Este equipo de trabajo ha estado mucho tiempo investigando la solución a tus dudas, te compartimos la respuesta por eso nuestro deseo es serte de mucha ayuda.
Solución:
Solución 1:
Supongamos que estamos configurando una VPN de empresa y nos gustaría establecer políticas de acceso independientes para 3 clases diferentes de usuarios:
System administrators -- full access to all machines on the network
Employees -- access only to Samba/email server
Contractors -- access to a special server only
El enfoque básico que tomaremos es (a) segregar cada clase de usuario en su propio rango de direcciones IP virtuales y (b) controlar el acceso a las máquinas mediante la configuración de reglas de firewall que key fuera de la dirección IP virtual del cliente.
En nuestro ejemplo, suponga que tenemos un número variable de empleados, pero solo un administrador del sistema y dos contratistas. Nuestro enfoque de asignación de IP será poner a todos los empleados en un grupo de direcciones IP y luego asignar direcciones IP fijas para el administrador del sistema y los contratistas.
Tenga en cuenta que uno de los requisitos previos de este ejemplo es que tiene un firewall de software ejecutándose en la máquina del servidor OpenVPN que le da la capacidad de definir reglas de firewall específicas. Para nuestro ejemplo, asumiremos que el firewall es iptables de Linux.
Primero, creemos un mapa de direcciones IP virtuales según la clase de usuario:
Class Virtual IP Range Allowed LAN Access Common Names
Employees 10.8.0.0/24 Samba/email server at 10.66.4.4 [variable]
Sys Admins 10.8.1.0/24 Entire 10.66.4.0/24 subnet sysadmin1
Contractors 10.8.2.0/24 Contractor server at 10.66.4.12 contractor1, contractor2
A continuación, traduzcamos este mapa a un OpenVPN. configuración del servidor. En primer lugar, asegúrese de haber seguido los pasos anteriores para hacer que la subred 10.66.4.0/24 esté disponible para todos los clientes (aunque configuraremos el enrutamiento para permitir el acceso del cliente a toda la subred 10.66.4.0/24, luego impondremos restricciones de acceso mediante reglas de firewall para implementar la tabla de políticas anterior).
Primero, defina un static número de unidad para nuestra interfaz tun, de modo que podamos consultarlo más adelante en nuestras reglas de firewall:
dev tun0
En el archivo de configuración del servidor, defina el grupo de direcciones IP del empleado:
server 10.8.0.0 255.255.255.0
Agregue rutas para los rangos de IP del administrador del sistema y del contratista:
route 10.8.1.0 255.255.255.0
route 10.8.2.0 255.255.255.0
Debido a que asignaremos direcciones IP fijas para administradores y contratistas del sistema específicos, usaremos un directorio de configuración del cliente, ccd:
client-config-dir ccd
Ahora coloque archivos de configuración especiales en el ccd subdirectorio para definir la dirección IP fija para cada cliente VPN que no sea empleado, de la siguiente manera.
ccd/sysadmin1 expediente:
ifconfig-push 10.8.1.1 10.8.1.2
ccd/contractor1 expediente:
ifconfig-push 10.8.2.1 10.8.2.2
ccd/contractor2 expediente:
ifconfig-push 10.8.2.5 10.8.2.6
Cada par de direcciones ifconfig-push representan los puntos finales de IP del servidor y del cliente virtual. Deben tomarse de sucesivas subredes / 30 para que sean compatibles con los clientes de Windows y el controlador TAP-Windows. Específicamente, el último octeto en la dirección IP de cada par de extremos debe tomarse de este conjunto:
[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]
[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
[101,102] [105,106] [109,110] [113,114] [117,118]
[121,122] [125,126] [129,130] [133,134] [137,138]
[141,142] [145,146] [149,150] [153,154] [157,158]
[161,162] [165,166] [169,170] [173,174] [177,178]
[181,182] [185,186] [189,190] [193,194] [197,198]
[201,202] [205,206] [209,210] [213,214] [217,218]
[221,222] [225,226] [229,230] [233,234] [237,238]
[241,242] [245,246] [249,250] [253,254]
Esto completa la configuración de OpenVPN. El último paso es agregar reglas de firewall para finalizar la política de acceso.
Fuente: https://openvpn.net/index.php/open-source/documentation/howto.html#policy
Solucion 2:
Debería poder hacer esto con el ifconfig-pool-persist opción de configuración. Puede preconfigurar el archivo y establecer seconds = 0 para decirle a OpenVPN que solo lea el archivo.
Lo usamos para asegurarnos de que al mismo usuario se le asigna la misma IP cuando se conecta a través de VPN para fines de auditoría.
Desde la página del manual:
–ifconfig-pool-persist archivo [seconds]
Conservar / anular la persistencia de los datos de ifconfig-pool en el archivo, a intervalos de segundos (predeterminado = 600), así como al inicio y apagado del programa. El objetivo de esta opción es proporcionar una asociación a largo plazo entre los clientes (indicados por su nombre común) y la dirección IP virtual asignada a ellos desde el ifconfig-pool. Mantener una asociación a largo plazo es bueno para los clientes porque les permite utilizar eficazmente la opción –persist-tun.file es un archivo ASCII delimitado por comas, formateado como,.
Si segundos = 0, el archivo se tratará como de solo lectura. Esto es útil si desea tratar el archivo como un archivo de configuración.
Tenga en cuenta que OpenVPN trata las entradas de este archivo solo como sugerencias, basadas en asociaciones pasadas entre un nombre común y una dirección IP. No garantizan que el nombre común proporcionado siempre recibirá la dirección IP proporcionada. Si desea una asignación garantizada, use –ifconfig-push
Solución 3:
Tuve algunos problemas configurando como @jas_raj. Ahora estoy haciendo lo siguiente:
1) En / etc / openvpn cree una nueva carpeta. Por ejemplo “dir“
2) server.conf agregar línea “dir-dir-config-cliente /“
3) Dentro de “dir”, debe crear un nuevo archivo con el ** mismo nombre que escribió en su certificado ** y escribir:
MÁSCARA IP ifconfig-push
Por ejemplo:
ifconfig-push 10.0.0.10 255.0.0.0
Comentarios y valoraciones
Si te sientes suscitado, tienes la libertad de dejar una sección acerca de qué te ha parecido esta crónica.