Zuweisung fixer IP für unterschiedliche VPN-User

Es gibt 26 Antworten in diesem Thema, welches 7.798 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Hai zusammen,

    bei mir geht es um folgende Situation.
    Aktuell habe ich einige Unifi Komponenten im Einsatz_ USG Pro4, 2 St. 150W POE-Switch, 2 St. MiniFlex und CloudKey2


    Jetzt habe ich versucht mein Netzwerk in logische Einheiten durch VLANs zu trennen. Unter anderem gibt es ein VLAN, in welchem meine frei programmierbare Heizungssteuerung hängt.
    Da ich einen guten Bekannten habe, der für sein Leben gern an Heizungen optimiert, hat er auch Fernwartungszugriff auf meine Steuerung. Er kommt also über Dyndns auf den 8080 Port und somit auf die Steuerung.
    Nun möchte ich so umbauen, dass sowohl ich, als auch mein Bekannter über einen VPN-User auf mein Netzwerk kommt. Nur mit der Einschränkung, dass mein Bekannter nur Erlaubnis auf das Heizungs-VLAN bekommen soll.
    Das Ganze habe ich durch zwei VPN_User versucht, allerdings geht es über die GUI nicht, jedem User eine fixe IP-Adresse zuzuordnen. Das geht nur über SSH und die Änderung ist nach Neustart futsch...


    Habt Ihr etwas mitbekommen, ob es inziwsche eine Möglichkeit gibt, einem VUN-User ein spezielles VLAN zuzuordnen, oder zumindest ein Fixe IP Adresse?

    Ich hoffe, ich habe die Situation verständlich beschrieben und Ihr habt evtl Ideen, wie ich das elegant umsetzen könnte.


    Vielen Dank schonmal und Grüße
    Oli

    Hi!


    Ich schicke voraus, ich habe es bei mir nicht ausprobiert.

    Habe die Notwendigkeit nicht.


    Das Remote-User-VPN-Subnetz hat einen klar umrissenen IP-Bereich.

    Der Remote-User-VPN bekommt eine IP aus diesem Netzwerkbereich.

    Mit Firewall-Regeln sollte der Zugriff vom VPN-Subnetzwerk begrenzbar sein.


    Was m.W. zurzeit nicht geht, zwei dieser Remote-User-VPN-Subnetze zu erstellen.


    Also getrennte Regelungen für Dich und den Heizugsfachmann halte ich zurzeit für nicht möglich.


    Vielleicht solltest Du dem "Fachmann" ein Site-to-Site VPN einrichten.

    Dort kannst Du die zu erreichenden Subnetze definieren.



    Gruß!


    (Post #1000)

    Moin zusammen, na klar geht das. Und sogar leichter als ich gedacht habe. Brauchte die Funktion auch um einen speziellen VPN User nur Zugriff auf einen Client im Netzwerk zu erlauben.

    Also was geht: Einem VPN User eine feste IP zu geben, damit man mit diesem nun per Firewall Regeln dinge machen kann.


    Das Ganze geht aber nicht per GUI sondern per config.gateway.json und es bleibt damit immer persistent.

    User-1= Username aus der Radius Config vom VPN User

    Die Ip Adresse muss (noch nicht anders getestet) aus dem VPN Netzwerk kommen.



    Viel Spass :smiling_face:

    Hi!


    Das scheint dann der Schlüssel zu sein.

    IP-basierte Firewall-Regeln runden dann die Sache ab.


    Ich muss mich dringend mit diesen .json Files beschäftigen.


    thezepter


    Danke für die Ergänzung und Lösung.


    Gruß!

    Servus mittanand,

    ja, genau so habe ich das auch ausprobiert. Nur nicht mit dem json File, sondern über SSH.
    Das funktioniert in der Tat, dass ich dann jedem VPN-User eine fixe IP zuordnen kann.
    Nur habe ich mich nicht getraut, das Ganze dann mit dem Json File zui editieren....Angst...


    Wenn man die VPN-User nur einem Subnet zuordnet, dann wird die niedrigste IP Adresse immer dem User zugeodnet, der sich als erstes einwählt.

    Ich hab dem Unifi-Team schon mal den Antrag vorgelegt, dass diese VPN-User --> fixe IP- Geschichte mal in die GUI aufgenommen wird.
    Aber anscheinend hat das keinen wirklich hohen Stellenwert. Darum habe ich auch hier gefragt, ob jemand von Euch zufällig etwas mitbekommen hat, ob das nun über die GUI geht.

    Also werde ich mir dann mal ein Heuz nehmen und das Ganze doch über das Json File einpflegen. Wird schon schief gehen.

    Anschliessen muss ich mich dann doch der Firewall widmen. Sonst ist das alles eh für die Katz.
    Aber auch das werde ich noch hinkriegen..:.--))

    Vielen Dank auf jeden Fall und Grüße

    Oli

    @EJHome

    Du hast eine UDM Pro, soweit ich korrekt informiert bin klappt das dort mit der config.gateway.json nicht.

    Hintergrund: Beim USG (Pro 4) kannst du zB über die json das doppelte NAT abschalten, so auf einer UDM nicht durchführbar. Damit dort das ganze auch Update fest ist, muss die json im Controller, an einer bestimmten Stelle, gespeichert werden.

    Da die UDM's den Controller wohl in einem Container ausführen, sind die Änderungen nicht wirksam.


    Leider habe ich keine UDM und kann es nicht prüfen.

    Gefällt mir 1
    Zitat von BlackSpy

    Da die UDM's den Controller wohl in einem Container ausführen, sind die Änderungen nicht wirksam.

    Korrekt, auf der UDM / UDM Pro läuft Docker drauf und darin vermuttlich der Controller ( kanns nicht genau verifizieren ).

    Der Container wird beim Neustart aber neu gebaut ist somit nicht bootfest.

    BlackSpy


    Wie ich oben erwähnt habe, kenne ich mich mit den .json Files nicht aus.

    Und da ich nur eine UDM Pro in meinem Produktivsystem habe, bin ich mit den Dingen die sich für mich noch nicht erschlossen haben, sehr vorsichtig!

    Was ich in meinem System verändere, habe ich vorher deutlich "studiert" und verstanden!


    Und dann kann ich auch reagieren.

    Also zurzeit kann ich es nicht verifizieren!


    Gruß!

    BlackSpy



    Habe ich so verstanden!
    Ich arbeite daran, diese Sache zu durchdringen.

    Offensichtlich kann man damit recht flexibel Einfluss nehmen.


    Gruß!

    Ja doch, man kann extrem viel damit machen.

    Es ist aber schon ein Thema für sich, ich selbst habe bei weitem noch nicht alles gepeilt was damit möglich ist .

    Auch muss man auf die Formatierung der Datei achten, was dann wieder ein Thema für sich ist.:winking_face:

    Servus mittanand,

    jetzt muss ich den alten Thread nochmal aufwärmen.
    Leider habe ich es bisher nicht auf die Reihe gebracht, meine VPN-Änderungen in das Json.File einzutragen.
    Aber....heute habe ich mir vorgenommen, dass ich das jetzt endlich durchziehe.

    Also...erstmal nachgelesen, wie und was. Soweit habe ich im Kopf verstanden, was zu tun ist.
    Nur die Realität sieht anders aus.

    Also habe ich mir erstmal Filezilla für MAC besorgt. Dann versucht auf dem CloudKey einzuloggen.

    Server: sftp://192.168.xxx.xxx (IP des USG)
    Benutzername und Passwort, wie es im Controller unter SSH hinterlegt ist

    Port: ??
    Ich hab es mit verschiedenen Ports probiert, aber erst mit Port 22 bin ich auf irgendwas draufgekommen

    Wenn ich ehrlich bin, bin ich nicht sicher, welcher Port der richtige ist.

    IP-Adresse: muss ich da die IP der USG nehmen, obwohl der CloudKey eine andere hat? ...Bin verwirrt.

    Nachdem ich wohl irgendwo eingeloggt bin, habe ich versucht das config.gateway.json File zu finden. Aber.. egal unter welchem Pfad ich gesucht habe....teilweise waren die Pfade nicht vorhanden, bzw. das File habe ich auch nicht gefunden.


    Wie finde ich heraus, ob ich wirklich im richtigen Filesystem unterwegs bin?
    Darf ich Euch nochmal um Hilfe bitten?


    Vielen Dank und Grüße

    Oli

    Die Datei, von der oben schrieben wurde, liegt auf dem Controller oder ist da abzulegen - je nach dem. Wenn das USG provisioniert wird werden die entsprechenden Einstellungen am USG vorgenommen.

    Auf was für einem System läuft der UniFi-Controller bei Dir?

    Da Du ein USG Dein Eigen nennst könnten wir dann weitermachen. Bei UDM/Pro/SE( auch ?) geht das nicht.

    Hai Razor,

    ich glaube....es macht am meisten Sinn, wenn wir uns vortasten..:--))
    Ja, ich hab dis USG Pro. Dazu der CloudKey2 .

    So... wo lauft jetzt der Controller? ich würde jetzt mal sagen, der läuft auf dem, CloudKey. Allerding, als ich die IP des CloudKeys im
    Filezilla eingegeben habe, wurde mir der Zugriff verweigert.
    Aber eins nach dem anderen. Bin ich da RIchtig, dass der Controller auf dem CloudKey läuft?

    Dankeschön!!
    Grüße Oli

    Völlig korrekt, der Controller läuft auf dem CloudKey.

    Ich meine, dass Du erst den Zugruff via SSH erlauben muss, damit Du Dich auch am CloudKey anmelden kannst.

    Lösung: UniFi Allgemein | SSH aktivieren

    Wenn das geht, dann lädst Du einfach über den Controller einen Grundriss (Map - Topology --> Floor Plan) - irgendein Bild - hoch, damit die benötigte Ordnerstrktur für die *.json-Datei erzeugt wird.

    Die VPN-User existieren auch schon?

    Hai Razor,


    sprich... ich nehme für den Filezilla die IP-Adresse des CloudKeys, richtig?

    Dann.. welchen Port nehme ich im Filezilla?


    Der Zugriff via SSH ist schon aktiviert gewesen. Der User und das PW, das dort hinterlegt ist, nehme ich dann auch im Filezilla, richtig?


    Aus der Controller GUI habe ich ein Bild hochgeladen --> Check
    Die VPN-User sind angelegt. Diesen wurde via SSH auch schon eine fixe IP zugewiesen. Allerdings dürft diese Geschichte wieder weg sein, da ich in zwischen die FW upgedatet habe und bei der provisionierung werden diese Einstellungen ja gelöscht soweit ich weiss.

    Dankeschön und Grüße
    Oli

    Zitat von Oli_Krause

    Hai Razor,


    sprich... ich nehme für den Filezilla die IP-Adresse des CloudKeys, richtig?

    Richtig.

    Zitat von Oli_Krause

    Dann.. welchen Port nehme ich im Filezilla?

    Wenn Du die Verbindung via SCP herstellt, dann wie bei ssh: im Standard 22.

    Zitat von Oli_Krause

    Der Zugriff via SSH ist schon aktiviert gewesen. Der User und das PW, das dort hinterlegt ist, nehme ich dann auch im Filezilla, richtig?

    Ja. Ob der Zugang mit den Daten funktioniert kannst Du entweder mit FileZilla (SCP) oder einem Terminal-Tool wie z.B. PuTTY unter Windows oder gleich das Terminal bei MacOS oder Linux. An was für einem Client sitzt Du und machst das alles, worüber wir uns hier unterhalten? :thinking_face:


    Wenn die Anmeldung geklappt hat solltest Du im sogenannten home-Verzeichnis des entsprechenden Users landen.

    .. so ein Mist.
    Sobald ich die IP des CloudKeys nehme bekomme ich eine Zeitüberschreitung.


    Ich komme mit dem Filezilla für MAC nicht auf den CloudKey...


    Pingen kann ich den CloudKey.


    Wenn ich mit dem Terminal versuche draufzukommen (ssh [email protected]) dann kommt Connection refused.


    Hast Du noch eine Idee??


    Dankeschön und Grüße
    Oli

    jetzt bin ich einen Schritt weiter.
    Anscheinend gibt es nicht nur die Einstellung auf dem Controller, sondern noch eine weitere SSH-Einstellung auf dem CloudKey.
    Diesen habe ich jetzt eingeschaltet und siehe da, ich komm mit Filezilla auf das Filesystem.


    Du schreibst von einem Home-Verzeichnis.
    Ich hab mal etwas gestöbert....ich finde einen Ordner namens Home, aber der ist leer.
    Dann habe ich mal in usr reingeschaut...da wäre einiges drin.

    Also nochmal bei Unifi die Hilfedatei angeschaut und dort den Pfad gefunden:
    /srv/unifi/data/sites

    Dort ist allerdings keine Spur vom config.gateway.json.
    Versteh ich das richtig, dass ich dieses nun anlegen muss, die VPN-User mit den fixen IP s eintragen muss und dann dort reinkopieren soll?

    Dankeschön und Grüße

    Oli

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von Oli_Krause mit diesem Beitrag zusammengefügt.

    Fast. Im Verzeichnis sites sollte ein Verzeichnis mit Deinem Site-Namen existieren. Falls das nicht der Fall sein sollte einfach nochmal einen Floor Plan hochladen und erneut den Pfad prüfen.

    Dann erzeugst Du die Datei, z.b. mit touch /srv/unifi/data/sites/<MEINE_GEILE_SITE>/config.gateway.json.

    Um sicher zu sein kopierst Du Deine Config erst nach JSON Formatter & Validator, um zu prüfen, dass das File valide ist. Das spart später Ärger und Zeit. Wenn hier alles OK ist, dann kannst Du die Datei z.B. mit vi oder einem anderen verfügbaren Editor Deiner Wahl anpassen und die geprüfte Config in die Datei /srv/unifi/data/sites/<MEINE_GEILE_SITE>/config.gateway.json übertragen. Speichern am Ende nicht vergessen und schon kannst Du das USG über den Controller manuell provisionieren.

    Wenn alles richtig läuft sollte nun Deine Config aktiv und vor allem Update-fest sein, da die Datei immer wieder vom Controller auf das USG übertragen wird.