OpenVPN User mit eingeschränkten Rechten (Netzwerk-Zugriff ja, surfen nein)?

Started by Marcel_75, March 02, 2018, 10:42:54 AM

Previous topic - Next topic
Hallo zusammen,

vor einigen Monaten hatte ich hier schon einmal einen längeren Thread zum Thema OpenVPN eröffnet – letztlich funktionierte alles wie es soll, das Problem lag bei meinem Internet-Provider (carrier graded NAT aka CGN war ungefragt aktiviert worden beim Wechsel von Tele Columbus zu PYUR).

Seitdem CGN deaktiviert ist, funktioniert auch wieder der OpenVPN-Server wie gewünscht, bzw. genauer gesagt mein DynDNS-Name zeigt wieder auf meine "eigene" IP.  :)

Für mich selbst und meine Freundin habe ich einen ganz normalen OpenVPN-Zugriff, d.h. ich kann von außen auf mein internes Netzwerk zugreifen und kann darüber auch surfen.

Jetzt habe ich aber eine grundsätzliche Verständnisfrage:

Wie kann ich einen weiteren VPN-User einrichten, der zwar in mein Netzwerk kommt (damit er auf Fotos meines NAS zugreifen darf), aber dann nicht gleichzeitig über meinen Anschluss surfen kann?

Hatte schon ein paar settings probiert, letztlich mache ich aber scheinbar irgend etwas falsch, denn mit ein wenig rumprobieren (Änderungen an der exprotierten ovpn.cfg) konnte letztlich auch dieser User über meinen Anschluss surfen, obwohl ich das wie gesagt nicht erlauben möchte.

Kann man das denn überhaupt irgendwie komplett unterbinden, wenn es gleichzeitig User auf diesem OpenVPN-Server gibt, die das dürfen sollen?

Vielen Dank für Eure Unterstützung!

PS: aktuelles OPNsense 18.1.2_2-amd64 / FreeBSD 11.1-RELEASE-p6 / LibreSSL 2.6.4
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)

In der Regel bekommen die Clients mit dem selben CommonName immer wieder die selbe IP Adresse.

Dieses Mapping kann man auch manuell erzwingen um sicher zu gehen.
Dafür geht man unter VPN->OpenVPN->Client-spezifische Konfiguration

Dort legst du eine neue CSC (client specific config) an.
Du wählst deinen Server,
dann den CommonName des Zertifikates des Users, dem du die feste IP zuweisen willst.
Und unter erweitert trägst du dann ein:

ifconfig-push 10.3.0.44 255.255.255.0

Wobei in dem Falle 10.3.0.44 eine IP in der Range deines OpenVPN virtuellen Netzes ist und die Netzmaske muss auch mit den Servereinstellungen übereinstimmen.

Jetzt kannst du zB. allen unerwünschten Traffic über die Firewall blockieren und Ausnahmen für deine statischen Adressen anlegen.

Vielen Dank schon mal, das führt mich schon auf die richtige Spur.

Habe jetzt dem User Dank Deiner Beschreibung eine feste IP zugewiesen (in meinem Fall ist das die 10.1.2.76).

D.h., in den "client specific overrides" für diesen User steht jetzt:

ifconfig-push 10.1.2.76 255.255.255.0

CommonName seines Zertifikats ist auch ausgewählt und als IPv4 Tunnelnetwork 10.1.2.0/24 eingetragen.

OpenVPN-Zugriff klappt, er bekommt auch wie gewünscht die IP 10.1.2.76 und kann sich per AFP auf dem NAS anmelden.

Wie genau gehe ich jetzt vor, um die Firewall so einzustellen, dass er nur noch OpenVPN + AFP-Zugriff machen darf bei mir?

Könnte ich z.B. "alles" für die IP 10.1.2.76 verbieten und dann Ausnahmen für die AFP-Ports erlauben?

Das wären meines Wissens nach dann:

Port     Protokoll     Name                                              Zweck

427     TCP            Service Location Protocol (SLP)         Network Browser, Authentication
523     TCP            Apple Filing Protocol (AFP)                Apple File Service
548     TCP            Apple Filing Protocol (AFP) über TCP  AppleShare, Persönliche Dateifreigabe, AFP-Dateiserver
5353   UDP           Multicast DNS (MDNS)                      Service Announcement

Und dann ist die Firewall der OPNsense ja auch noch einmal aufgeteilt in die Bereiche WAN, LAN und OpenVPN.

Dort habe ich bisher nur automatisch generierte Regeln drin - denn leider habe ich bisher noch nie manuell Regeln für die Firewall erstellt, von daher vielen Dank für weitere Unterstützung (Einführung ins "Neuland" sozusagen).  ;D
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)

Du musst Regeln für das OpenVPN Interface schreiben.

zB.

Aktion: Erlauben
TCP/IP Version: IPv4
Quelle: Einzelner Host/Netzwerk 10.1.2.76
Ziel: WasAuchImmer


Aktion: Blockieren
TCP/IP Version: IPv4
Quelle: Einzelner Host/Netzwerk 10.1.2.76
Ziel: jeglich


Da es heißt erste Regel matcht, erstelle zuerst die Erlauben-Regeln und zum Schluss die alles Blockieren Regel. Siehe Oben.

Kann man so machen - oder man lässt einfach den IP-Adressraum des OpenVPN Netzes nicht per NAT ins Internet. Wenn einzelne User das sollen, würde ich diese als Sonderfall mit eigener IP (push) und Client Override rausziehen und einzeln eine NAT Regel erstellen dafür, damit die ins Netz dürfen, aber im Normalfall darf kein VPN User über den Anschluß einfach raussurfen (zumindest in unserem Fall). Ergo gibts kein NAT dafür, somit auch - selbst wenn die Regeln es erlauben würden - keine Möglichkeit, überhaupt raus zu kommen.

VPN ist zumindest für meine Definition kein "ich kann über das verbundene Netz surfen" Konfiguration, sondern eher "ich muss sicher in das Netz lokal reinkommen". Wenn ich dazu noch wieder über dieses entfernte Netz raus surfen soll, ist das für mich ein Sonderfall der auch gesondert behandelt wird und alles andere der Normalfall. Dann muss man bei weiteren Benutzern auch nicht ständig grübeln ob man was vergessen hat. Und da man selbst und ggf. die Freundin im Fall des OP eben Sonderfälle sind (weil sie wahrscheinlich auch volle Rechte im Netz haben), würde ich eher die User als Sonderbehandlung einfügen, als den normalen beschränkten VPN User :)

Aber das nur meine Sicht und Idee
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.

@JeGr: Ja, Deine Empfehlung klingt für mich auch sinnvoll und absolut nachvollziehbar.

Und so wäre es tatsächlich das Beste für uns – ich und meine Freundin dürfen sich mit "unserem Netzwerk" verbinden und gleichzeitig auch darüber surfen.

Aber alle anderen User dürfen standardmäßig per VPN zwar in "unser Netzwerk" (und somit per zusätzlichen User-Account für die AFP- bzw. SMB/CIFS-Freigabe auch auf das NAS).

Aber grundsätzlich dürfen diese anderen User nicht über "unser Netz" surfen.

Werde das so erst einmal versuchen zu konfigurieren und würde bei Problemen / Verständnisschwierigkeiten noch einmal hier nachfragen.

Danke schon einmal Euch beiden für diese hilfreichen Ratschläge.
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)