pfSense: OpenVPN – Für unterschiedliche Benutzer unterschiedliche Routen setzen

Während man für alle OpenVPN-Benutzer die Route(n) in der Server-Konfiguration im Feld „IPv4 Local Networks“ einträgt kann man mit Hilfe der „Client Specific Overrides“ für bestimmte Benutzer weitere oder andere Routen setzen.

Ein Szenario kann sein, das Anwender ins LAN dürfen und Administratoren zusätzlich noch ins Management-Netzwerk. Selbstverständlich lässt sich das zusätzlich noch mit den Firewall-Regeln steuern und das sollte auch so sein, dennoch muss nicht jeder OpenVPN-Client jede Route kennen.

Leider ist die Angelegenheit nicht ganz so trivial wie man evtl. zunächst annehmen möchte, denn trägt man nun einfach in den „Client Specific Overrides“ andere oder weitere lokale Netze ein, so wird dies zunächst nicht angenommen. Es spielt dabei keine Rolle, ob man das Feld „IPv4 Local Networks“ oder im Feld „Advanced“ „push „route <Netz> <Subnetz>““ verwendet.

Relevant ist, nach einer Änderung den OpenVPN-Dienst neu zu starten!

Die globale Route(n) ersetzen

Möchte man die Route(n) die Global vom OpenVPN-Server gesetzt werden ersetzen, so ist die Sache eine Andere. Denn für diesen Zweck muss die Client-Konfiguration angepasst werden. In der *.ovpn-Datei folgende Zeilen ergänzen:

route <Netz> <Subnetz>
route-metric 25
route-nopull

Mittels „route-nopull“ bekommt der Client keine Routen mehr vom Server „gepusht“, daher muss lokal die Route(n) gesetzt werden.

Quelle:

OpenVPN – FAQ – Overriding a pushed “route” in the client’s config throws an error

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.