Назад | Перейти на главную страницу

Как запретить клиентам получать статические IP-адреса (установленные с помощью переопределения для конкретного клиента) в OpenVPN через PfSense?

У меня возникают проблемы с текущими настройками OpenVPN через PfSense. Ситуация следующая:

  1. Я создал сервер OpenVPN в сети 192.168.222.0/24;

  2. Созданы два клиентских сертификата C1 и C2.

  3. C1 имеет 192.168.222.2/24 в качестве статических IP-адресов на вкладке «Client Specific Overrides».

  4. C2 не имеет специальной конфигурации (поэтому его IP-адрес будет динамическим в соответствии с порядком подключения к серверу OpenVPN).

При подключении C2 к серверу OpenVPN, C2 получает IP 192.168.222.2.

После подключения C2, подключающего C1 к серверу OpenVPN, C1 получает IP 192.168.222.2 (его статический IP-адрес определен в разделе «Переопределения для клиента»). Упс!

Как я могу запретить серверу OpenVPN предоставлять статический IP-адрес C2 для C1?

Я попытался Ответ @Luca Gibelli, а после перезапуска сервера перестает работать. Просмотр журналов openvpn выдает следующую ошибку:

Oct 2 17:43:33  openvpn 36651   Use --help for more information.
Oct 2 17:43:33  openvpn 36651   Options error: --server already defines an ifconfig-pool, so you can't also specify --ifconfig-pool explicitly

Кроме того, я нашел обсуждение этого Вот но без решений.

Есть ли способ обойти эту ошибку?

Поскольку вы используете --server 192.168.222.0 255.255.255.0 директива, и предположительно --topology subnet вариант, у вас есть способ убедиться, что другой клиент не захватит этот IP-адрес. Добавьте параметр client-config-dir в файл конфигурации вашего сервера и укажите каталог, как показано ниже:

--client-config-dir /vpn/client-configs

затем в каталоге / vpn / client-configs создайте файл со статически назначенным IP:

/vpn/client-configs/clientname файл:

ifconfig-push 192.168.222.10 192.168.222.11

Дополнительная информация доступна на веб-сайте OpenVPN. Вот

Вы ищете ifconfig-pool вариант OpenVPN. Он позволяет указать диапазон IP для динамических IP-адресов для клиентов. Если вы хотите назначить динамические IP-адреса в диапазоне 192.168.222.10-254, используйте:

ifconfig-pool 192.168.222.10 192.168.222.254 255.255.255.0

Вы можете добавить эту опцию под Advanced configuration вкладка OpenVPN в pfSense.

Больше информации: https://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html

Возможно, вы неправильно используете общее имя сертификата пользователя X.509.

CN каждого сертификата пользователя должен быть уникальным, и по умолчанию pfSense добавляет username-as-common-name в конфиге сервера.

Итак, в поле Common Name на странице настроек Client Specific Override:

  • Если CN вашего клиентского сертификата пуст, используйте имя пользователя.
  • В противном случае используйте значение Common Name сертификата клиента, предпочтительно.

OpenVPN сервер

Режим устройства: tun
Strict User-CN Matching: проверено
Туннель: 192.168.222.0/24
Топология: подсеть

C1 - Индивидуальное переопределение клиента

Общее имя: имя пользователя или CN сертификата клиента
Дополнительно: ifconfig-push 192.168.222.240 255.255.255.0

C3 - Индивидуальное переопределение клиента

Общее имя: имя пользователя или CN сертификата клиента
Дополнительно: ifconfig-push 192.168.222.241 255.255.255.0

C2, без переопределения: должно получиться 192.168.222.2/24