Seite 1 von 1

SSL-Roadwarrior: selektiv Benutzer einschränken!

Verfasst: Mi 15.05.2019, 13:17
von bellco
Hallo @ll,

ist es möglich einen einzelnen Roadwarrior-Nutzer (über feste IP) einzuschränken (auf einen bestimmten Rechner) ohne allen Benutzern eine feste IP geben zu müssen?

Meine Idee dazu 
Gegeben sei ein SSL-VPN (SSL-Roadwarrior 192.168.251.0/24).
Benutzer: 
User -> SSL-VPN IP-Adresse = 192.168.251.5 (Würden hier andere Benutzer aus dem SSL-Roadwarrior-Pool eine IP <> ...5 dynamisch erhalten?)
Netzwerkobjekte
SSL-Roadwarrior-User -> vpn-openvpn-SSL-Roadwarrior -> 192.168.251.5/32
SSL-Roadwarrior -> vpn-openvpn-SSL-Roadwarrior -> 192.168.251.0/24
TEST-PC -> internal -> 192.168.1.10/32
Portfilter (in dieser Reihenfolge)
SSL-Roadwarrior-User -> TEST-PC -> any -> ACCEPT (Der VPN-Benutzer User soll Zugriff auf den Test-PC erhalten)
SSL-Roadwarrior-User -> internal-networks -> any -> DROP (Der VPN-Benutzer User soll keinen Zugriff auf andere Netzwerkgeräte erhalten)
SSL-Roadwarrior -> internal-networks -> any -> ACCEPT (Alle VPN-Benutzer außer User sollen überall ins interne Netz gelangen)
Internal-networks -> SSL-Roadwarrior -> any -> ACCEPT (ist klar!)

Würde das so funktionieren? Ich habe leider im Moment keine Möglichkeit das durchzutesten!

Danke fürs Feedback

Re: SSL-Roadwarrior: selektiv Benutzer einschränken!

Verfasst: Mi 15.05.2019, 15:04
von David
Hallo bellco,
Sie können in der Userkonfiguration, in dem Reiter 'VPN', eine feste IP definieren, welche dem entsprechenden Benutzer zugeordnet wird.

Re: SSL-Roadwarrior: selektiv Benutzer einschränken!

Verfasst: Mi 15.05.2019, 15:37
von Svenja
Hallo bellco,

Ich habe sowas schon mal aufgebaut gehabt. Prinzipiell funktioniert das (IP Zuweisung über die Einstellung im Benutzer). 
Mit meiner getesteten Version (damals 11.7.1 oder so) werden die IP Adresse im DHCP nicht vorgehalten. Meldet sich ein User an, der keine IP hinterlegt hat, bekommt er die nächste freie IP. Ist diese aber einem anderen Benutzer zugeordnet, dann wird die IP trotzdem an den User ohne feste IP rausgegeben.

Die Portfilterregeln sehen so gut aus, wenn dich das mit dem DHCP-Problem nicht stört, dann sollte das funktionieren

Grüße
Svenja

Re: SSL-Roadwarrior: selektiv Benutzer einschränken!

Verfasst: Do 16.05.2019, 08:56
von Bjoern
Hallo bellco,

Svenja hat hier recht. Sie können jedoch den Client die .253 zuweisen. Es wird wohl sehr unwahrscheinlich sein das dieser so per DHCP vergeben wird. Die .254 ist nicht möglich da hier der DHCP Server läuft.

Gruß Björn

Re: SSL-Roadwarrior: selektiv Benutzer einschränken!

Verfasst: Fr 28.06.2019, 09:54
von bellco
Hallo Zusammen!
Sorry für die späte Rückmeldung und Danke für das Feedback! Hat wunderbar funktioniert!

Vielen Dank!
bellco

P.S.: Updatewunsch: Adressreservierung oder die Möglichkeit den DHCP-Scope für den SSL Roadwarrior einzuschränken!

Re: SSL-Roadwarrior: selektiv Benutzer einschränken!

Verfasst: Fr 28.06.2019, 11:06
von David