tun hat. Da brauche ich nirgends mehrere Netze in OpenVPN. Das Einzige was man ordentlich einstellen muss ist in der Oberfläche die lokalen Netze. Wenns mehr als eines ist, dann müssen eben mehrere hintereinander mit , getrennt angegeben werden. Dann werden die auch an den Client rausgepusht.

Wie an anderer Stelle erwähnt würde ich wenn das "Sicherheit"! bieten soll, nicht nur mit Routen arbeiten, die kann ein Client leicht auch selbst setzen. Deshalb entweder auf einzelne OVPN Server aufsplitten oder eben mit Client specific overrides arbeiten und damit dem Client eine feste IP zuweisen bei der Einwahl und diese dann mit Firewallregeln beschränken.

Cheers
\jens
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions