Openvpn Pfsense vraagjes - Netwerken

Vraag

donderdag 7 mei 2020 14:30

Acties:

0 Henk 'm!

Topicstarter

Ik wil via pfsense een openvpn verbinding op zetten. Nu wil daar met meerdere gebruikers gebruik van maken. Ik wil iedere gebruiker een eigen inlognaam geven + wachtwoord. Nu is mijn vraag kan ik dan ook beter voor iedere gebruiker apart certificaat maken of kan ik iedereen beter op het zelfde gebruikers certificaat zetten?

Ik heb de settopbox van mijn oma ook met mijn VPN Verbonden, zodat ik haar op afstand kan helpen als ze op een verkeerde knop heeft gedrukt. Nu is het volgende probleem dat als ik het apparaat herstart hij terug komt met een ander ip-adres. wat moet ik instellen dat hij terug komt met het zelfde ip-adres. Het lijkt er op dat hij het ip-adres te lang vast houd.hij houd het eerste gekregen ip-adres te lang vast. Hij krijgt bij voorbeeld 192.168.20.2 en als ik hem dan herstart komt hij met 192.168.20.3 terug. als de box herstart is zei ik nog iets van 1 minute dat ip-adres 192.168.20.2 nog in gebruik is. Wat kan ik doen als een apparaat er niet meer is om er voor te zorgen dat hij het ip-adres sneller vrij geeft?

Ik heb Pfsense 2.4.5

Alle reacties

donderdag 7 mei 2020 14:36

Acties:

0 Henk 'm!

Thralas

Apart certificaat is hoe het eigenlijk hoort, anders moet je duplicate-cn aanzetten.

Zelfde IP uitdelen regel je met ifconfig-pool-persist.

donderdag 7 mei 2020 15:01

Acties:

0 Henk 'm!

Punkbuster

Ben zelf overgestapt op wireguard, is zeer easy te configuren en meer snelheid.
Daarmee zet je hard een IP per peer(client).

automation fanboy

donderdag 7 mei 2020 18:11

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Thralas schreef op donderdag 7 mei 2020 @ 14:36:
Apart certificaat is hoe het eigenlijk hoort, anders moet je duplicate-cn aanzetten.

Zelfde IP uitdelen regel je met ifconfig-pool-persist.

Kan ik het dan met 1 server certificaat doen en voor al gebruikers een eigen certificaat maken?

ifconfig-pool-persist moet ik dit in de config file van de openvpn zetten of instellen in pfsense?

donderdag 7 mei 2020 18:24

Acties:

0 Henk 'm!

Thralas

Egbert Jan schreef op donderdag 7 mei 2020 @ 18:11:
[...]
Kan ik het dan met 1 server certificaat doen en voor al gebruikers een eigen certificaat maken?

Juist.

ifconfig-pool-persist moet ik dit in de config file van de openvpn zetten of instellen in pfsense?

Aan de serverkant. Zie de handleiding:

–ifconfig-pool-persist file [seconds]
Persist/unpersist ifconfig-pool data to file, at seconds intervals (default=600), as well as on program startup and shutdown.The goal of this option is to provide a long-term association between clients (denoted by their common name) and the virtual IP address assigned to them from the ifconfig-pool. Maintaining a long-term association is good for clients because it allows them to effectively use the –persist-tun option.

Overigens blijkt daar ook uit dat het zeker handig is om aparte certificaten (en daardoor: aparte common names) te gebruiken voor clients, de IP-pool mapping werkt op basis van common name

donderdag 7 mei 2020 21:03

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Ik heb nu twee user certificaten gemaakt en wil nu de server certificaat gaan maken. ik moet bij het maken van de server certificaat kiezen welke user certificaat ik er aan wil hangen kan ze niet beide kiezen. bij de instelling Certificate Authority zie mijn plaatje hier onder.

Afbeeldingslocatie: https://tweakers.net/i/ZuUQbsil7jrBa_ujEvKWnQKZBYg=/800x/filters:strip_exif()/f/image/Zo0Djsp6l8bJwzwevuEpQ3yM.png?f=fotoalbum_large

De volgende vraag die ik nog heb is wat kan ik het beste bij Common name in vullen voor het server certificaat? Ik heb hier bij de user certificaten de naam van het apparaat ingevuld waar het op komt te staan.

donderdag 7 mei 2020 21:32

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

of moet ik voor iedere gebruiker waar ik een Certificate authority heb gemaakt ook een server certificaat maken.

donderdag 7 mei 2020 22:04

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Ik heb volgens mij dingen door elkaar gehaald. een gebruikers certificaat maak je aan bij de pagina system user manager

donderdag 7 mei 2020 22:07

Acties:

0 Henk 'm!

Groentjuh

Egbert Jan schreef op donderdag 7 mei 2020 @ 21:03:
De volgende vraag die ik nog heb is wat kan ik het beste bij Common name in vullen voor het server certificaat? Ik heb hier bij de user certificaten de naam van het apparaat ingevuld waar het op komt te staan.

URL van de vpn server.

Egbert Jan schreef op donderdag 7 mei 2020 @ 21:32:
of moet ik voor iedere gebruiker waar ik een Certificate authority heb gemaakt ook een server certificaat maken.

[ Voor 9% gewijzigd door Groentjuh op 07-05-2020 22:09 ]

donderdag 7 mei 2020 22:10

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

[quote]Groentjuh schreef op donderdag 7 mei 2020 @ 22:07:
[...]

URL van de vpn server.

Is dat dan het interne ip adres van mijn PFsense of het ipadres wat ik van mijn internet provider heb gekregen?

donderdag 7 mei 2020 22:15

Acties:

0 Henk 'm!

Groentjuh

Egbert Jan schreef op donderdag 7 mei 2020 @ 22:10:
Is dat dan het interne ip adres van mijn PFsense of het ipadres wat ik van mijn internet provider heb gekregen?

In neem aan dat je wel een ddns dienst aansluit, zodat je vpn.eigen.domein of vpn.domeinvanddns.provider kunt gebruiken om je vpn te bereiken. Ik denk dat dat makkelijker dan met mogelijke dynamische IPs te gaan werken. In principe maakt common name in dit geval toch niet uit. Hij is toch self-signed, dus alleen te vertrouwen met de juiste config in de .ovpn bestanden!

donderdag 7 mei 2020 22:17

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Groentjuh schreef op donderdag 7 mei 2020 @ 22:15:
[...]

In neem aan dat je wel een ddns dienst aansluit, zodat je vpn.eigen.domein of vpn.domeinvanddns.provider kunt gebruiken om je vpn te bereiken. Ik denk dat dat makkelijker dan met mogelijke dynamische IPs te gaan werken. In principe maakt common name in dit geval toch niet uit. Hij is toch self-signed, dus alleen de vertrouwen met de juiste config in de .ovpn bestanden!

Ik heb een Statisch ip adres van mijn internet provider. Dan kan ik toch wel gewoon mijn ip adres van mijn internet provider invullen?

donderdag 7 mei 2020 22:21

Acties:

0 Henk 'm!

Groentjuh

Egbert Jan schreef op donderdag 7 mei 2020 @ 22:17:
[...]

Ik heb een Statisch ip adres van mijn internet provider. Dan kan ik toch wel gewoon mijn ip adres van mijn internet provider invullen?

Lees de laatste 2 zinnen van mijn vorige post.

donderdag 7 mei 2020 22:23

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Groentjuh schreef op donderdag 7 mei 2020 @ 22:21:
[...]

Lees de laatste 2 zinnen van mijn vorige post.

bedankt voor je antwoord ik snap het al.

donderdag 7 mei 2020 22:34

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Overigens blijkt daar ook uit dat het zeker handig is om aparte certificaten (en daardoor: aparte common names) te gebruiken voor clients, de IP-pool mapping werkt op basis van common name
[/quote]

Ik snap niet hoe ik voor iedere gebruiker een aparte comman name kan instellen.kan iemand mij uitleggen hoe dit moet. Ik kan die alleen doen voor het server certificaat.

donderdag 7 mei 2020 22:39

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

Nee, deze server heeft één certificaat (zodat de vpn client kan bepalen of hij bij de juiste server is aangekomen) en clients hebben één client certificaat (zodat de vpn server kan bepalen of hij die client wel vertrouwd).
[/quote]

dus als ik het goed begrijp heeft iedere client 1 certificaat, maar iedere client heeft wel een andere certificaat

donderdag 7 mei 2020 23:16

Acties:

0 Henk 'm!

Thralas

Egbert Jan schreef op donderdag 7 mei 2020 @ 22:39:
dus als ik het goed begrijp heeft iedere client 1 certificaat, maar iedere client heeft wel een andere certificaat

Iedere client heeft 2 certificaten: de CA (die wordt gebruikt om alle certificaten te valideren) en z'n eigen certificaat inclusief sleutel.

Dus, wat je op 22:04 al op het spoor was: 1 CA, 1 certificaat voor je server, en daarna een apart 'user' certificaat voor iedere gebruiker. Client hoeft het servercertificaat niet te hebben, want die stuurt de server gewoon op en kan de client valideren adhv. de CA (die hij wel heeft). Ik vermoed dat pfSense wel een knopje heeft om OpenVPN configs voor een gebruiker te downloaden waar de juiste certificaten (ca, client cert, client key) al in zitten.

Common name voor je servercertificaat maakt niets uit. Bij HTTPS is het wenselijk dat dit een geldige domeinnaam is, bij OpenVPN maakt het niet uit wat je invult.

[ Voor 18% gewijzigd door Thralas op 07-05-2020 23:19 ]

vrijdag 8 mei 2020 11:23

Acties:

0 Henk 'm!

fotowilco

Niet geschoten is altijd mis!

je kan een addon installeren vpn client export. en dan kun je in openvpn scherm client export per user doen van de verschillende configs ios/android windows

vrijdag 8 mei 2020 23:55

Acties:

0 Henk 'm!

Egbert Jan

Topicstarter

fotowilco schreef op vrijdag 8 mei 2020 @ 11:23:
je kan een addon installeren vpn client export. en dan kun je in openvpn scherm client export per user doen van de verschillende configs ios/android windows

Bedankt hier voor. Ik heb dit geïnstalleerd en het werkt nu super met mijn vpn. Mijn snelheid zit tussen de 40mbit en 50mbit.

welk encryptie algoritme kan ik hier het beste kiezen voor de beste snelheid.

Afbeeldingslocatie: https://tweakers.net/i/EGTPyTm5Q6hiirsPKPKw_igtkK8=/800x/filters:strip_exif()/f/image/7r9zQHyGUlZUkwvpgGAQRxZi.png?f=fotoalbum_large

Wordt de snelheid bepaalt door de processor een i7-980X Processor Extreme Edition die in mijn pfsense machine zit of bepaalt de snelheid van de client hoe snel de openvpn werkt?

Ik heb bij mijn oma ook het volgende probleem als ik daar met een Windows 10 machine bedraad aangesloten zit op haar ziggo connect box en wil dat al het verkeer geforceerd door de tunnel gaat dan werkt dat niet. Ik krijg dan dat alleen de verbinding met mijn eigen apparaten in mijn eigen netwerk thuis door de tunnel, maar het internet verkeer niet. Doe ik dit met de zelfde laptop en het zelfde config file op de wifi gaat alles wel door de tunnel. Met haar vorige Cisco modem werkt die wel goed. Alle andere apparaten waar ik bedraad mee verbind met de zelfde laptop werkt dit wel goed. Is er iets met de ziggo connect box aan de hand waarom hij mijn internet verkeer niet door de tunnel wil gooien.

Dit probleem zie mijn plaatje heb ik ook zie het plaatje als ik de setopbox van mijn oma herstart is een xtrend et 8000 met openli 7.2 en daar een openvpn client ver 2.4.7 op. na een paar minuten na de herstart zijn de undef meldingen weer weg. wat kan die meldingen veroorzaken?

Afbeeldingslocatie: https://tweakers.net/i/QhGEpjvZptmauQj_ExCUC91ggnQ=/800x/filters:strip_exif()/f/image/4XT4mBVTyPY91O5K1hnyx8Yw.png?f=fotoalbum_large

.

Als ik mijn telefoon herstart met een openvpn verbinding aan heb ik dit probleem niet .

Wie weet wat ik kan doen om deze laatste problemen op te lossen

Pagina: 1

Reageer