UDM/Pro OpenVPN server (toegang per cliënt)

UniFi UDM/Pro Routers
PE1PQX

PE1PQX

Brons
UniFier
27 okt 2018
1.402
793
163
50
Land van Bartje
www.pe1pqx.eu
Ik ben aan het stoeien met OpenVPN server op mijn UDM-Pro
Nu heb ik voor één cliënt ("Client1" voor het gemak) de instellingen zoals ik die nu graag hebben wil.

Wat ik me afvraag is het volgende:
Kan ik voor een andere OpenVPN cliënt (noem ik voor het gemak "Cliënt2") de toegang anders indelen of niet?

Voorbeeld:
Client1 -> toegang tot NAS1, NAS2, NAS3, Printer.
Client2 -> Alleen toegang tot NAS1 en verder niets...

Voor de NAS zou je kunnen spelen met de firewall regels, maar de netwerk printer heeft die dus niet.
Weet iemand dit?? (of tijd voor een feature request?)
 
Ik lees op het UI forum wel eens dat er opgemerkt wordt dat VPN clients bij alle subnets kunnen van het LAN. En dat is zo, kun je gemakkelijk testen. Dus de custom LAN IN rules (bv block all Inter-VLAN traffic) die zijn dus niet van toepassing omdat een VPN technisch gezien blijkbaar geen LAN is.

De oplossing: Je zou hiervoor aparte LAN OUT regels moeten maken gebaseerd op het subnet van Wireguard, OpenVPN, Teleport. Nogmaals, dat lees ik, ik doe er zelf niks mee dus kan niet uit ervaring spreken maar dat lijkt me wel de oplossing bij jou. Ik moet het even opzoeken in het UI forum want het topic heeft ook mijn aandacht.

dus zo ongeveer:

LAN OUT
source: IP VPN Client2
destination: IP NAS1
allow

etc etc etc voor alles wat wel mag en dan de algemene block regel:

LAN OUT
source: IP subnet OpenVPN
destination: Alle VLAN`s
drop
 
Laatst bewerkt:
Hier is een voorbeeld van zo`n draadje op het UI forum; het schijnt te werken bij die topic starter. Het is wel zo dat je VPN clients vaste IP`s moeten hebben, zoals het geval is bij Wireguard. Anders kun je geen firewall regels per client maken. Ik weet even niet of OpenVPN dat ook heeft, ik gebruik zelf Wireguard.
 
Voor zover ik nagaan kan heeft OpenVPN geen voorziening om een fixed-IP uit te delen.

Wat me wel opvalt is dat er geen internet door die VPN komt als de verbinding opgezet is, kan alleen bij de toegestane apparaten.
De clients krijgen geen "default gateway IP"
 
Update: juiste Traffic Rules instellen wil nog wel eens helpen alsnog een internet connectie te hebben via OpenVPN. ("Note to self" dus...)
Alleen krijgen de VPN clients nog geen 'gateway IP' van de server.

En filteren op (fixed externe) IP is iets wat mij ook later te binnen schoot, is zeker een optie.
Eventueel (moet ik nog uitvlooien of dit kan) is filteren op DDNS ook nog een optie.
 
Is er een reden om aan OpenVPN vast te houden ? Wireguard zou moderner, veiliger en sneller zijn wordt beweerd. Je hebt ook geen Radius nodig. Maar voor jou, omdat je de toegang wilt dichttimmeren is de vaste IP toewijzing de mooiste oplossing denk ik, en dan zou ik zelf met de firewall werken ipv de traffic rules:


1706871409179.png
 
"word beweerd".... dit dus. Verder gebruik ik OpenVPN al een tijdje.
Verder gaat het mij niet om de snelheid, via 5G heb je toch nooit een 1gbps verbinding lijkt me.
Bij OpenVPN heb je ook geen Radius nodig, maar dit kun je wel instellen en gebruiken.
 
PE1PQX zei:
"word beweerd".... dit dus. Verder gebruik ik OpenVPN al een tijdje.
Verder gaat het mij niet om de snelheid, via 5G heb je toch nooit een 1gbps verbinding lijkt me.
Bij OpenVPN heb je ook geen Radius nodig, maar dit kun je wel instellen en gebruiken.
Klik om te vergroten...
Wat ik bedoel is dat de 'eventuele hypothetische verbetering die beweerd' wordt, een neveneffect is ;). Waar het om gaat is dat je altijd dezelfde vaste IP's hebt die aan je VPN clients worden toegewezen en die je dus kunt gebruiken om de zaak dicht te timmeren. Dat is volgens mij wat je zoekt. Verder werkt het principe achter beiden hetzelfde, dus ik zie geen enkel voor- of nadeel in het dagelijks gebruik.
 
Laatst bewerkt:
Ik gebruik VPN wel dagelijks, primair om al die reclame zooi drastisch te verminderen op mijn veeg-foon zonder "app nummer zoveel' te moeten installeren.
Bijkomstig kan ik dan eventueel bij mijn bestanden mocht ik dat nodig zijn, zo ook met mijn laptop als ik niet thuis ben.

Ik weet dat er ook alternatieven zijn, maar dit werkt voor mij gewoon het prettigst.
 
  • Leuk
Waarderingen: Eddie the Eagle
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..

Vergelijkbare onderwerpen

M
Unifi Site-to-Site OpenVPN
Reacties
0
Weergaven
228
Routers
melvink
M
GEi
UDM Pro als VPN Server - toegang tot lokaal netwerk
Reacties
14
Weergaven
1K
Routers
toby1knobi
toby1knobi
B
Kan Synology niet benaderen vanuit VLAN (UniFi)
Reacties
26
Weergaven
309
Routers
Eddie the Eagle
Eddie the Eagle
Toolhead
Guest netwerk en Pihole
Reacties
25
Weergaven
3K
Routers
Toolhead
Toolhead
L
Firewall hulp: vlan -> vlan niet mogelijk
Reacties
17
Weergaven
2K
Routers
gewoon in de kroeg
gewoon in de kroeg
Bovenaan Onderaan
Terug