Zugriff innerhalb OpenVPN beschränken

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo,

    ich habe ein VPN (10.9.0.0), in dem es neben dem Server (10.9.0.1) zwei Administratoren (10.9.0.4 und 10.9.0.8) gibt, sowie jede Menge Raspberries (10.9.1.x für Admin 1 und 10.9.2.x für Admin 2). Wie bekomme ich es hin, dass die Admins nur "ihre" Raspberries ansprechen können? Aktuell loggen sich die Admins auf dem Server und dann auf dem Raspberry ein, um dort zu arbeiten. Ich möchte aber gerne, dass der 10.9.0.4 sich ohne Umweg auf 10.9.1.x einloggen kann, der Admin 10.9.0.8 auf 10.9.2.x etc ...

    Der VPN-Server läuft auf einem Debian9, die Konfiguration ist wie folgt:

    Code: ccd/Admin1
    ifconfig-push 10.9.0.4 255.255.0.0
    Code: ccd/Raspberry23
    ifconfig-push 10.9.1.23 255.255.0.0

    Mir ist einfach nicht klar, wo ich angreifen muß: am OpenVPN-Server? Am Server selbst?

    Viele Grüße

    Konstantin

  • Wie bekomme ich es hin, dass die Admins nur "ihre" Raspberries ansprechen können? Aktuell loggen sich die Admins auf dem Server und dann auf dem Raspberry ein, um dort zu arbeiten. Ich möchte aber gerne, dass der ... sich ohne Umweg auf ... einloggen kann, ...

    Du könntest im VPN-Server eine client-to-client-Konfiguration machen, so dass sich der Admin (auch nur ein VPN-Client) direkt per VPN mit dem PI (auch ein VPN-Client) verbinden kann.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Die Anweisung "client-to-client" hatte ich ursprünglich drin, dann konnten jedoch alle Clients mit allen Clients reden, und das möchte ich nicht. Ich möchte, dass:

    1. 10.9.0.1 (server) mit 10.9.x.x (alle Clients) reden kann
    2. 10.9.0.4 (admin1) nur mit 10.9.1.x, jedoch nicht mit 10.9.2.x reden kann
    3. 10.9.0.8 (admin2) nur mit 10.9.2.x, jedoch nicht mit 10.9.1.x reden kann

    Kann man das bei "client-to-client" irgendwie einrichten? Oder bin ich komplett auf dem Holzdampfer, und ich benötige mehrere VPNs?

    Viele Grüße

    Konstantin

  • Kann man das bei "client-to-client" irgendwie einrichten?

    Wenn die VPN-Clients und der VPN-Server sich jeweils hinter Router (mit eigenem und unterschiedlichem Subnetz) befinden, kannst Du das mit bzw. ohne Routing in das andere Subnetz machen. Oder mit iptables (Paketfilter) sollte das auch möglich sein.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Ich habe ein VPN (10.9.0.0), in dem es neben dem Server (10.9.0.1) zwei Administratoren (10.9.0.4 und 10.9.0.8) gibt, sowie jede Menge Raspberries (10.9.1.x für Admin 1 und 10.9.2.x für Admin 2). Wie bekomme ich es hin, dass die Admins nur "ihre" Raspberries ansprechen können? Aktuell loggen sich die Admins auf dem Server und dann auf dem Raspberry ein, um dort zu arbeiten. Ich möchte aber gerne, dass der 10.9.0.4 sich ohne Umweg auf 10.9.1.x einloggen kann, der Admin 10.9.0.8 auf 10.9.2.x etc ...

    Irgendwie verstehe ich diese Aussage absolut gar nicht .... wieso ein VPN...?... da sind doch 3 typische VPN-Subnets beschrieben:

    10.9.0/24

    10.9.1/24

    und

    10.9.2/24

    Also müssten auf einem irgendeinem Server doch auch 3 VPN-Server-Instanzen laufen, die jeder ein entsprechendes Subnet repräsentieren .....oder verstehe ich das hier falsch? Und nun sollen auch noch irgendwelche willkürlich festgelegten IPs des einen Subnets auf Clients eines andere Subnets zugreifen dürfen, aber nur in einer Richtung, und alle anderen nicht, und dann mal ja und mal nein? Kann es vielleicht auch sein, dass das ein völlig unpraktischer Lösungsansatz aus geradezu grotesker Regelungsmanie ist? Nicht eine IP beschreibt, wer Admin ist, sondern die Berechtigungen, die ein Admin auf irgendeinem System hat. Und eine Admin-Autorisierung an eine IP zu klöppeln ist schon ziemlich krasser Blödsinn.

    Sorry, aber ich würde Dir empfehlen, Dein Konzept neu zu planen. ... ich halte das für totalen Mist. Wer als Admin wohin Zugriffe hat oder haben soll, lässt sich mit PWDs für Clients und ggf. SSH-Keys deutlich einfacher lösen, wenn man nur einziges VPN-Subnet hat.

    :conf:

    Einmal editiert, zuletzt von WinterUnit16246 (6. April 2019 um 16:16)

  • Ein 10.x.x.x -er Netz ist aber üblicherweise ein Klasse A-Netz /8

    Richtig... im vorigen Jahrhundert war das mal so definiert.... mittlerweile sind wir aber beim klassenlosen Domain-Routing angekommen, in dem nicht die veraltete Net-Klasse definiert, was es ist, sondern die subnet-mask.... und speziell hier ist es ein /24'er Netz, siehe seine Conf:

    server 10.9.0.0 255.255.0.0

    CIDR gilt seit über 25 Jahren.... :shy:

    Nachtrag... oh shit... :wallbash: ....hab ungenau gelesen... er definiert ein /16'er Netz.... sorry :angel: ... ich halte mich besser raus, damit ich nicht noch mehr Mist erzähle... sorry.... ich bleibe aber dabei, Berechtigungen an eine IP zu klöppeln ist imho der falsche Ansatz.

    3 Mal editiert, zuletzt von WinterUnit16246 (6. April 2019 um 18:24)

  • Ích würde das VPN und die Berechtigung trennen.

    Per VPN siehst du erst mal alles und die entsrechenden PI haben entsprechende User (admin1, admin2)

    So kommen alle via VPN überall ran aber nicht auf jeden PI.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Hallo zusammen,

    vielen Dank für die Antworten. Wenn es nach mir ginge, hätte ich das VPN als "client-to-client" konfiguriert (hatte ich auch ursprünglich) und würde die Authentifizierung per ssh-key machen. Nur geht zweiteres nicht überall, da die Raspberries leider nicht mir gehören. Die Benutzer haben teilweise noch irgendwelche Wetterstationen drauf laufen, auf die sie von außen drauf zugreifen wollen, und leider haben sie teilweise noch das Standardpasswort und so... als dann der erste RPi plötzlich angefangen hat, irgenwelche Crypto-Währungen zu berechnen, hab ich erst mal das "client-to-client" entfernt, damit die anderen Raspberries nicht auch noch gekapert werden können.

    Ich denke, eine Lösung per iptables bzw. nftables, wie sie auf der OpenVPN-Seite beschrieben wird, dürfte die Lösung sein.

    Vielen Dank und viele Grüße

    Konstantin

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!