Guide

pfSense e OpenVPN: come assegnare un IP fisso su client remoto.

Cosa vedremo in questa guida:

La presente guida illustra come assegnare un IP fisso (utilizzabile poi nelle regole del firewall) ad un client che si collega in VPN, in particolare OpenVPN, con un ben determinato utente.

Questo mi permetterà di creare delle regole di accesso ad un utente che si collega in VPN sul firewall.

Ambiente hardware e software utilizzato

Abbiamo effettuato le prove in laboratorio con il sistema pfSense.
Gli hardware selezionati per le prove sono:

Firewall Datacenter testati:
Per il Firewall VPN abbiamo scelto questo device: A1 Server

Il software utilizzato sull’appliance è pfSense® versione 2.4.X.

Introduzione

Si presuppone che sia già stata creato un server OpenVPN ed esistano uno o più utenti configurati correttamente.
Per una guida su come creare una VPN (OpenVPN) su pfSense seguire la seguente guida: https://www.firewallhardware.it/pfsense-e-openvpn-guida-alla-creazione-e-configurazione-di-un-server-vpn-road-warrior/

Per chi volesse abbiamo pubblicato anche un video che illustra i passaggi che abbiamo eseguito sotto:

Configuriamo il Client Specific Overrides in OpenVPN:

Per prima cosa identifichiamo un indirizzo IP che dovrà appartenere alla rete della VPN che non possa essere assegnato ad altri utenti. Nel nostro esempio sappiamo che potranno collegarsi un massimo di 10 utenti; la rete assegnata è 10.10.94.0/24 e quindi abbiamo scelto l’IP 10.10.94.30

Successivamente identifichiamo con precisione l’utente a cui voigliamo assegnare l’IP appena scelto, verificando da SystemUser ManagerUsers

OpenVPN ip fisso

Nel nostro esempio: user1

A questo punto Ci posizioniamo sotto
VPNOPENVPNClient Specific Overrides
E aggiungiamo una voce.

OpenVPN ip fisso

Selezioniamo il server openvpn desiderato; nel nostro caso ne abbiamo uno solo.
Quindi scriviamo nel campo “Common Name” il nome esatto dell’utente; nel nostro esempio: user1

OpenVPN ip fisso

Quindi andiamo al fondo della pagina e inseriamo in advanced settings: ifconfig-push 10.10.94.30 255.255.255.0

OpenVPN ip fisso

Anche se qui non lo descriviamo, volendo possiamo assegnare l’ip DI una rete completamente diversa, operando nella sezione Tunnel settings.
A questo punto salviamo. Da ora in poi quando l’utente: user1 si colleghera’ alla VPN di OPENVPN, gli verrà sempre assegnato l’IP 10.10.94.30

Come utilizziamo questa configurazione nelle regole

Una volta che sappiamo che l’utente user1 si collegherà con l’ip 10.10.94.30, possimao usare questa informazione per creare le nostre regole

Andiamo sotto FirewallRulesOpenVPN

Qui possiamo creare le nostre regole sul traffico in ingresso all’interfaccia OpenVPN.
Mettendo nel campo Source l’IP 10.10.94.30 possiamo decide verso quali IP puo’ accedere il nostro utente VPN e su quali porte/servizi. Di fatto sono esattamente delle regole come se l’interfaccia OpenVPN fosse una interfaccia fisica e l’utente user1 stesse utilizzando un PC con IP fisso.

OpenVPN ip fisso

Le regole qui sopra permettono unicamente all’indirizzo 10.10.94.10, di accedere al IP 192.168.201.10 (in questo esempio un IP della rete LAN) su qualunque porta.

Il rimanente traffico sarà bloccato!

Nel nostro esempio l’ultima regola di deny in realta’ non serve, l’abbiamo messa solo per esplicitare il deny che di fatto è come si comporta il firewall se nessuna regola viene applicata.

  ti posso interessare anche