Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OpenVPN Profile mit redirect Gateway und Ohne
« previous
next »
Print
Pages: [
1
]
Author
Topic: OpenVPN Profile mit redirect Gateway und Ohne (Read 6575 times)
Mathias
Jr. Member
Posts: 89
Karma: 2
OpenVPN Profile mit redirect Gateway und Ohne
«
on:
August 14, 2018, 11:45:59 am »
Hallo, gibt es die Möglichkeit für zwei unterschiedliche Benutzer zwei unterschiedliche Profile zu bauen?
Ein Benutzer soll den gesamten Traffic durch den Tunnel schicken und der andere Benutzer nur den Traffic für das Remote Netzwerk?
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: OpenVPN Profile mit redirect Gateway und Ohne
«
Reply #1 on:
August 14, 2018, 12:52:26 pm »
Inwiefern bauen?
Du kannst bei der Konfiguration von Benutzer B, der alles durch den Tunnel schicken soll, in der Client Config das entsprechende Keyword mit eintragen. Nur das kann dieser natürlich genauso wieder austragen. Wirklich auf Nummer sicher gehen kann man m.W. nur, wenn es als Server Variable gepusht wird, dann kann man es allerdings nicht beim Client "ignorieren", somit würden dann alle den Default Gateway Push bekommen. Somit kommt m.E. dann nur zwei separate Server in Frage einer mit, einer ohne Default GW Push via VPN.
Verbessert mich gern, wenn dem nicht (mehr) so ist.
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
theq86
Sr. Member
Posts: 272
Karma: 37
Re: OpenVPN Profile mit redirect Gateway und Ohne
«
Reply #2 on:
August 14, 2018, 01:16:09 pm »
Dafür sind doch die sogenannten CSCs. Das sind userspezifische Config Overrides. So stelle ich zB. sicher, dass alle meine Clients eine bestimmte IP Adresse bekomme.
Das CSC triggert auf den Common Name des Zertifikats. Jeder Nutzer muss also ein eigenes Zertifikat verwenden. Ich weiß das sollte stets so sein, sehe es aber auch oft anders.
VPN->OpenVPN->Client-spezifische Konfiguration
Hinzufügen, entsprechenden Server auswählen und den Common Name des gewünschten Zertifikats eintragen.
Sollte die gewünschte Option nicht bei den Haken stehen gibt es unten ein "Erweitert" Feld in dem man rohe OpenVPN Config Direktiven eintragen kann.
Connected jetzt ein Client mit diesem CommonName werden die Einstellungen aus der CSC genommen.
«
Last Edit: August 14, 2018, 01:22:19 pm by nasq
»
Logged
Mathias
Jr. Member
Posts: 89
Karma: 2
Re: OpenVPN Profile mit redirect Gateway und Ohne
«
Reply #3 on:
August 14, 2018, 01:39:31 pm »
Danke für eure Antworten. Bei der Person handelt es sich aber immer um mich. Selbe Windows Benutzer und selbes Gerät. Wie mache ich es dann?
Logged
theq86
Sr. Member
Posts: 272
Karma: 37
Re: OpenVPN Profile mit redirect Gateway und Ohne
«
Reply #4 on:
August 14, 2018, 02:04:01 pm »
Bitte noch mal genauer beschreiben.
Du benötigst 2 Benutzer.
Einer soll nur den VPN Traffic übers VPN schicken
Der Andere soll jeden Traffic übers VPN schicken
In beiden Fällen bist du der Benutzer.
Wenn ich das so richtig verstanden habe, dann solltest du trotzdem 2 verschiedene OPNsense Benutzer verwenden. Jeder bekommt dann für OpenVPN ein anderes Zertifikat. Das ist zwar Mehraufwand, aber nur anhand des Zertifikat CommonNames kann die clientspezifische Config angewendet werden.
Wenn allerdings nur du der Nutzer bist, dann kannst du doch dem Vorschlag von JeGr folgen und 2 verschiedene Client configs verwenden. Dann ist es auch nicht so schlimm, dass dieses Verhalten nicht vom Server forciert sondern vom Client initiiert wird.
Logged
Mathias
Jr. Member
Posts: 89
Karma: 2
Re: OpenVPN Profile mit redirect Gateway und Ohne
«
Reply #5 on:
August 14, 2018, 02:31:56 pm »
Wo stelle ich das denn am Client ein, in der Config?
Logged
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: OpenVPN Profile mit redirect Gateway und Ohne
«
Reply #6 on:
August 14, 2018, 04:36:28 pm »
Da müsste in der Client Config der Eintrag:
redirect-gateway
genügen, um das zu erreichen. Eventuell auch
redirect-gateway autolocal
Damit werden dann zwei Gateway Einträge erzeugt (0.0.0.0/1 und 128.0.0.0/1), die zusammen auch den gesamten legacy (v4) Raum abdecken, aber dein normales default Gateway nicht überschreiben. Zusätzlich wird für dein eigentliches default GW noch eine Hostroute eingetragen, damit du weiterhin über die richtige Verbindung deinen VPN Server erreichen kannst. Alles andere wird dann über die zwei /1er Netze an das VPN Gateway geschippert.
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OpenVPN Profile mit redirect Gateway und Ohne