4
Mikrotik OVPN-User nur den Zugriff auf eine bestimmte IP im LAN erlauben
Hallo zusammen,
ich habe auf einem Mikrotik-Router einen OVPN-Server aufgesetzt und die Einwahl verschiedener Clients funktioniert problemlos. Nun soll jeder Ovpn-User aber nur Zugriff auf eine bestimmte IP und auch nur einen bestimmten Port haben (TCP/3389 für "Homeoffice"). Die Mitarbeiter, die sich von zu Hause einwählen haben im Unternehmen einen eigenen Arbeitsplatz und auf den sollen sie sich nur verbinden können)
Wie muss im Mikrotik eine FW-Regel formuliert sein, dass ich für jeden OVPN-User (IP wechselt ja ständig) festlegen kann, dass er nur auf seinen Client (die haben feste IPs im Lan) kommt?
Vielen Dank für die Hilfe.
Daniel
ich habe auf einem Mikrotik-Router einen OVPN-Server aufgesetzt und die Einwahl verschiedener Clients funktioniert problemlos. Nun soll jeder Ovpn-User aber nur Zugriff auf eine bestimmte IP und auch nur einen bestimmten Port haben (TCP/3389 für "Homeoffice"). Die Mitarbeiter, die sich von zu Hause einwählen haben im Unternehmen einen eigenen Arbeitsplatz und auf den sollen sie sich nur verbinden können)
Wie muss im Mikrotik eine FW-Regel formuliert sein, dass ich für jeden OVPN-User (IP wechselt ja ständig) festlegen kann, dass er nur auf seinen Client (die haben feste IPs im Lan) kommt?
Vielen Dank für die Hilfe.
Daniel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 622996
Url: https://administrator.de/contentid/622996
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
4 Kommentare
Neuester Kommentar
Ich antworte mir mal selbst, habe jetzt erst gesehen, das man jedem OVPN-Benutzer eine feste Remote-IP aus dem entsprechenden IP-Pool hinterlegen kann und damit kann man dann sehr einfach eine Forward-Regel definieren, die alles verbietet ausser der entsprechenden Client-IP.
Zitat von @darodesk:
Ich antworte mir mal selbst, habe jetzt erst gesehen, das man jedem OVPN-Benutzer eine feste Remote-IP aus dem entsprechenden IP-Pool hinterlegen kann und damit kann man dann sehr einfach eine Forward-Regel definieren, die alles verbietet ausser der entsprechenden Client-IP.
Ich antworte mir mal selbst, habe jetzt erst gesehen, das man jedem OVPN-Benutzer eine feste Remote-IP aus dem entsprechenden IP-Pool hinterlegen kann und damit kann man dann sehr einfach eine Forward-Regel definieren, die alles verbietet ausser der entsprechenden Client-IP.
Richtig. Du kannst selber entscheiden, ob die IP aus einem von Dir definierten Pool kommen soll, oder fest definiert ist.
Genauso kannst Du natürlich auch FW-Regeln optional auf ein ganzes Pool anwenden.
Best Practice ist es immer, eine Firewall-Regel zu haben, die alles verbietet, und mit zusätzlichen Regeln lediglich das zu erlauben, was notwendig ist.
Gruß
Alex
dass ich für jeden OVPN-User (IP wechselt ja ständig)
Die IP muss nicht ständig wechseln. Du kannst mit einer statischen Zuweisung auch feste IPs vergeben ala... /ppp secret add name="ovpn-user-1" ... remote-address=192.168.1.2
/ppp secret add name="ovpn-user-2" ... remote-address=192.168.1.3
usw.
Oben ist das ja schon gesagt. Guckst du auch hier dazu:
Merkzettel: VPN Installation mit OpenVPN
Clientverbindung OpenVPN Mikrotik
So habe ich es jetzt auch gemacht, es gibt einen globalen Drop für den VPN-User Bereich und darüber dann die Ausnahmen für jeden einzelnen User bzw. Ausnahmen für alle User (bei uns z.B. der DNS für die Namensauflösungen bei den Remotedesktops) Klappt perfekt.
Danke allen nochmal.
Danke allen nochmal.
