OpenVPN: User oder Group - Zugriff nur auf bestimmte LAN-Hosts

Started by sashak, Today at 01:57:46 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 01:57:46 PM
Hallo liebe OPNSense-Experten,

meine Frage ist im Betreff bereits inbegriffen:

Ist es möglich, für einen User (oder noch besser wäre es für eine User-Gruppe) den Zugriff nur auf bestimmte LAN-Ressourcen (die zum Beispiel in einem Alias definirt sind) zu ermöglichen. In meinem Fall verbindet sich der User per OpenVPN.

Ich habe zu diesem Thema bereits recherchiert und habe herausgefunden, dass die Firewallregeln mit User- oder Group-Objekten nicht arbeiten. Eine der Möglichkeiten wäre einen Client-specific-Override für den oder für die User einzurichten, damit der User eine eigene IP-Adresse bekommt und für diese IP-Adresse Firewall-Regeln festlegen. Eine andere Möglichkeit - eine zusätzliche OVPN-Instanz, deren Verwendung auf eine Gruppe eingeschränkt ist mit darauffolgender Einrichtung der Firewallregeln ausgehend von der IP-Konfiguration der OVPN-Instanz.

Beide der genannten Möglichkeiten sind IMHO nicht sehr elegant. Gibt es eventuell einen anderen Weg, Ressorcen pro User zu erlauben?
Today at 05:10:07 PM #1
Hallo,

wie du selbst schon recherchiert hast, können Usernamen in Firewall-Regeln nicht verwendet werden. Dabei ist wohl auch zur Sprache gekommen, wie die Regeln funktionieren: mit Interfaces, Netzwerkprotokollen, IPs und Ports

Als Unterscheidung der User bleibt da nur die IP.
Auch wenn du die Umsetzung in OpenVPN über CSO oder eigene Instanzen als wenig elegant empfindest, es ist die gängige Praxis.
Soweit ich weiß, bieten da die VPN-Alternativen auch nichts besseres.

Einen Client Specific Override einzurichten, ist aber doch nicht wirklich ein großes Unterfangen?
Wenn du dann noch einen FW-Alias für die User-IP hinzufügst, kannst du übersichtlich den Usernamen in Regeln verwenden.
Today at 05:45:10 PM #2
Quote from: viragomann on Today at 05:10:07 PMEinen Client Specific Override einzurichten, ist aber doch nicht wirklich ein großes Unterfangen?

Vielen Dank für die Antwort :)

CSO ist kein großes Unterfangen, aber: Ich kann dort genau eine feste IP für den User definieren, was zur Folge hat, dass der User sich gleichzeitig nur einmal "einwählen" kann. Und: Ich arbeite viel lieber mit Gruppen statt mit Usern, was mich anscheinend weg von CSO hin zur zusätzlichen OVPN-Instanz führt.

Nein, alles ist kein großes Unterfangen, solange man das für einen User definieren muss. Mit mehreren Usern und mehreren Hosts wird es dann schnell kompliziert.

Weiß jemand, ob sowas wie Per-User/Group-Routing geplant ist oder mit externen Add-Ons gemacht werden kann?
Today at 06:28:25 PM #3

Ich habe es nie probiert, aber das soll wohl über Openvpn-Group Aliase funktionieren. Die kann man dann in den Rules verwenden.
https://docs.opnsense.org/manual/aliases.html#openvpn
Today at 11:12:44 PM #4
Quote from: stefanpf on Today at 06:28:25 PMIch habe es nie probiert

Ich habe es ausprobiert und das erfüllt meine Aufgabe. Vielen Dank!
Print
Go Up Pages1
User actions