darodesk
Goto Top

Mikrotik OVPN-User nur den Zugriff auf eine bestimmte IP im LAN erlauben

Hallo zusammen,

ich habe auf einem Mikrotik-Router einen OVPN-Server aufgesetzt und die Einwahl verschiedener Clients funktioniert problemlos. Nun soll jeder Ovpn-User aber nur Zugriff auf eine bestimmte IP und auch nur einen bestimmten Port haben (TCP/3389 für "Homeoffice"). Die Mitarbeiter, die sich von zu Hause einwählen haben im Unternehmen einen eigenen Arbeitsplatz und auf den sollen sie sich nur verbinden können)
Wie muss im Mikrotik eine FW-Regel formuliert sein, dass ich für jeden OVPN-User (IP wechselt ja ständig) festlegen kann, dass er nur auf seinen Client (die haben feste IPs im Lan) kommt?

Vielen Dank für die Hilfe.
Daniel

Content-ID: 622996

Url: https://administrator.de/forum/mikrotik-ovpn-user-nur-den-zugriff-auf-eine-bestimmte-ip-im-lan-erlauben-622996.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

darodesk
darodesk 16.11.2020 um 21:00:09 Uhr
Goto Top
Ich antworte mir mal selbst, habe jetzt erst gesehen, das man jedem OVPN-Benutzer eine feste Remote-IP aus dem entsprechenden IP-Pool hinterlegen kann und damit kann man dann sehr einfach eine Forward-Regel definieren, die alles verbietet ausser der entsprechenden Client-IP.
Ad39min
Ad39min 16.11.2020 um 22:21:48 Uhr
Goto Top
Zitat von @darodesk:

Ich antworte mir mal selbst, habe jetzt erst gesehen, das man jedem OVPN-Benutzer eine feste Remote-IP aus dem entsprechenden IP-Pool hinterlegen kann und damit kann man dann sehr einfach eine Forward-Regel definieren, die alles verbietet ausser der entsprechenden Client-IP.

Richtig. Du kannst selber entscheiden, ob die IP aus einem von Dir definierten Pool kommen soll, oder fest definiert ist.
Genauso kannst Du natürlich auch FW-Regeln optional auf ein ganzes Pool anwenden.

Best Practice ist es immer, eine Firewall-Regel zu haben, die alles verbietet, und mit zusätzlichen Regeln lediglich das zu erlauben, was notwendig ist.

Gruß
Alex
aqui
aqui 17.11.2020 um 10:05:58 Uhr
Goto Top
dass ich für jeden OVPN-User (IP wechselt ja ständig)
Die IP muss nicht ständig wechseln. Du kannst mit einer statischen Zuweisung auch feste IPs vergeben ala...
/ppp secret add name="ovpn-user-1" ... remote-address=192.168.1.2
/ppp secret add name="ovpn-user-2" ... remote-address=192.168.1.3

usw.
Oben ist das ja schon gesagt. Guckst du auch hier dazu:
Merkzettel: VPN Installation mit OpenVPN
Clientverbindung OpenVPN Mikrotik
darodesk
darodesk 17.11.2020 um 10:16:54 Uhr
Goto Top
So habe ich es jetzt auch gemacht, es gibt einen globalen Drop für den VPN-User Bereich und darüber dann die Ausnahmen für jeden einzelnen User bzw. Ausnahmen für alle User (bei uns z.B. der DNS für die Namensauflösungen bei den Remotedesktops) Klappt perfekt.
Danke allen nochmal.