Ahoj
mam taky problem z nastavenim openVpn servera:
mam viacerych externych klientov (externisti s ntb), ktorym som rozdistribuoval jeden kluc.
teraz potrebujem, aby som pre tychto ludi povolil pristup iba na jeden server v nasej vnutornej sieti.
napad je taky, ze openvpn server nastavi normalnym zamestnancom ip z rozdahu 192.168.10.0-255, a pre externistov
z rozsahu 192.168.11.0-255 a budem to filtrovat na firewalle cez iptables.
takze openvpn server mam (vycuc):
#server pre zamestnancov - plny pristup
server 192.168.10.0 255.255.255.0
....
#adresar pre client-based nastavenia
client-config-dir ccd
a v ccd mam v subore ext:
ifconfig-push 192.168.11.1 192.168.11.2
internym zamestnancom pekne openvpn prideluje ip z 192.168.10.x, problem je, ze vsetkym externistom prideli rovnaku adresu 192.168.11.1 a nikde sa neviem doptrat, ako cez client-config-dir nastavit ip z rozsahu.
pomoze niekto?
dakujem
no, to je ok, to viem ze ten subor je jeden pre vsetkych drzitrlov kluca, ale ako v tom jednom subore povedat, ze pridel externistom adresu z roszahu?
v konfigu mam server 192.168.10.0 255.255.255.0, takze vpn prideluje adresy z 192.168.10.0-255, a ja to iste potrebujem nastavit pre externistov, akurat z 192.168.11.0-255
nahradny plan je spustit 2. instanciu VPN server na inom porte, ale sa mi nezda, ze toto sa neda riesit priamo
no su teda 2 moznosti:
a) kazdemu uzivatelovi vygenerovat kluc (viac prace, ale zda sa mi to ""cistejsie)
b) nova insancia openvpn na inom porte a tam nasekat iny rozsah ako interny zamestnanci
sice sa mi a) zda krajsie, ale kedze neviem kto su ti externisti (subdodavatel klienta), asi skoncim pri b)
su nejake tazke pre a proti za a) resp. b) ??
dakujem za rady
Taky provozuju pripojeni vice klientu se stejnym klicem. K jejich rozliseni pouzivam na servru nastveni:
auth-user-pass-verify check_client.sh via-env
username-as-common-name
client-config-dir /clients
V adresari clients jsou soubory ktere se jmenuji stejne jako to co je v openvpn.id (viz nize) a obsahuji nastaveni ip pro toho ktereho klienta:
ifconfig-push 10.0.0.25 10.0.0.1
U klienta pak:
auth-user-pass openvpn.id - openvpn.id je soubor obsahuje nejaky unikatni nazev
Neni to asi uplne presne to co porebujes, ma to totiz tu nevyhodu ze musis nastavit pripojovaneho klienta. Pokud totiz klienta nenajde tak prideli ip z poolu.
Mozna obratit logiku a z poolu pridelovat externistum a domacim davat privilegovane IP.
Asi bych ale spis pouzil druhou instanci opevpn...