OPEN VPN vergibt immer nur eine IP
Hallo zusammen,
WIr haben uns vor kurzem über OPENVPN drüber gestürzt.
So weit läuft alles wie wir uns das vorgestellt haben. Anforderung hatten wir nur für einen Client, wo sich verschieder Benutzer anmelden.
Glöst haben wir das mit dem Befehl auth-user-pass-verify und dem TXT-File, wo Username und Passwort hinterlegt sind.
Jetzt benötigen wir einen 2. Client, der sich per VPN verbinden soll. Wir verwenden das gleiche Zertifikat wie bei Client1.
Jetzt ist es aber so, das jeder die IP 10.8.0.6 bekommt wenn er sich verbindet, also kappt er beim anderen Cient die Verbindung.
Kann ich das so konfigurieren, das ein gewisser User eine gewisse IP bekommt?
Hier wäre unsere server.ovpn:
Vieleicht kann mir jemand helfen und mir im alten Jahr noch zu ein - zwei Tage Urlaub verhelfen.
WIr haben uns vor kurzem über OPENVPN drüber gestürzt.
So weit läuft alles wie wir uns das vorgestellt haben. Anforderung hatten wir nur für einen Client, wo sich verschieder Benutzer anmelden.
Glöst haben wir das mit dem Befehl auth-user-pass-verify und dem TXT-File, wo Username und Passwort hinterlegt sind.
Jetzt benötigen wir einen 2. Client, der sich per VPN verbinden soll. Wir verwenden das gleiche Zertifikat wie bei Client1.
Jetzt ist es aber so, das jeder die IP 10.8.0.6 bekommt wenn er sich verbindet, also kappt er beim anderen Cient die Verbindung.
Kann ich das so konfigurieren, das ein gewisser User eine gewisse IP bekommt?
Hier wäre unsere server.ovpn:
port 1194
proto udp
dev tun
;dev-node MyTap
ca ca.crt
cert SERVER.crt
key SERVER.key # This file should be kept secret
dh dh1024.pem
;topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
;push "route 192.168.10.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 213.33.99.70"
;push "dhcp-option DNS 208.67.220.220"
;client-to-client
;duplicate-cn
keepalive 2 1200
;tls-auth ta.key 0 # This file is secret
;cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
comp-lzo
;max-clients 100
;user nobody
;group nobody
persist-key
persist-tun
status openvpn-status.log
;log openvpn.log
;log-append openvpn.log
verb 3
;mute 20
script-security 3 system
auth-user-pass-verify C:\\Programme\\OpenVPN\\config\\auth.bat via-env
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator Dani am 29.12.2014 um 15:30:59 Uhr
Formatierung hinzugefügt.
Content-ID: 258607
Url: https://administrator.de/contentid/258607
Ausgedruckt am: 05.11.2024 um 19:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo huber-andreas,
für dieses Szenario (mehrere User benutzen ein und das selbe Zertifikat mit dem selben common name) füge folgende Zeile zu den Server Optionen hinzu (in deinem Script von oben einfach in Zeile 39 das Kommentar entfernen):
p.s. ein neuer User mit anderem Zertifikat wäre aber zu bevorzugen.
Grüße Uwe
für dieses Szenario (mehrere User benutzen ein und das selbe Zertifikat mit dem selben common name) füge folgende Zeile zu den Server Optionen hinzu (in deinem Script von oben einfach in Zeile 39 das Kommentar entfernen):
duplicate-cn
Wenn ein Client sich mehrmals mit demselben Common Name anmeldet wird eine vorhandene Verbindung getrennt. Durch die Verwendung von der Server-Option duplicate-cn kann dies verhindert werden.
p.s. ein neuer User mit anderem Zertifikat wäre aber zu bevorzugen.
Grüße Uwe
Ansonsten findest du hier alles was fürs Setup wichtig ist:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wie man dem Client statische IPs mitgibt kannst du hier nachlesen:
https://community.openvpn.net/openvpn/wiki/Concepts-Addressing
oder hier nochmal in Deutsch:
https://thomas-leister.de/internet/openvpn-statische-ips-clients-vergebe ...
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wie man dem Client statische IPs mitgibt kannst du hier nachlesen:
https://community.openvpn.net/openvpn/wiki/Concepts-Addressing
oder hier nochmal in Deutsch:
https://thomas-leister.de/internet/openvpn-statische-ips-clients-vergebe ...
Wo liegt der Vorteil wenn ich für einen neuen User ein neues Zertifikat erstelle?
Wenn einer deiner Clients mal abhanden kommt oder gestohlen wird, musst du bei individuellen Zertifikaten nicht gleich alle Clients die das selbe Zertifikat verwenden, erneuern Das wäre bei mehreren Usern ein ziemlicher Aufwand.
Wieso ? Ist doch schnell erledigt ...lässt sich ja alles scripten.Grüße Uwe
Jeder kann das Zertifikat fröhlich kopieren. Das ist so wenn du jedem beliebigen das Passwort verrätst. Eigentlich ist sowas ein NoGo für eine VPN Verbindung wenn man die sicher gestalten will.
Außerdem hat es den Nachteil das sollte das Zertifikat einmal kompromitiert sein oder kündigt der Kollege z.B. du es für ALLE austauschen musst. Pro User dann eben nur für den einen User ungültig machen.
Kommt man eigentlich auch von selber drauf...
Außerdem hat es den Nachteil das sollte das Zertifikat einmal kompromitiert sein oder kündigt der Kollege z.B. du es für ALLE austauschen musst. Pro User dann eben nur für den einen User ungültig machen.
Kommt man eigentlich auch von selber drauf...
Kann aber sollte man aus Sicherheitsgründen niemals machen ! Das dann ein VPN in Sekundenschnelle kompromitiert werden kann leigt auf der Hand.
Die Frage ist WAS du schützen willst mit dem VPN. Wenn das die Kinderbilder für Oma Grete sind sicher kein Thema. Ist das ein Firmennetz ein absolutes NoGo !
Deine eigene Sicherheitspolicy sollte den Sicherheitsanspruch definieren !
Die Frage ist WAS du schützen willst mit dem VPN. Wenn das die Kinderbilder für Oma Grete sind sicher kein Thema. Ist das ein Firmennetz ein absolutes NoGo !
Deine eigene Sicherheitspolicy sollte den Sicherheitsanspruch definieren !
Hallo Andreas,
einmal kurz in die Doku zur Version 2.3 geschaut, und folgendes gelesen ...
Und den OpenVPN-Dienst natürlich mit elevated Rights starten lassen, das sollte klar sein.
Grüße Uwe
einmal kurz in die Doku zur Version 2.3 geschaut, und folgendes gelesen ...
OpenVPN releases before v2.3 also supported a method flag which indicated how OpenVPN should call external commands and scripts. This could be either execve or system. As of OpenVPN v2.3, this flag is no longer accepted. In most *nix environments the execve() approach has been used without any issues.
To run scripts in Windows in earlier OpenVPN versions you needed to either add a full path to the script interpreter which can parse the script or use the system flag to run these scripts. As of OpenVPN v2.3 it is now a strict requirement to have full path to the script interpreter when running non-executables files. This is not needed for executable files, such as .exe, .com, .bat or .cmd files. For example, if you have a Visual Basic script, you must use this syntax now:
--up 'C:\\Windows\\System32\\wscript.exe C:\\Program\ Files\\OpenVPN\\config\\my-up-script.vbs'
Please note the single quote marks and the escaping of the backslashes (\) and the space character.
The reason the support for the system flag was removed is due to the security implications with shell expansions when executing scripts via the system() call.
Grüße Uwe
Damit
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
hat man es in 10 Minuten zum Laufen....
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
hat man es in 10 Minuten zum Laufen....