Como evitar que os clientes obtenham IPs estáticos (definidos por substituições específicas do cliente) no OpenVPN via PfSense?

Navegue suas respostas
2

Estou tendo problemas com a configuração atual em um OpenVPN via PfSense. A situação é a seguinte:

  1. Eu criei um servidor OpenVPN na rede 192.168.222.0/24;

  2. Criado dois certificados de cliente, C1 e C2.

  3. C1 tem 192.168.222.2/24 como seus IPs estáticos através da guia "Client Specific Overrides".

  4. O C2 não possui uma configração especial (portanto, seu IP será dinâmico de acordo com sua ordem de conexão com o servidor OpenVPN).

Ao conectar o C2 ao servidor OpenVPN, o C2 obtém o IP 192.168.222.2.

Após a conexão do C2, conectando C1 ao servidor OpenVPN, C1 obtém o IP 192.168.222.2 (seu endereço IP estático definido em "Substituições Específicas do Cliente") OOPS!

Como posso evitar que o servidor OpenVPN indique o endereço IP estático do C2 para C1?

Eu tentei resposta do @Luca Gibelli e, depois de reiniciar o servidor, ele parou de funcionar. Olhando para os logs openvpn está jogando o seguinte erro: 

Oct 2 17:43:33  openvpn 36651   Use --help for more information.
Oct 2 17:43:33  openvpn 36651   Options error: --server already defines an ifconfig-pool, so you can't also specify --ifconfig-pool explicitly

Além disso, encontrei uma discussão sobre esse aqui mas sem soluções.

Alguma maneira de contornar esse erro?

    
por Tiago Stapenhorst Martins 02.05.2018 / 01:38

3 respostas

0

O que você está procurando é a opção ifconfig-pool do OpenVPN. Ele permite que você especifique o intervalo de IP de endereços IP dinâmicos para clientes. Se você quiser atribuir IPs dinâmicos no intervalo 192.168.222.10-254 use: 

ifconfig-pool 192.168.222.10 192.168.222.254 255.255.255.0

Você pode adicionar essa opção na guia Advanced configuration do OpenVPN no pfSense.

Mais informações: link

    
por 02.05.2018 / 03:40
0

Como você está usando a diretiva --server 192.168.222.0 255.255.255.0 e presumivelmente a opção --topology subnet , você tem uma maneira de garantir que outro cliente não capture esse endereço IP. Adicione a opção "client-config-dir" ao arquivo de configuração do seu servidor e especifique um diretório, como segue:

--client-config-dir /vpn/client-configs

depois, no diretório / vpn / client-configs, crie um arquivo com o IP atribuído estaticamente:

/vpn/client-configs/clientname file:

ifconfig-push 192.168.222.10 192.168.222.11

Há mais informações disponíveis no site da OpenVPN aqui

    
por 03.10.2018 / 03:05
0

É possível que você esteja usando indevidamente o nome comum X.509 do certificado de usuário.

O CN de cada certificado de usuário deve ser exclusivo e, por padrão, o pfSense adiciona username-as-common-name na configuração do servidor.

Portanto, no campo Nome comum dentro da página de configuração Substituição específica do cliente:

  • Se o seu certificado de cliente 'CN estiver vazio, use o nome de usuário.
  • Caso contrário, use o valor do Nome comum do certificado de cliente, de preferência.

Servidor OpenVPN

Modo de dispositivo: tun
Estrita correspondência de usuário-CN: verificado Túnel: 192.168.222.0/24
Topologia: sub-rede

C1 - Substituição específica do cliente

Nome comum: CN de nome de usuário ou certificado de cliente Avançado: ifconfig-push 192.168.222.240 255.255.255.0

C3 - Substituição específica do cliente

Nome comum: CN de nome de usuário ou certificado de cliente Avançado: ifconfig-push 192.168.222.241 255.255.255.0

C2, sem substituição: deve receber 192.168.222.2/24

    
por 07.09.2018 / 16:57

Tags

Backup do Windows Server e tamanho do estado do sistema Como dois RPMs podem ser provedores mutuamente exclusivos da mesma funcionalidade?