PFSense restrizioni accesso OpenVPN

Ciao e rieccomi nuovamente a voi,

ormai in azienda è già passato un anno da quando ho messo in piedi il firewall PFSense, oggi è giunto il momento di impostare delle restrizioni d’accesso alle aziende con cui abbiamo contratti di assistenza verso una macchina specifica, questo eviterà di far girare per la nostra rete utenti occasionali.

Un pò di tempo fa ho scritto un articolo su come attivare e configurare il servizio OpenVPN su pfsense (vedi qui).

Qui descrivero come apportare queste restrizioni d’accesso alla vpn, iniziamo.

Il primo passo da fare è quello di assegnare un IP statico all’utente VPN. Accediamo al firewall PFSense e clicchiamo sul menu VPN e di seguito OpenVPN, come da Figura

Spostiamoci ora sulla voce client specific override come mostrato qui sotto

clicchiamo su add selezionate il contenuto del server list sulla qual volete attivare la restrizione.

Inserire ora il common name, si tratta della user dell’utente creato per accedere alla vpn

Scendere ora in fondo alla pagine e andare su advanced e inserite ifconfig-push 10.0.0.12 255.255.255.0; (dove 10.0.0.12 è l’ip che si vuole assegnare all’utente) (10.0.0.0 in questo caso è l’ IPv4 Tunnel Network che avete messo nella configurazione del serve vpn , quindi se avete scelto una classe differente cambiate il paramentro) .

In questo modo all’utente appena configurato verrà attribuito sempre l’IP statico che gli avete assegnato. Fatto questo riavviamo il servizio di openvpn, per farlo andiamo su status e poi service come mostrato qui sotto.

Il secondo passo da fare è quello di creare una regola che permetta all’utente di accedere solo ad una o più macchine specifiche.

Andiamo sul menu Firewall, rules, openvpn. Creiamo una regola, questa va inserita in cima alla lista, (vedi Figura).

Creaimo la regola:

  1. action = pass
  2. interface = openvp
  3. protocol = any
  4. source single host or alias = 10.0.0.12 (nel mio caso)
  5. destination  single host or alias = ip della vs rete interna dove volete
  6. mandare l’utente vpn (es. 10.100.1.100 )

Salvare la regola.

Ultimo passaggio,

se per tutti gli altri utenti volete lasciare una accesso libero a tutti gli ip modificate la regola generata dal wizard di openvpn (quella che trovate attiva sotto rules openvpn)

create un alias dove mettete tutti gli ip openvpn tranne quello usato in precedenza se per esempio avete dato un massimo di 5 connessioni consentite vpn gli ip da mettere nell’alias saranno :

10.0.0.13, 10.0.0.14, 10.0.0.15, 10.0.0.16, 10.0.0.17

Creare alis

ora come detto sopra modificate la regola generta dal wizard mettendo in source l’alias appena creato. Oppure se l’unico ad accedere a tutto siete voi come amministratore, in source potete lasciare any

questa regola deve stare per ultima nella lista.

Se invece volete che ogni utente abbia accesso ad una sola macchina ripete il primo e il secondo passaggio.

Bene abbiamo finito, spero di esservi stato d’aiuto

Un saluto

Adam


Pubblicato da appuntidiadam

Sistemista informatico, e grande appasionato di astronomia e fisica, ricercatore indipendente in cosmologia

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.