OpenVPN: több szerver + különböző elérések, szerepkörök, port hozzáférés korlátozás

Fórumok

Sziasztok!

Adott egy TUN / TCP alapú VPN, 10.8.0.0/24-es OpenVPN hozzáférés, ahol van pár gép, amit el kell érni, a lényeg:

10.8.0.22:
- HTTP/HTTPS
- SSH
- Samba
- IMAP/POP3

Szerepkörök, akik hozzáférnek:
- ADMIN: minden porthoz/szolgáltatáshoz
- FELHASZNÁLÓ: csak HTTP/HTTPS és Samba
- VENDÉG: csak HTTP/HTTPS

Az most működik, hogy mint ADMIN mindent elérek. Azt kellene a legésszerűbben megoldani, hogy ezt a másik 2 szerepkört korlátozni tudjam, hogy az adott IP címen ne tudjanak hozzáférni a szolgáltatásokhoz.

Amire gondoltam:

1. Lehetőség: Nem 1, hanem 3 OpenVPN szervert futtatni, különböző portokon.
Például: 1001 port = ADMIN, 1002 port = FELHASZNÁLÓ, 1003 port = VENDÉG

Majd beállítani a 10.8.0.22-es szervernek több IP címet, és az iptables-ben beállítani, hogy a különböző IP cím tartományokon át csak limitált portokat tud elérni. Tehát például az ADMIN maradna a 10.8.0.0/24, a FELHASZNÁLÓ lenne a 10.9.0.0/24, a VENDÉG lenne a 10.10.0.0/24.
Iptables-ben meg beállítani, hogy a 10.10.0.0 tartományban csak a 80 és a 443-as port legyen nyitva.
A 10.9.0.0 tartományban a Samba portjai és a HTTP portjai.

2. Lehetőség: ? :)

Másik fő kérdés, hogy melyik a legegyszerűbb módja, hogy különböző felhasználói csoportokat kezeljek OpenVPN alatt, mármint lehetőség van megadni, hogy melyik szerver (porton) melyik felhasználók férjenek hozzá?
ifconfig-pool-persist ipp.txt
Ezzel érdemes ezt megadni, vagy másik módon?

Az is szempont lenne, hogy ha van egy VPN kulcs, ami már létrejött, úgy lehessen később a csoportot változtatni, hogy nem kell új kulcsot generálni.
Tehát például a FELH123 eleinte VENDÉG volt, és át lehessen állítani, hogy ugyanaz a kulcs később a FELHASZNÁLÓ csoportban működjön, tehát hozzáférjen a Sambához is, ne csak a HTTP-hez.

Nyilván az nem működhet, hogy átírja a FELH123 a saját OpenVPN client.conf-ban a
remote 192.168.2.33 1003
címet
remote 192.168.2.33 1001
-re, és akkor onnantól adminként látja a Sambát és az SSH-t is.
Tehát valahogy konfiguráció szinten szeretném megadni, hogy ki melyikhez jogosult.

Továbbá ha több OpenVPN fut egyszerre, hogy nézzen ki a mappa struktúra?

/etc/openvpn/ -ben van most minden, itt van

easy-rsa
easy-rsa/keys(kulcsok helye)
clients (üres)
keys(üres)
servers (üres)

mappa.

Hogy érdemes, ha lenne még 2 porton futó szerver?
Generálok mindegyikhez külön ca/dh/server kulcsot, majd külön klienseket?
Úgy látom, hogy az /etc/init.d/openvpn elindítja a *.conf -ot az /etc/openvpn/ mappában.
Akkor ide rakjam a konfigokat? Itt tartok.

Köszönöm az észrevételeket.

Hozzászólások

Szia!
ccd+ fix ip a klienseknek
iptables -el pedig az ip alapján engeded amit elérhet!
Nekem ez teljesen rendben működött!