Author Topic: VPN. Конкретному клиенту (сертификату) отдельный конфиг  (Read 629 times)

se4ga

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Добрый день!

Поднят Zentyal 5.0 с VPN-сервером. Все работает стабильно и отлично.

Появилась задача выдачи сертификата клиента с доступом не во всю сеть предприятия, а только на конкретную машину с конкретным IP. Подскажите, как это осуществить?

Знаю про /usr/share/zentyal/stubs/openvpn/openvpn.conf.mas, где можно указать директорию с конфигами на конкретный сертификат пользователя. Подскажите, какой формат записи в этот файл для этого нужно сделать для этого? а также что прописать затем в самом конфигурационном файле?

Заранее благодарю!

С уважением,
Сергей

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
VPN используем, но конкретно таких задач не стояло. Сейчас посмотрел что на роутере, там в закладке настройки сервера VPN (где скачивается комплект для клиента) можно создавать несколько независимых настроек в которых можно будет указать создаваемую подсеть. Пусть эта подсеть будет не такая как в основном конфиге и тогда нет проблем завернуть её в настройках файервола на конкретный адрес.

Тоесть это не тот случай. Не надо руками ничего править - настраивается через морду.

se4ga

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
VPN используем, но конкретно таких задач не стояло. Сейчас посмотрел что на роутере, там в закладке настройки сервера VPN (где скачивается комплект для клиента) можно создавать несколько независимых настроек в которых можно будет указать создаваемую подсеть. Пусть эта подсеть будет не такая как в основном конфиге и тогда нет проблем завернуть её в настройках файервола на конкретный адрес.

Тоесть это не тот случай. Не надо руками ничего править - настраивается через морду.

Благодарю, что откликнулись!

Вы имеете в виду "Объявленные сети"? "Указать создаваемую подсеть" - но мне не надо создавать подсеть. VPN-сеть и так отлична от сети предприятия. И конкретному клиенту VPN-сети надо попасть лишь на конкретный АРМ (подключиться по ssh).



luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Да, там. Другие клиенты будут работать в одной подсети с определёнными правилами, а этот клиент будет подключаться но попадать в отдельную подсеть из которой уже возможно заворачивать куда-то. Такое себе исключение - исключительный VPN. Ну нельзя же ведь одновременно и разрешить и запретить! Если у вас основной VPN специально изолирован то значит правильно что сервер не пускает, не? Чтобы пустило нужна отдельная сеть и отдельные условия доступа. Или я что-то не понял.

se4ga

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Да, там. Другие клиенты будут работать в одной подсети с определёнными правилами, а этот клиент будет подключаться но попадать в отдельную подсеть из которой уже возможно заворачивать куда-то. Такое себе исключение - исключительный VPN. Ну нельзя же ведь одновременно и разрешить и запретить! Если у вас основной VPN специально изолирован то значит правильно что сервер не пускает, не? Чтобы пустило нужна отдельная сеть и отдельные условия доступа. Или я что-то не понял.

Возможно, я недостаточно ясно выразил свою мысль и не донес сути:
все клиенты VPN сидят в своей VPN-сети, видят все сервисы, всю сеть компании, но одному из них необходимо ограничить доступ в сеть конторы(чтобы он мог обращаться только по одному IP в этой сети, а не ко всем сервисам)
Я поэтому и спросил изначально про конфиги для конкретного клиента (конфигурационные файлы (где пишем маршруты, статику и т.д) на сервере имеют имя идентичное имени выданного сертификата, и в момент подключения клиент тянет эти настройки и применяет), потому что, как Вы заметили, нельзя одновременно запретить и разрешить=)

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Единственное повторюсь что я на практике не делал нескольких настроек VPN, но думаю что предложенный мной метод это именно то что вам нужно. Сделать реально просто из вебморды. Могу помочь в случае если не понятно как и где настраивать.

У вас есть настроеный сервер VPN (там где вы делали скрин) с которого все имеют доступ к вашей сети. Теперь добавьте ещё одну похожую настройку, но чтобы подсеть там была другая и сгенерируйте для того клиента комплект из этих настроек. Он когда подключится автоматом будет работать в той самой новой подсети. Дальше дело техники - все порты с той подсети направляем на нужный адрес IP, это делается в настройках Firewall > Port Forwarding.

se4ga

  • Zen Apprentice
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Единственное повторюсь что я на практике не делал нескольких настроек VPN, но думаю что предложенный мной метод это именно то что вам нужно. Сделать реально просто из вебморды. Могу помочь в случае если не понятно как и где настраивать.

У вас есть настроеный сервер VPN (там где вы делали скрин) с которого все имеют доступ к вашей сети. Теперь добавьте ещё одну похожую настройку, но чтобы подсеть там была другая и сгенерируйте для того клиента комплект из этих настроек. Он когда подключится автоматом будет работать в той самой новой подсети. Дальше дело техники - все порты с той подсети направляем на нужный адрес IP, это делается в настройках Firewall > Port Forwarding.

Спасибо большое! Я понял Вашу идею: это, по сути, добавление VPN-сервера с новой VPN-сетью. А объявленные сети для нее иные сделать. Согласен, это вариант решения проблемы.

luha

  • Zen Samurai
  • ****
  • Posts: 424
  • Karma: +28/-1
    • View Profile
Ну да.

Есть ещё такое - в настройках Firewall > Packet Filter > Internal networks можно одну подсеть изолировать (или частично разрешить) от другой. Не только обслуживаемые подсети VPN но вообще любые обслуживаемые роутером. В вашем случае это излишнее, но так... на всякий случай.

Как-то понадобилось временно подключить соседнюю фирму через нашу сеть к интернету так, чтобы интернетом они могли пользоваться, но в нашу сеть хода не было. Создал новую подсеть и запретил любой обмен пакетами между нею и подсетью фирмы.



Ещё есть такое что можно определять через какие внешние IP выходят разные ресурсы фирмы. Делается в настройках в настройках Firewall > Packet Filter > SNAT

Это просто необходимая настройка в случае наличия нескольких почтовых серверов т.к. у каждого должен быть свой IP с правильным PTR, но и для большего порядка сервера у меня выходят через IP серверов, пользователи через IP для пользователей, почтовики как уже писал каждый на своём, клиенты VPN у меня тоже выходят отдельно и т.д.. Бывают инциденты, IP засветится из-за вирусов, действий клиентов или ещё чего и в этом случае ущерб локализуется на конкретной группе или сервере не затрагивая остальных. Плюс проще понять откуда что пошло.

Ах, совсем забыл. У зенчала то что расположено выше срабатывает первым, потом дальше по списку вниз. Если правило сработало, дальше не проверяет. Обязательно учитывайте при настройке и правильно укладывайте логику срабатывания! На моём скрине видно что всё разрешено, но выше есть запрет, который приоритентее, но затрагивает только описанную третью подсеть.
« Last Edit: December 13, 2017, 09:52:06 am by luha »