Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

openvpn to lan con limitazioni

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Ven Feb 01, 2013 4:55 pm    Oggetto: openvpn to lan con limitazioni Rispondi citando

Salve a tutti,
ho creato un gruppo di utenti che devono collegarsi tramite openvpn ad una sede principale dove c'è un server Zeroshell.
Vorrei abilitare l'accesso da remoto in VPN solo a determinati gruppi di utenti, sapreste dirmi se è possibile e come dovrei operare per realizzarlo?

GRAZIE

Andrea
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 777

MessaggioInviato: Ven Feb 01, 2013 6:53 pm    Oggetto: Rispondi citando

Per uno scopo simile, utilizzo un metodo ( su consiglio del buon NdK Wink ) che potrebbe esserti utile , aggiungendo inoltre un ulteriore controllo sull'accesso alle risorse da parte dei clients. Prima, crei in /Database/etc la directory ccd (client configuration directory)
Codice:
mkdir /Database/etc/ccd
Poi , crei un file di configurazione per ogni client, esempio per admin al quale , verrà assegnato (in vpn) l'indirizzo ip 192.168.250.1 ( con l'indirizzamento di default della vpn H2L) ,
Codice:
vi /Database/etc/ccd/admin

ifconfig-push 192.168.250.1 255.255.255.0
ctrl+c, :, x, invio (salvi il file ed esci). In Zs , menu' NETWORK>> VPN>>Host-to-LAN (OpenVPN) >>Command Line Parameters , inserisci
Codice:
--client-config-dir /Database/etc/ccd
Magari , cambia il pool dhcp relativo alla vpn , al posto che dal .1 fai partire gli ip da .20 ( è solo un esempio). Per l'utente pippo , stessa cosa, ma lui avrà l'ip .2
Codice:
vi /Database/etc/ccd/pippo

ifconfig-push 192.168.250.2 255.255.255.0
salvi ed esci. Se nelle direttive vpn aggiungi anche --ccd-exclusive , in pratica
Codice:
--client-config-dir /Database/etc/ccd --ccd-exclusive
solo i clients per i quali è stato definito un file di configurazione , potranno accedere in vpn. Se utilizzi anche i certificati (consigliato !!), potresti aggiungere anche --crl-verify /etc/ssl/crl.pem, quindi
Codice:
--client-config-dir /Database/etc/ccd --ccd-exclusive --crl-verify /etc/ssl/crl.pem
viene effettuato un controllo di validità sul certificato del client , in caso fosse stato revocato, sarebbe vietata la connessione.
Una volta che sai che un determinato ip corrisponde ad un determinato utente , tramite firewall puoi "giocare" con regole specifiche ip based , input interface VPN99 , output int. , source ip , dest.ip ,action....bla bla bla...
ciao
Top
Profilo Invia messaggio privato
charneval



Registrato: 03/04/10 16:30
Messaggi: 125
Residenza: perugia

MessaggioInviato: Sab Feb 02, 2013 8:42 am    Oggetto: Rispondi citando

Grazie REDFIVE, è perfetta la tua soluzione.
Ti scrivo la mia configurazione di rete e ti chiedo se posso realizzarla o se pensi debba apportare modifiche.

IP Router 192.168.20.1 (ip non modificable) linea dati McLink

IP router 192.168.6.1 ( ip router telecom) gestibile da me.

Ho inserito Zeroshell in questa configurazione :

eth00 collegata alla rete interna - eth03 (ip bridge 192.168.20.7) collegata al router (con ip 192.168.20.1).

eth02 ip 192.168.6.2 collegata al router telecom.

Volevo chiederti se con questa configurazione posso fare il load balancing e posso creare delle regole per gestire il traffico in uscita dei client.
In pratica vorrei reindirizzare la porta 80 verso il router telecom, per far navigare i client solo con questa linea e se una delle due linee smette di funzionare sfruttare il load balancing.

Scusami ho dimenticato di scriverti che i client sono configurati con ip 192.168.20.1 come default gateway e gestiti da un server microsoft visto che stanno in un dominio.


Secondo te è fattibile?

Ciao e Grazie.

Andrea
_________________
ADALAB Officina Informatica Perugia
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it