Moin.
Habe ein openvpn Server.
Daran hängen mehrere clients. In der Server Config habe ich die Option client to client nicht aktiv, sodass die clients untereinander sich nicht sehen können .
Nun soll aber ein oder zwei Zugänge sich auch mit dem openvpn Server Verbinden können mit der Möglichkeit alle clients direkt anpingen zu können, quasi wie admin Accounts. Kann man solche verschiedenen Berechtigungen serverseitig festlegen?
kann mir da vielleicht einer helfen?
Ich habe nun einiges probiert.
Ergebnis ist: egal was ich probiere.... entweder sehen sich alle clients untereinander oder gar keiner. Ich möchte ja, dass nur wenige admin zugänge alle anderen vpn clients sehen können. die anderen clients dürfen maximal den vpn server erreichen.
habe das ganze mit dem howto probiert: http://openvpn.net/index.php/open-so...to.html#policy
aber es klappt nicht. ich habe für mehrere vpn accounts einzelne ccd files angelegt und diese werden auch verwendet beim Verbindungsaufbau der clients. aber auch hier kann ein client nur die anderen erreichen, wenn sich alle sehen können.
in der server config ist client config deaktiviert. trotz gesetzter routen können sich die vpn clients nur sehen, wenn sie alle eine ip mit dem selben netz bekommen.
Meine server konfig:
port 1194
proto udp
dev tun
ca ./server/keys/ca.crt
cert ./server/keys/server.crt
key ./server/keys/server.key # Diese Datei geheim halten.
dh ./server/keys/dh2048.pem # Diffie-Hellman-Parameter
server 10.8.0.0 255.255.255.0
#Add routes for the System Administrator and Contractor IP ranges:
# Employees 10.8.0.0/24
# System Administrators 10.8.1.0/24
# Contractors 10.8.2.0/24
route 10.8.1.0 255.255.255.0
route 10.8.2.0 255.255.255.0
client-config-dir server/ccd
ccd file client der vom admin erreicht werden soll, aber selbst kein anderen vpn partner sehen darf:
ifconfig-push 10.8.2.1 10.8.2.2
ccd file admin der alle anderen vpn partner sehen darf:
ifconfig-push 10.8.1.1 10.8.1.2
vpn config der clients (admin und auch der nich admins (keys und zertifikate natürlich unterschiedlich):
client
dev tun
proto udp
remote 192.168.0.39 1194
resolv-retry infinite
nobind
persist-key
persist-tun
#auth-user-pass
ca ./keys/ca.crt
cert ./keys/mobil2.crt
key ./keys/mobil2.key
dh ./keys/02.pem
comp-lzo
verb 3
wie gesagt, wenn beispielsweise beide clients im ifconfig-push 10.8.1.x Bereich liegen würden, würden sie sich einzig allein durch die push "route 10.8.1.0 255.255.255.0" gegenseitig finden, aber auch nur, wenn diese in der server konfig oder in BEIDEN ccd Files drin stehen würde.
Die Route am admin pc sieht so aus
10.8.0.1 10.8.1.2 255.255.255.255 UGH 0 0 0 tun0
10.8.1.2 * 255.255.255.255 UH 0 0 0 tun0
Dieser admin pc hat per ifconfig:
inet Adresse:10.8.1.1 P-z-P:10.8.1.2 Maske:255.255.255.255
ich hab noch versuch in der ccd Datei des Admin die Route zu dem anderen netz mit zu geben über push "route 10.8.2.0 255.255.255.0"
danach würde route so aussehen:
10.8.0.1 10.8.1.2 255.255.255.255 UGH 0 0 0 tun0
10.8.1.2 * 255.255.255.255 UH 0 0 0 tun0
10.8.2.0 10.8.1.2 255.255.255.0 UG 0 0 0 tun0
Das funzt aber auch nicht.
hat einer so was schon mal erfolgreich gemacht?
Berechtigungen
Zitieren
Lesezeichen