OpenVPN Client specific overrides

[HSW-2020]

Hallo,

ich habe ein kleines Problem mit dem "Client specific overrides".

Was will ich erreichen?
Einige Externe sollen sollen nur, via VPN, auf bestimmte Geräte im Netzwerk zugreifen können. Die anderen bekommen erst einmal Zugriff auf das gesamte Netzwerk.
Der letzte Teil funktioniert auch so wie er soll.
Den ersten Teil, so habe ich gelesen, erreicht man hier über das "Client specific overrides"
Ich habe also ein weiteres Tunnelnetz eingerichtet und Server, sowie Common Name angegeben.
Auf der Cleintseite scheint das soweit zu klappen, da ich hier eine IP aus dem weiteren Tunnelnetz zugwiesen bekomme.
Eine entsprechende Firewall-Regel wurde auch erstellt, die zunächst einmal den Zugriff auf das gesamte Netz zuläßt. (Wird dann später auf die entsprechenden Geräte eingegrentzt).
Ich bekomme aber keinen Ping durch. Mit dem "freien" OpenVPN klappt dies aber ohne Probleme.
Ich vermute, dass Problem liegt beim Routing. Schaue ich mir die Stauseinstellungen an, so gibt es hier entsprechende Einträge für das "freie" VPN aber keine für das "beschränkte".
Ich habe versucht über die Advanced-Einstellung hier eine Route zu übergeben, aber irgendwas klappt da nicht so wie es soll.
Bsp.: Internes Netz: 10.0.10.0/24
Tunnelnetz "freis"VPN : 10.0.20.0/24
Tunnelnetz "beschränktes"VPN: 10.0.30.0/24
Einstellung Advanced: push "route 10.0.10.0 255.255.255.0";  => Kein Durchkommen
Einstellung Advanced: push "route 10.0.30.0 255.255.255.0";  => Kein Durchkommen

Was mache ich hier falsch?

Gruß HSW

[superwinni2]

Sicherheitstechnisch würde ich dies änderst herum aufziehen... Durch Client Overrides feste IPs vergeben und über FW Regeln bestimmen wer wohin darf.

Dann (sollte) auch nichts passieren falls es irgendjemand schafft selbst Routen zu erstellen.

Gesendet von meinem OnePlus 8t mit Tapatalk

[HSW-2020]

Hallo,

die Idee hatte ich auch, die gebe ich doch ein mit:
ifconfig-push 10.0.20.20 255.255.255.0
in den Advanced-Einstellungen?
Bekomme dann aber immer einen Fehler vom OpenVPN-Clint Er wäre nicht im gleichen /30 subnet.

[superwinni2]

255.255.255.0 ist aber kein /30 Subnetz

Gesendet von meinem OnePlus 8t mit Tapatalk

[zeropage]

Hä? Die fast gleiche Frage hatte ich doch auch gestern gestellt. Oder schiele ich?

https://forum.opnsense.org/index.php?topic=24832.0

[JeGr]

@HSW: ich würde da Superwinni zustimmen. Nicht mit den Routen/Route Pushes arbeiten, sondern mit fixer IP über CSOs und dann Firewall Regeln dafür bauen. Eine Route kann ich auf dem Client auch wenn sie nicht vom Server gepusht wurde selbst händisch setzen. Das ist KEIN Schutz. Viel einfacher:

* einen VPN Server für die normalen User machen, die ggf. alles dürfen oder wenig Beschränkungen haben, wo jeder die gleichen Rechte hat
* einen VPN Server mit anderem Tunnelnetz (bspw. dein 30er) machen, wo jeder Client, der sich verbindet direkt eine IP fix bekommt und dann die User/Clients die das betrifft einzeln mit Aliasen ordentlich freigeben in OpenVPN Regeln

Andernfalls ist das alles recht einfach aushebelbar.