Ciao e rieccomi nuovamente a voi,
ormai in azienda è già passato un anno da quando ho messo in piedi il firewall PFSense, oggi è giunto il momento di impostare delle restrizioni d’accesso alle aziende con cui abbiamo contratti di assistenza verso una macchina specifica, questo eviterà di far girare per la nostra rete utenti occasionali.
Un pò di tempo fa ho scritto un articolo su come attivare e configurare il servizio OpenVPN su pfsense (vedi qui).
Qui descrivero come apportare queste restrizioni d’accesso alla vpn, iniziamo.
Il primo passo da fare è quello di assegnare un IP statico all’utente VPN. Accediamo al firewall PFSense e clicchiamo sul menu VPN e di seguito OpenVPN, come da Figura
Spostiamoci ora sulla voce client specific override come mostrato qui sotto
clicchiamo su add selezionate il contenuto del server list sulla qual volete attivare la restrizione.
Inserire ora il common name, si tratta della user dell’utente creato per accedere alla vpn
Scendere ora in fondo alla pagine e andare su advanced e inserite ifconfig-push 10.0.0.12 255.255.255.0; (dove 10.0.0.12 è l’ip che si vuole assegnare all’utente) (10.0.0.0 in questo caso è l’ IPv4 Tunnel Network che avete messo nella configurazione del serve vpn , quindi se avete scelto una classe differente cambiate il paramentro) .
In questo modo all’utente appena configurato verrà attribuito sempre l’IP statico che gli avete assegnato. Fatto questo riavviamo il servizio di openvpn, per farlo andiamo su status e poi service come mostrato qui sotto.
Il secondo passo da fare è quello di creare una regola che permetta all’utente di accedere solo ad una o più macchine specifiche.
Andiamo sul menu Firewall, rules, openvpn. Creiamo una regola, questa va inserita in cima alla lista, (vedi Figura).
Creaimo la regola:
- action = pass
- interface = openvp
- protocol = any
- source single host or alias = 10.0.0.12 (nel mio caso)
- destination single host or alias = ip della vs rete interna dove volete
- mandare l’utente vpn (es. 10.100.1.100 )
Salvare la regola.
Ultimo passaggio,
se per tutti gli altri utenti volete lasciare una accesso libero a tutti gli ip modificate la regola generata dal wizard di openvpn (quella che trovate attiva sotto rules openvpn)
create un alias dove mettete tutti gli ip openvpn tranne quello usato in precedenza se per esempio avete dato un massimo di 5 connessioni consentite vpn gli ip da mettere nell’alias saranno :
10.0.0.13, 10.0.0.14, 10.0.0.15, 10.0.0.16, 10.0.0.17
ora come detto sopra modificate la regola generta dal wizard mettendo in source l’alias appena creato. Oppure se l’unico ad accedere a tutto siete voi come amministratore, in source potete lasciare any
questa regola deve stare per ultima nella lista.
Se invece volete che ogni utente abbia accesso ad una sola macchina ripete il primo e il secondo passaggio.
Bene abbiamo finito, spero di esservi stato d’aiuto
Un saluto
Adam