OpenVPN mit fester Client-IP

Started by trixter, August 06, 2025, 10:22:39 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 06, 2025, 10:22:39 AM
Moin Gemeinde,

hat schon mal jemand versucht OpenVPN-Usern feste IPs zuweisen zu lassen?

Hintergrund: Nicht jeder muss immer überall hin, Personaler brauchen die Perso-DB, andere sollten da besser nicht hineinsehen können.

Natürlich kann man das auch über unterschiedliche Instances lösen, das würde aber mutiple GWs erzeugen und damit unnötigen Overhead.

Freue mich über eure Infos - Danke im Voraus ;)
VMW / PMX / PFS / OPS
August 06, 2025, 10:26:29 AM #1
Natürlich hat das schon jemand versucht - ist ein Standard-Feature. Was ist denn die konkrete Frage?

https://docs.opnsense.org/manual/vpnet.html#client-specific-overrides
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 07, 2025, 11:06:18 AM #2
Bisher funktionierte das so:
Unter VPN - OpenVPN - Client Specific Overrideseinen neuen Eintrag anlegen, bei "Common name" den Benutzername oder den common name des Zertifikats (je nach Konfiguration) eintragen und im Feld "Advanced" dann die gewünschte IP-Adresse hinzufügen:

"ifconfig-push 10.0.8.2 255.255.255.0;"

Unbedingt beachten sollte man, das die erste IP-Adresse bereits für den OpenVPN-Server vergeben ist, also immer erst ab der zweiten Adresse mit der Vergabe beginnen! Ggf. muss der OpenVPN-Server neu gestartet werden, damit die Änderungen greifen.

Update 02/2024

Offenbar wurde in der Zwischenzeit etwas verschlimmbessert. Jedenfalls der hier beschriebene Weg funktioniert nicht mehr (Version 24.1). Schlimmer noch, die bestehenden Einstellungen sind wohl weg. Im Dateisystem unter

client-config-dir /var/etc/openvpn-csc/1

findet man auch nichts mehr. Vielleicht wird oder wurde es auch woanders gespeichert ?
VMW / PMX / PFS / OPS
August 07, 2025, 11:34:36 AM #3
Ich hab dir doch die Doku verlinkt: VPN > OpenVPN > Client Specific Overrides.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 07, 2025, 03:33:47 PM #4
Sorry Patrick, aber ich aus der Anleitung nicht schlau:

https://docs.opnsense.org/manual/vpnet.html#id6

Das sind dieselben Optionen, die ich auch unter Instances habe, jedoch eine Möglichkeit dem Client aus dem Subnet 1982.168.0.0/24, die IP 192.168.0.8/24 fest zuzuordnen lese ich da nicht heraus, oder verstehe diese falsch.


VMW / PMX / PFS / OPS
August 07, 2025, 04:15:45 PM #5
Bei IPv4 Tunnel Network kannst du die IP-Adresse rein schreiben. Steht doch daneben: "Push virtual IP endpoints for client tunnel, overriding dynamic allocation."
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 07, 2025, 04:17:54 PM #6
Btw das hier ist in den neuen versionen auch mit drin falls man wirklich nur CSO erlauben will:

https://github.com/opnsense/core/pull/9025
Hardware:
DEC740
Print
Go Up Pages1
User actions