OpenVPN Anfängerfragen
Hallo,
ich mache gerade meine ersten Gehversuche in OpenVPN
Dazu habe ich mir auf einem Hyper-V Host eine Debian VM mit einer NIC und einer IP aus dem LAN (n.n.n.h /24) installiert.
Anschließend habe ich nach folgender Heise Anleitung OpenVPN installiert und einen Benutzer angelegt:
www.heise.de/tipps-tricks/OpenVPN-Server-aufsetzen-so-einfach-geht-s-4601151.html
Auf unserem Lancom Router habe eine Portweiterleitung auf Port 1194 des Debian Servers gemacht.
Wenn ich mich jetzt von extern mit dem Windows OpenVPN Client mit der geladenen user.ovpn Datei über unsere externe IP verbinde, bekommt der PC eine Tunnel IP zugewiesen und hat zugriff auf alle IPs im LAN.
Wie müsste ich grundsätzlich vorgehen, damit in OpenVPN generierte User nur Zugriff auf bestimmte PCs ( eigener Client ) bekommen, wobei diese keine statische IP haben.
Wäre es zwingend erforderlich, dass der OpenVPN Server 2 NIC hat, um die Beschränkungen per FW zu definieren, oder geht das auch mit der oben beschriebenen Konfiguration?
Gruß
Ralf
ich mache gerade meine ersten Gehversuche in OpenVPN
Dazu habe ich mir auf einem Hyper-V Host eine Debian VM mit einer NIC und einer IP aus dem LAN (n.n.n.h /24) installiert.
Anschließend habe ich nach folgender Heise Anleitung OpenVPN installiert und einen Benutzer angelegt:
www.heise.de/tipps-tricks/OpenVPN-Server-aufsetzen-so-einfach-geht-s-4601151.html
Auf unserem Lancom Router habe eine Portweiterleitung auf Port 1194 des Debian Servers gemacht.
Wenn ich mich jetzt von extern mit dem Windows OpenVPN Client mit der geladenen user.ovpn Datei über unsere externe IP verbinde, bekommt der PC eine Tunnel IP zugewiesen und hat zugriff auf alle IPs im LAN.
Wie müsste ich grundsätzlich vorgehen, damit in OpenVPN generierte User nur Zugriff auf bestimmte PCs ( eigener Client ) bekommen, wobei diese keine statische IP haben.
Wäre es zwingend erforderlich, dass der OpenVPN Server 2 NIC hat, um die Beschränkungen per FW zu definieren, oder geht das auch mit der oben beschriebenen Konfiguration?
Gruß
Ralf
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 83622391893
Url: https://administrator.de/contentid/83622391893
Ausgedruckt am: 21.11.2024 um 11:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
hier erstmal der obligatorische Hinweis auf das FAQ von @aqui.
Eine Frage: Warum machst Du das so? Du hast einen Lancom-Router, der aller Wahrscheinlichkeit nach ein VPN anbietet. Warum nutzt Du das nicht?
Liebe Grüße
Erik
hier erstmal der obligatorische Hinweis auf das FAQ von @aqui.
Eine Frage: Warum machst Du das so? Du hast einen Lancom-Router, der aller Wahrscheinlichkeit nach ein VPN anbietet. Warum nutzt Du das nicht?
Liebe Grüße
Erik
Zitat von @RalfHackmann:
Ja, das stimmt, jedoch wollte ich mich zusätzlich mit OpenVPN befassen.
Du hast einen Lancom-Router, der aller Wahrscheinlichkeit nach ein VPN anbietet. Warum nutzt Du das nicht?
Ja, das stimmt, jedoch wollte ich mich zusätzlich mit OpenVPN befassen.
Das ist ein guter Grund.
Alle deine Fragen beantwortet en Detail das hiesige OpenVPN Tutorial!
Eine Security bei Hosts mit dynamischen IPs im Zielnetz bei einer Site2Site VPN Kopplung ist nur sehr schwer möglich.
Normalerweise würde man dann beim push route... Kommando kein Netzwerk sondern /32er Hostadressen angeben was bei dynamischen IPs dann natürlich sinnfrei ist. (Gleiches Verhalten bei IPsec oder Wireguard)
Entweder machst du für diese Rechner eine feste Reservierung im DHCP Server über dessen Mac Adresse oder musst die Security nur von den Zugangscredentials dieser Rechner abhängig machen.
Alternativ könnte man das auch mit der nftables Firewall auf dem Server lösen aber auch hier hast du durch die sich ändernden dynamischen IPs das gleiche Problem wenn du nur netzwerkseitige Security anstrebst ohne z.B. einen RDP Proxy o.ä.
Anregungen für andere VPN Protokolle als das etwas in die Jahre gekommene und wenig performante OpenVPN findest du unter anderem hier und auch hier und in deren weiterführenden Links.
Eine Security bei Hosts mit dynamischen IPs im Zielnetz bei einer Site2Site VPN Kopplung ist nur sehr schwer möglich.
Normalerweise würde man dann beim push route... Kommando kein Netzwerk sondern /32er Hostadressen angeben was bei dynamischen IPs dann natürlich sinnfrei ist. (Gleiches Verhalten bei IPsec oder Wireguard)
Entweder machst du für diese Rechner eine feste Reservierung im DHCP Server über dessen Mac Adresse oder musst die Security nur von den Zugangscredentials dieser Rechner abhängig machen.
Alternativ könnte man das auch mit der nftables Firewall auf dem Server lösen aber auch hier hast du durch die sich ändernden dynamischen IPs das gleiche Problem wenn du nur netzwerkseitige Security anstrebst ohne z.B. einen RDP Proxy o.ä.
Anregungen für andere VPN Protokolle als das etwas in die Jahre gekommene und wenig performante OpenVPN findest du unter anderem hier und auch hier und in deren weiterführenden Links.
nur Zugriff auf bestimmte PCs ( eigener Client ) bekommen, wobei diese keine statische IP haben.
Z.B. ein Remote-Desktop-Gateway ins Netz setzen und den Usern per VPN nur Zugriff auf diesen geben, dann können sie darüber auch nur auf die Rechner verbinden auf die sie auch entsprechende Rechte besitzen.Gruß Strods.
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?