Wichtig für Admins ist, dass sie wegen der Firewall Regeln immer die gleiche IP auch im VPN bekommen, da sie mehr können sollen als der normale Benutzer. Mit der OPNsense und OpenVPN kein Problem. Hier eine kurze Anleitung.
Angenommen, das VPN-Netz ist 192.168.100.0/24 und der "Admin"-Benutzer soll 192.168.100.10/24
bekommen. Der heißt hier beispielhaft marcel
.
Wichtig: Im OpenVPN-Server muss die Option (Advanced) gesetzt sein: Benutzername als CN, damit der Benutzername richtig erkannt und der Ausnahmeregel zugeordnet werden kann. Mit der Umstellung auf "Instanzen" haben die alten Anleitung leider etwas an Gültigkeit verloren.
So geht es auch mit Version 24+
- Unter
Firewall -> Alias
einen Alias vom TypNetwork
für den Admin erstellen, z.B.192.168.100.10/24
- Dann direkt auch einen weiteren Alias vom Typ
Network Group
für eine Admingruppe erstellen. Dieser Gruppe dann auch den oder die Admin Benutzer zuordnen - Unter
Firewall -> VPN -> OpenVPN -> Client Specifiv Overrides
einen neuen Eintrag erstellenCommone Name
= BenutzernameIPv4 Tunnel Network
= IP-Adresse/24 ( wie in dem Alias von oben)
- Dann noch unter
Firewall -> Rules -> OpenVPN
eine neue Regeln für diese Admingruppe erstellen (auf die Reihenfolge achten!)- Action = Pass
- Iinterface = OpenVPN
- Protocol = any
- Source = VPNAdministratoren
- Destination = any
- Description = Administratoren dürfen alles
- Der komplette Regelsatz bedeutet:
- Alle dürfen über das VPN die Firewall "anpingen"
- Alle dürfen über das VPN den DNS der Firewall nutzen
- Alle dürfen sich über das VPN die Zeit bei der Firewall abholen
- Administratoren dürfen alles im LAN Netzwerk
- Benutzer dürfen per RDP ins LAN Netzwerk
- Benutzer dürfen ins Internet, aber nicht ins LAN Netzwerk
- Deaktivierte Debug Regel die alles aufmacht
- Unter
Firewall -> VPN -> OpenVPN -> Connection Status
kann das Ergebnis überprüft werden